代码审计 – Blog of f1sh

2019年4月19日2019年5月7日

给 Cobra 增加 Node.js 源代码扫描规则

Cobra是一款源代码安全审计工具，支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。

继续阅读“给 Cobra 增加 Node.js 源代码扫描规则”

2019年4月17日2019年4月18日

Node.js 学习笔记 && CVE-2017-16082 分析

模块

用 require 导入模块，可以使用相对路径或绝对路径，末尾的 .js 可以省略。

继续阅读“Node.js 学习笔记 && CVE-2017-16082 分析”

2018年11月25日2018年11月27日

Code-Breaking Puzzles做题记录

24号被XNUCA虐了，25号起床才知道P总之前说过的Code-Breaking Puzzles已经开始了，赶紧学习一波。这里给P总的代码审计知识星球打个广告，满满干货，个个都是人才，我超喜欢里面的

继续阅读“Code-Breaking Puzzles做题记录”

2018年9月19日2018年9月20日

0x01 前言

这次挖洞其实并不是冲着拿CVE去的，而是为了给HITB-XCTF GSEC CTF Singapore 2018出题。因为是国际赛，想着题目应该要有点难度，所以就打算出个小型CMS的0day挖掘题。之所以选上BigTree CMS，也只是因为这是学(吴)长(神)挖过的CMS。不过因为是后台漏洞，比赛过程中还是出现了各种各样的非预期状况(各种搅屎)，可以说是非常失败了Orz……
继续阅读“CVE-2018-17030挖掘”