本项目是记录自己在学习研究Aspx安全及代码审计过程中遇到的优秀内容,包括.NET代码审计资源以及.NET开发的应用程序组件协议等的安全内容。一个不会.NET攻击的黑客不是一个好师傅,一个不懂Aspx安全的师傅不是一个好黑客!深入理解.NET安全,手握众多重点Aspx应用高危0day!作者:0e0w
本项目创建于2021年9月2日,最近的一次更新时间为2022年3月15日。本项目会持续更新,直到海枯石烂。
- 01-Aspx安全研究资源
- 02-Aspx安全研究工具
- 03-Aspx安全漏洞环境
- 04-Aspx安全漏洞分类
- 05-Aspx安全代码审计
- 06-Aspx安全漏洞修复
- 07-Aspx安全高危应用
- 08-Aspx安全参考资源
一、书籍资料
二、基础教程
三、视频教程
四、培训演讲
五、专利文献
六、审计报告
七、其他资源
- https://xz.aliyun.com/t/6646
- https://github.com/deanf1/dotnet-security-unit-tests
- https://mp.weixin.qq.com/s/QSiWJ8nT6J8gv8yCxFBHow
一、反编译工具
- dnSpy https://github.com/dnSpy/dnSpy
- ILSpy https://github.com/icsharpcode/ILSpy
- dotPeek http://www.jetbrains.com/decompiler
- https://github.com/icsharpcode/AvaloniaILSpy
- https://www.cnblogs.com/ldc218/p/8945892.html https://blog.csdn.net/xiaoyong_net/article/details/80402343
二、反序列化工具
- https://github.com/incredibleindishell/ysoserial.net-complied
- https://github.com/pwntester/ysoserial.net
本部分详细列举常见的Aspx安全漏洞内容。
- SQLi
- XSS
- XXE
- CSRF
- SSRF
- 变量覆盖漏洞
- 业务逻辑漏洞
- 任意文件上传漏洞
- 任意文件写入漏洞
- 任意文件删除漏洞
- 任意文件包含漏洞
- 任意命令执行漏洞
- Aspx反序列化漏洞
一、Aspx安全Web漏洞
二、Aspx代码审计实战
一、Aspx安全编码规范
二、Aspx安全漏洞修复
- 红帆医院OA系统:http://www.ioffice.cn
