代码审计
Blood_Pupil
作为一个菜鸟总是总结别人的东西也是很困难的,还是读点源码休息一下把
展开
-
代码审计之PHP7与PHP5
PHP7和PHP5在安全上的区别转载 2019-03-08 10:41:50 · 288 阅读 · 0 评论 -
代码审计之漏洞挖掘与防范(基础篇)
文章目录SQL注入漏洞类型普通注入编码注入宽字节注入二次urldecode注入漏洞防范GPC魔术引号过滤函数和类PDO预编译SQL注入漏洞类型普通注入普通注入值得是最容易利用的注入方式,比如union注入,盲注(基于时间盲注和基于Boolean的忙住),基于报错的注入等。//union注入<?php$uid = $_GET['id'];$sql = &原创 2018-10-02 21:08:08 · 892 阅读 · 0 评论 -
代码审计之审计思路
审计思路正向:查找可控变量,正向追踪变量传递过程。逆向:根据敏感关键字回溯参数传递过程。逆向:根据敏感关键字回溯参数传递过程。优点:只需要搜索相应敏感关键字,既可以快速的挖掘想要的漏洞,具有可定向挖掘和高效、高质量的优点。缺点:由于没有通读代码,对程序的整体框架了解不够深入,在挖掘漏洞时定位利用点会花费一点时间,另外对逻辑漏洞挖掘覆盖不到。经验:寻找敏感功能点,通读功能点代码(...原创 2018-09-29 23:29:58 · 587 阅读 · 0 评论 -
代码审计之PHP语言特性
PHP_INI_*常量含义常量含义PHP_INI_USER该配置选项可在用户的PHP脚本或Windows注册表中设置PHP_INI_PERDIR该配置选项可在php.ini,.htaccess或httpd.conf中设置PHP_INI_SYSTEM该配置选项可在php.ini或httpd.conf中设置PHP_INI_ALL该配置选项可在任何地方设置...原创 2018-09-24 10:54:53 · 235 阅读 · 0 评论 -
代码审计之感悟
为什么要学代码审计(个人感悟)从刚开始接触Web安全到现在已经有多半年的时间了,最初的时候对于Web漏洞一无所知,很好奇那些黑客是如何使用漏洞给网站挂上黑页的。 1. 受好奇心影响开始去搜索有关SQL,XSS等漏洞的知识,了解了这些漏洞的形成原理。那时候也只是停留在了解这些漏洞的原理上面,不敢去尝试,心里总是想着会不会把别人网站搞坏,会不会被抓。 2. 后来接触到靶场这一类的东西,觉得学到...原创 2018-09-28 21:50:12 · 423 阅读 · 0 评论