工具🔧
seay源代码审计系统
phpstudy——搭建环境
前言
🌸//原文:
【小迪安全】Day50代码审计-PHP无框架项目SQL注入挖掘 - 哔哩哔哩点击进入查看全文>https://www.bilibili.com/read/cv14964585
【小迪安全】Day51代码审计-PHP框架MVC类上传断点调试 - 哔哩哔哩点击进入查看全文
https://www.bilibili.com/read/cv15042607?spm_id_from=333.999.0.0【小迪安全】Day52代码审计-PHP项目类RCE及文件包含下载删除 - 哔哩哔哩点击进入查看全文>
https://www.bilibili.com/read/cv15169189?spm_id_from=333.999.0.0
0x00 相关原理分析要求
1.教学计划:
---审计项目漏洞 Demo->审计思路->完整源码框架->验证并利用漏洞
2.教学内容:
---PHP,JAVA 网站应用,引入框架类开发源码,相关审计工具及插件使用
3.必备知识点:
---环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用
4.开始前准备:
---审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等
5.挖掘漏洞根本:
---可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞
🌟🌟6、定点挖掘关键词
---可控变量
变量接受get post 接受关键字$_GET
---特定函数
输出print
数据库操作
---特定关键字
select insert update sql执行语句=&#