代码审计
文章平均质量分 85
m4s7er
关注安全世界的小菜鸟。
展开
-
PHPAPP SQL注入漏洞
PHPAPP是一款威客程序,前段时间看了一下,发现了一些问题。有一些已经提交到漏洞平台了,这里发一个没提交的。 存在漏洞文件:\phpapp\apps\pay\main_phpapp.php GoPayTool方法 function GoPayTool($payarr){ //检查支付工具 $paytoolid=$payarr['PayToolID']; //$原创 2015-02-13 16:14:54 · 515 阅读 · 0 评论 -
PHP代码审计规则整理
代码审计由于牵涉到函数调用、代码逻辑、调试等问题,自动化审计的效果差强人意,大部分漏洞还是需要手动或者半自动化挖掘,但是不管哪种打洞方法都需要一套强大的规则支持。现在的CMS大部分都是MVC框架,规则的用处就是由高危函数回溯到Model层再到Control层,最终定位漏洞的触发位置。下面是我整理的一些基本的审计规则,可以在这个规则集基础上根据不同的框架特性(比如ThinkPHP)来整理出新的原创 2016-04-26 21:36:10 · 823 阅读 · 1 评论