最近在读《代码审计:企业级 Web 代码安全架构》,作者是尹毅。
我的想法是,精读这本书,从而入门 PHP 代码审计,能够利用工具检测一些轻量级 CMS 的漏洞,分析代码逻辑,理解漏洞原理,尝试编写 POC 和 Paper。学习过程中做好笔记,举一反三,总结提高。
笔记主要记录漏洞的形成原理和利用方法,这会比较难,但只有这样才能提高,希望自己能够坚持这个原则,真正学懂代码审计,也提高逻辑推理和文字表达能力。
本篇笔记记录一个简单的 SQL 注入漏洞的原理、触发和利用的过程。
完整笔记见 GitHub 博客。
https://6xian.github.io/2018/04/22/codes-audit-basic-espcms-numeric-sqli/