![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计
人间酒中仙
这个作者很懒,什么都没留下…
展开
-
php审计之——DVWA命令注入
命令注入命令注入命令注入的条件DVWA的命令注入漏洞总结这几个难度漏洞并审计漏洞解决方法命令注入命令:这个命令指的是操作系统的命令。命令注入:就是通过web程序,在服务器上拼接系统的命令。有些网站对这些有需求,就开放了这些功能,但是,没有对命令进行严格的过滤,从而导致命令注入漏洞。命令注入的条件1、web应用程序调用可执行系统命令的函数。2、执行系统命令函数或者函数的参数可控,如果它把...原创 2019-07-24 12:45:23 · 556 阅读 · 0 评论 -
php审计之——XDebug
XDebugXDebug介绍XDebug是一个开放源代码的php程序调试器(即一个Debug工具)可以用来跟踪,调试和分析php程序的运行状况这对于审计来说,有很大的帮助XDebug配置一、日志xdebug.trace_output_dir 日志追踪输出目录xdebug.trace_output_name 日志文件名,xdebug提供了一系列的标识符,生成相应格式的文件名,...原创 2019-07-29 14:06:50 · 208 阅读 · 0 评论 -
php审计之——ini文件简介
1、配置文件什么是配置文件?php(版本号).ini这个文件是在php启动的时候被读取的,对于服务器模块版本的php,仅在web服务器启动时读取一次对于CGI和CLI版本,每次调用都会读取*Apache web服务器在启动时,会把目录转到根目录,这将导致php尝试在根目录下读取php.ini,如果存在的话*在php.ini中可以使用环境变量.user.ini自php 5.3....原创 2019-07-21 13:12:09 · 277 阅读 · 0 评论 -
php审计之——常见危险函数
一、php代码执行函数1、eval:把字符串$code作为代码来执行。很多常见的webshell都是用eval来执行具体操作的。例如一句话:<?php @eval($_POST['xxx']);?>2、assert:调试函数,检查第一个断言是否为FALSE。(把字符串$assertion作为php代码执行)因为大多数杀软把eval列入黑名单了,所以用assert来代替eva...原创 2019-07-29 12:59:13 · 771 阅读 · 0 评论