![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计
主要以PHP代码为主
我在干饭
这个作者很懒,什么都没留下…
展开
-
PHP代码审计 -- 文件上传
工具&环境工具:Seay源代码审计系统,文本编辑器一个环境:phpstudy,网站源码是 zbzcms步骤1, 将zbzcms网站源码放入phpstudy,根据网站安装引导完成网站搭建;2,打开Seay,新建项目 --> 选择网站源码 --> 自动审计,审计完成后点击 漏洞描述对审计结果进行排序,方便结果查看:3,审计完成,关注存在文件上传这一类,对结果进行观察,一般存在文件上传的地方存在upload,include,up等关键词,然后再看,发现也有文件上传在admin目录原创 2021-12-15 17:14:02 · 965 阅读 · 0 评论 -
代码审计流程
代码审计的两种方式敏感函数回溯参数调用过程## 关注程序敏感函数点: SQL语句拼合出,call_user_func,eval,unserialize,HTTP_CLIENT_IP等## 回溯参数调用过程查看是否全部过滤或过滤补全: 程序可能开启magic_quotes_gpc,但是程序部分数据流经$_SERVER变量,$_SERVER并不受gpc影响通读全文## 根据文件创建时间,目录大小,目录类型,核心目录(二次开发文档)## 注意程序功能说明文档## 公共函数文件:common,f原创 2021-12-15 15:08:12 · 2075 阅读 · 0 评论