代码审计
文章平均质量分 96
XavierDarkness
漫漫长夜,终将黎明
展开
-
S2-001漏洞分析
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。原创 2023-02-23 17:26:58 · 1301 阅读 · 3 评论 -
Discuz x3.1 utility/convert/config.inc.php漏洞get shell
Discuz x3.1 utility/convert/config.inc.php漏洞get shelli 春秋 --- 竞赛训练 -- 这不是DZ?原创 2017-09-26 15:10:57 · 7784 阅读 · 0 评论 -
代码审计方法与准备
代码审计方法与准备原创 2017-09-19 15:11:05 · 3526 阅读 · 0 评论 -
PHP代码审计-常见ini配置
配置文件php.ini在 PHP 启动时被读取。对于服务器模块版本的 PHP,仅在 web 服务器启动时读取一次。对于 CGI 和 CLI 版本,每次调用都会读取。 * Apache web 服务器在启动时会把目录转到根目录,这将导致 PHP 尝试在根目录下读取 php.ini,如果存在的话。 * 在 php.ini 中可以使用环境变量。由扩展库处理的php.ini指令,其文档分别在各扩展库的页原创 2017-09-19 18:06:47 · 473 阅读 · 0 评论 -
PHP代码审计-常见危险函数
PHP代码执行函数eval & assert & preg_replace包含函数:require、include、require_once、include_once命令执行函数:exec、system、passthru、proc_open、shell_exec、system文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等特殊函数原创 2017-09-20 15:53:17 · 6983 阅读 · 0 评论 -
Discuz代码分析:getgpc($k, $t='GP')获取超全局数组值
Discuz x3.1 源码分析 函数 getgpc($k, $t='GP')转载 2017-09-22 14:49:43 · 1240 阅读 · 0 评论