http://0xsec.org/paper/phpfuzz.html
转载
精选
2011-02-13 23:10:02
434阅读
前言官方文档:php.netphp官方文档是非常详情,好用的,在遇到不清楚作用的函数时可以进行查询白盒测试做代码审计最主要的知识是要去了解一个漏洞应该有哪些防御方式,因为大部分的漏洞都是因为修复没有做的全面,或者修复没有考虑到一些情况导致漏洞。代码审计流程正向查找流程a. 从入口点函数出发(如index.php)b. 找到控制器,理解URL派发规则(URL具体映射到哪个具体的代码里)c. 跟踪控制
原创
2022-11-26 12:46:26
338阅读
1.概述代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的
原创
2021-07-13 14:16:08
265阅读
档去年做的,按说应该更新了,写得不咋好,有些没写全,参考了很多文档。
话说owasp codereview,也该出2.0了。
牛们路过,给提点建议。
目录
1. 概述 3
2. 输入验证和输出显示 3
2.1 命令注入 4
2.2 跨站脚本 4
2.3 文件包含 5
2.4 代码注入 5
2.5 SQL注入 6
2.6 XPath注入 6
2.7 HTTP响应拆
转载
精选
2011-03-02 12:24:57
802阅读
http://www.sectop.com/post/112.html
转载
精选
2012-06-24 12:12:26
367阅读
作者:nannet
信息来源:中国黑客联盟(www.chinawll.com)
今天我的决定和大家探讨一些我的一些在PHP代码审计方面一些脆弱性的方法的经验。
如果你记得,大约一年前,我写过
转载
精选
2011-12-18 16:34:20
1776阅读
PHP是一种被广泛使用的脚本语言,尤其适合于web开发。具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应用,包括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。随着web安全的热
推荐
原创
2013-10-02 21:26:26
1610阅读
点赞
1评论
0X01.全局变量 php中并不需要申明全局变量,当必须使用它时会自动创建 例: 前 if($is_admin==1){ ..... //此时会重定向到管理界面 }else{ ..... } 利用:在文件bugged.php提交 http://127.0.0.1/bugged.php?is_admin=1 后 $is_admin=0; //申明变量 if($is_ad
原创
2013-11-02 17:07:15
657阅读
# php代码审计标签(空格分隔): php 代码审计---#0 前言#1 环境要求##1.1,测试资源(1)待测试设备的ip地址,web入口,包括常用用户的登录名和密码(2)后台登陆方式,包括端口,协议,用户名和密码,代码是否加密,如果加密了的话需要解密;登陆是否需要密钥,密钥密码等(3)web服务重启方式,web日志位置,(4)数据库位置,数据库启动和登陆方式(5)可访问性,确认加上了相关路由
原创
2015-04-26 18:38:42
1369阅读
作者:小刚一位苦于信息安全的萌代码执行4.动态函数执行ThinkPHP历史漏洞修复措施前言近期在学习php的代码审计,推一下这本书啊代码审计 企业级Web代码安全架构_尹毅著。在学习代码执行和命令执行中遇到很多的小问题,再本文章中记一下。先说几个php小要点:1.当代码赋值时用的.
原创
2021-11-26 11:10:55
356阅读
echo最简单的输出数据调试方法,一般用来输出变量值或者不确定执行到哪个分支看不懂的代码,不知道会输出什么内
原创
2022-11-14 21:38:19
128阅读
非常基础,go全面。Sung'blog:0x01 工具篇编辑器(notepad++,editplus,UE等等,看个人习惯)TommSearch(字符串检索) || grepHttpProtocolDebugger(http协议调试器)Fiddler(分析包,改包)Seay PHP代码审计工具(php-code-audit分析辅助)几个有趣的项目dvwa(代码审计测试平台)phpmvsp
转载
精选
2014-11-21 14:12:10
698阅读
前言:之前做的CTF题中就涉及到ThinkPHP的漏洞,当时找的都是大师傅的POC,但不理解为什么会出现这样的POC,它们的漏洞触发原因是什么,恰好自己的审计代码能力很菜,就来详细学习一下!0x00:文件包含...
原创
2021-10-23 16:09:53
410阅读
自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html 。这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。由于WAF在比赛中所占比重越来越少,所以教程中就没包含WAF配置的内容。从9月份开学不久就开始给参加比
原创
2016-12-09 06:52:37
4299阅读
点赞
php代码审计总结 转载自白帽子社区 作者:tzzzez 在php中可由用户输入的变量 $_SERVER $_GET $_POST $_COOKIE $_REQUEST $_FILES 存在命令注入的函数 system exec passthru shell_exec popen proc_open ...
转载
2021-09-21 13:10:00
372阅读
2评论
