内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

当前标签: 代码审计
  • 代码审计就该这么来Mlecms Getshell10月24日

    前言 看了版主 jing0102 的{代码审计思路 (通读+审计) Mlecms(中危漏洞/不简单) , 感觉挺有意思 于是也回去下了一套代码看看 不得不说小众CMS的开发能力、安全意识跟大厂商还是有不少差距的 限于篇幅 不是关键部分就不贴代码了 一、发现隐患 拿到一套源码

    Tags:代码审计Getshell
  • 实战代码审计某建站系统从Log泄露到Getshell10月24日

    0x01 起因 因为我在发了一篇基础文章后,某位技术大牛就说什么文章,一点技术水平都没有,我就呵呵一笑。 于是我就去找个建站系统,看看有没有好玩的。 0x02 经过 找到了***CMS建站系统,首先打开了 index.php 文件看看有没有需要配置的,然后一步转到 syste

    Tags:代码审计Getshell
  • DVWA代码审计及渗透攻略(上):暴力破解、命令行注入、CSRF10月20日

    DVWA(Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序。它包含了SQL注入、XSS、盲注等常见的一些安全漏洞。本文对DVWA所有难度的代码进行了审计,并给出了POC和修复方案。 本篇是这一系列的上集,包含

    Tags:DVWA代码审计CSRF
  • DVWA代码审计及渗透攻略(中):非法文件上传10月20日

    本篇是DVWA代码审计及渗透攻略系列的第二集,主要讲解非法文件上传漏洞的利用及防治方法。 File Upload - 非法文件上传 攻击介绍 非法文件上传是Web中最具威胁信的攻击方式之一,非法文件上传漏洞允许攻击者从Web上传任意文件到服务器,上传的文件一旦被成功

    Tags:DVWA代码审计
  • 代码审计初探:Beescms v4.0_R SQL注入09月26日

    前段时间去尝试审计一款cms系统,恰巧在补天上看到有Beescms相关漏洞,于是去官网下载了个学着审计了下。后来找出了Bypass 全局防护的SQL Injection .当时心情 激动地去补天提交。结果悲催的是在我提交的前几天有人提交了。下面进入正题,大神请绕道! NAME:

    Tags:代码审计BeescmsSQL注入
  • 记一下PythonWeb代码审计应该注意的地方09月23日

    读 《Code Review For Python-Based Web Apps》 (《PythonWebApp代码审计》)做的笔记,正好自己也在写相关的文章: 讨论PythonWeb开发中可能会遇到的安全问题 ,所以就翻译了一下作者原文,省去一些不必要的口水,并添加了一些自己的想法。 SQL注入 安全的做

    Tags:PythonWeb代码审计
  • 记一次命令执行GetShell(附带部分代码审计)09月21日

    首先先上链接, http://*.*.*.*/goanalysis.php?usrid=|ifconfig 我们看到这里参数usrid是可以执行命令的,那也不多演示其他命令,我们的第一个目标就是GetShell,那就直接写个一句话上去吧。 于是我就准备直接访问 http://*.*.*.*/goanalysis.php?usrid=|ec

    Tags:GetShell代码审计
  • 从开发新手的角度谈代码审计09月13日

    代码审计总论 安全圈里有句老话:一切的用户输入都是有害的。的确,我们的所有安全测试都是基于这一点的。既然用户的一切输入都是有害的,那么怎样使这个危害显现出来呢?这就引入了安全的另一句话:有害的数据进入了危险的函数便产生了漏洞 ,因此我们可以

    Tags:代码审计SQL注入
  • 你真的会代码审计吗09月13日

    这标题......结合之前的文章和存稿。是要做成系列的节奏~ 文章首发在某安全自媒体,但版权是我们的。没办法,稿费诱人。 正文: 安全圈里有句老话 一切的用户输入都是有害的 的确,我们的所有安全测试都是基于这一点的.既然 用户的一切输入都是有害的 那么怎

    Tags:代码审计SQL注入
  • PHP代码审计(一):文件上传09月03日

    0x00 概述 在网站的运营过程中,不可避免地要对网站的某些页面或内容进行更新,这时便需要使用到网站上的文件上传功能。如果不对被上传文件进行限制,或限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,今儿进一步导致服务器沦陷。 由

    Tags:PHP代码审计
  • 经验分享:用grep对PHP进行代码审计05月01日

    这是一个常见的误解 企业需要购买复杂和昂贵的软件来发现应用程序中安全漏洞;而这些专门的软件应用程序,无论是黑盒或白盒,开源或商业,都能很快的发现安全漏洞。 事实是:所有这些专业的漏洞扫描工具都有其特定的优势和劣势。有些可能是 ASP 为中心的,而

    Tags:grepPHP代码审计
  • 工具推荐:三款自动化代码审计工具04月12日

    001 简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。

    Tags:PHP安全漏洞SQL注入代码审计
  • 代码审计入门总结02月15日

    0x00 简介 之前看了seay写的PHP代码审计的书,全部浏览了一遍,作为一个代码审计小白,希望向一些和我一样的小白的人提供一下我的收获,以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔记吧,可以结合我捋顺的思路来看这本书。: ) 0x01 整体

    Tags:代码审计
  • 打造自己的php半自动化代码审计工具01月04日

    0x00 PHP扩展进行代码分析(动态分析) 一.基础环境 #!bashapt-get install php5apt-get install php5-devapt-get install apacheapt-get install mysql 二.使用PHPTracert #!bashmkdir godheadwget https://github.com/Qihoo360/phptrace/archive/v0.3.0.zi

    Tags:php半自动化代码审计
  • 代码审计思路之实例解说全文通读11月27日

    在我的新书发布之际,借用这篇文章跟大家分享下代码审计的一些思路。 根据敏感关键字来回溯传入的参数,是一种逆向追踪的思路,我们也提到了这种方式的优缺点,实际上在需要快速寻找漏洞的情况下用回溯参数的方式是非常有效的,但这种方式并不适合运用在企业

    Tags:代码审计SQL

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号