一、开始代码审计之旅 01 从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 "PHP SECURITY CALENDAR 2017" 的第一题,结合 "红日安全" 写的文章,开始吧。 二、先看这道题目 1、题目名称:Wish List 2、in_array() 函数的作用 in_ar ...
分类:
其他好文 时间:
2018-10-21 22:28:10
阅读次数:
274
前沿 在学代码审计,然后最近做Linux协议栈的审计,发现Linux不愧是一个久经考验的系统,本来以为可以找到个DoS的,结果发现其在TCP/IP协议栈的链路层实现,利用了各种技术,用来提高性能与安全性。 工具 在跟踪数据从网卡到TCP/IP协议栈的过程中,使用4.10.0内核,利用understa ...
分类:
系统相关 时间:
2018-10-14 20:59:52
阅读次数:
260
一、背景 笔者此前录制了一套XSS的视频教程,在漏洞案例一节中讲解手工挖掘、工具挖掘、代码审计三部分内容,准备将内容用文章的形式再次写一此,前两篇已经写完,内容有一些关联性,其中手工XSS挖掘篇地址为 "快速找出网站中可能存在的XSS漏洞实践(一)" 本文主要记录通过代码审计的方式进行XSS漏洞挖掘 ...
分类:
Web程序 时间:
2018-10-09 13:28:42
阅读次数:
206
[题目链接][1] 这是一道代码审计。 flag In the variable ! 抓住两个地方,一个是正则表达式匹配,不匹配则直接die,该正则表达式应该是匹配都是字母的串。然后最关键的是最后的$$args,这是可变变量的意思,如$args的值是另一个变量的变量名。那么$$args就代表另一个变 ...
分类:
其他好文 时间:
2018-10-08 22:17:48
阅读次数:
297
python代码审计-命令执行漏洞(自己编写的代码)0x00源代码defexecute(request):context={}ip=request.POST.get("ip")username=request.POST.get("username")password=request.POST.get("password")idnex=int(request.POST.get("index"))cu
分类:
编程语言 时间:
2018-09-10 12:01:03
阅读次数:
194
CMS(内容管理系统)很适合被用来做代码审计,尤其是现在CMS系统越来越流行,很多人愿意使用CMS搭建自己的项目。由于大部分CMS是一种开源项目,所以对于CMS的审计属于白盒测试,白盒测试让我们可以发现更多的安全漏洞,而且一旦我们发现了这些漏洞,由于其被广泛使用,所以它的漏洞的影响范围也是呈指数级增 ...
分类:
其他好文 时间:
2018-08-09 17:35:28
阅读次数:
173
0x01 前言 最近在做代码审计的工作中遇到了一个难题,题目描述如下: 这一串代码描述是这样子,我们要绕过A-Za-z0-9这些常规数字、字母字符串的传参,将非字母、数字的字符经过各种变换,最后能构造出 a-z 中任意一个字符,并且字符串长度小于40。然后再利用 PHP允许动态函数执行的特点,拼接处 ...
分类:
Web程序 时间:
2018-08-06 22:12:13
阅读次数:
257
代码审计的时候sublime是一个神器.所以.... Ctrl + Shift + F /home/i3ekr/Desktop/coding/phpcms,*.php 这样就可以直接搜索所有的php文件了. D:\Projects\表示在该目录下寻找,也可以写多个目录 *.cs表示找 cs 后缀的文 ...
分类:
Web程序 时间:
2018-07-19 19:16:38
阅读次数:
339
这是一款基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞。 下载链接 https://pan.baidu.com/s/1VS3L ...
分类:
其他好文 时间:
2018-07-15 21:26:33
阅读次数:
9090
作者:i春秋核心白帽yanzmi 原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html 本期斗哥带来Java代码审计的一些环境和工具准备。 Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置 ...
分类:
编程语言 时间:
2018-06-28 12:04:47
阅读次数:
280
