ref:https://xz.aliyun.com/t/1633/ JAVA代码审计的一些Tips(附脚本) 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自 ...
分类:
编程语言 时间:
2018-06-21 11:39:52
阅读次数:
184
作为一名准备成为CTF里WEB狗的萌新,在做了3个月的CTF的web题后,发现自己php代码审计非常不过关,并且web的架构模式条理也十分的不清晰,于是抱着提高代码审计能力的态度在近期会去写一个简单的cms(其实现在怎么写思路还是不清晰) 环境搭建:vmware虚拟环境,win7系统,web采用快捷 ...
分类:
Web程序 时间:
2018-06-10 11:54:24
阅读次数:
199
今天在做关于代码审计的问题遇到了一些问题,现在记录下来并分享,可能是我太笨了,有些问题一直没有明白 ==对比的时候会进行数据转换,0eXXXXXXXXXX 转成0了,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行 var_dump(md5('24 ...
分类:
Web程序 时间:
2018-05-30 21:08:11
阅读次数:
146
刚开始学习代码审计,根据法师的书本和相关资料进行慢慢开始练手,这里了一款WiiNews老版本针对于练手来讲还是比较简单通俗易懂的系统来做审计! #1 SQL注入 文件:/newsBySort.php 代码10~18行: id参数通过$_GET以后给sqlReplace函数处理、trim函数做是处理首 ...
分类:
数据库 时间:
2018-05-22 12:51:25
阅读次数:
207
现在WEB安全几乎就是网络安全的主科,我觉得WEB安全技术的重要性应该能够和小学时候咱们学习的学科,语文数学相持平了 WEB这个东西,我也不知道该怎么怎么样具体形容他的重要性,反正就是十分重要吧~ 对于这个技术我原本也是一直半解,知道我看了这部WEB代码审计教程才恍然大悟,原来WEB安全既然有这么多 ...
分类:
Web程序 时间:
2018-05-09 16:51:34
阅读次数:
318
前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~ 打开链接,就知道是道代码审计的题目,不过这题比较简单,我们一起看一下这段代码 意思是 ...
分类:
Web程序 时间:
2018-05-04 21:31:03
阅读次数:
5691
简介 当我们进行代码审计或校验备份结果时,往往需要检查原始与目标目录的文件一致性,python的标准库已经自带了满足此需求的模块filecmp。filecmp可以实现文件、目录、遍历子目录的差异对比功能。比如报告中输出目标目录比原始多出的文件或子目录,即使文件同名也会判断是否为同一个文件(内容级对比 ...
分类:
其他好文 时间:
2018-04-29 01:13:13
阅读次数:
182
(一)parse_str()—将字符串解析到变量中 ?a=1 即可完成覆盖 (二)extract()—从数组中将变量导入 ?a=1即可完成覆盖 (三)import_request_variables()—将 GET/POST/Cookie 变量导入到全局作用域中 >php 4.1.0 <php 5. ...
分类:
Web程序 时间:
2018-04-18 11:48:31
阅读次数:
191
0x00 前言 0x01 漏洞实例一 环境搭建: XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:https://pan.baidu.com/s/13q_ITM0pPTGlkaNv8uq2Iw 代码分析 ...
分类:
其他好文 时间:
2018-04-15 16:51:46
阅读次数:
238
文件上传getshell一句话木马上传路径可能会帮你改名服务器要能够解析它 #注意bypass代码审计工具看全局配置文件 config.php / common.inc.php审计php脚本首先看源码 在全局配置文件common.inc.php进行全局转移由于全局utf-8的 排除宽字节接下来看up... ...
分类:
其他好文 时间:
2018-04-07 16:18:07
阅读次数:
381
