PHP代码审计SQL注入漏洞 0x00 首先明确什么是SQL注入,SQL语句必须掌握。 常见的注入总的来说可以分为两大类:数字型和字符型。 这两类中包含了诸如报错注入,宽字节注入,盲注,二次注入,cookie注入,POST注入等等。 因为我大一已经花了大量时间来研究sql注入,这里就不细写了,有兴趣 ...
分类:
其他好文 时间:
2020-01-27 12:38:03
阅读次数:
78
审计涉及的超全局变量 1:全局变量 2:超全局变量 emmm都是一些常见的变量,过了一遍算是巩固一下吧。 ...
分类:
其他好文 时间:
2020-01-27 11:03:36
阅读次数:
67
Seay源代码审计系统一款基于白盒测试的代码审计工具,具有自动代码审计功能,简化了人工审计的繁琐流程,使代码审计更加智能简洁。 一路默认安装 下载安装.net相关组件即可正常使用 这次还是以dvwa为例 左上角新建项目,选择dvwa源码文件夹 点击确定后在左侧列出了文件组织结构 点击上方菜单栏的自动 ...
分类:
其他好文 时间:
2020-01-23 12:47:13
阅读次数:
375
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可 ...
分类:
其他好文 时间:
2020-01-21 14:44:45
阅读次数:
175
基于python的自动化代码审计 代码审计 逢魔安全实验室 2018-02-11 10,539 本文通过介绍在python开发中经常出现的常规web漏洞,然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞,并且展示自动化系统在自动化审计python应用代码的成果,本文比较长,请耐心阅 ...
分类:
编程语言 时间:
2020-01-21 13:20:59
阅读次数:
86
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工 ...
分类:
其他好文 时间:
2020-01-20 12:48:03
阅读次数:
114
以前的代码审计都是在CTF比赛题里面进行对于某一段代码的审计,对于后端php整体代码和后端整体架构了解的却很少,所以有空我都会学习php的代码审计,以提高自己 环境就直接用的是phpstudy,学习的前期对于环境的搭建以能够满足我们学习的需求即可,没有必要将每个组件分开安装,反而本末倒置了。 使用的 ...
分类:
其他好文 时间:
2020-01-11 18:42:09
阅读次数:
93
0x00 MVC关系: 0x01 通读原文 0x03敏感关键字回溯参数 0x04查找可控变量 0x05功能点定向审计 ...
分类:
其他好文 时间:
2020-01-09 22:35:03
阅读次数:
86
今天是2019年的最后一天了,按照计划。应当对Python有了初步了解,Linux基础操作比较熟悉。 是时候分一下方向了,首先看看各个方向该学些什么。 Web PHP 在Web通常是以代码审计、PHP各种协议、特性等等情况出现。基础要求是看懂题中的PHP代码,然后要对题目中常见绕过方法有了解。因此, ...
分类:
其他好文 时间:
2019-12-31 21:52:17
阅读次数:
121
此漏洞存在于emlog下的某个插件 友言社会化评论1.3。 我们可以看到, uyan.php 文件在判断权限之前就可以接收uid参数。并且uid未被安全过滤即写入到了$uyan_code中。 我们看一下 $uyan_code 的内容: <?php $uyan_code=\''."\r\n".'<di ...
分类:
Web程序 时间:
2019-12-18 16:19:45
阅读次数:
119
