-
PHP代码审计之入门实战教程
PHP代码审计之入门实战教程教程介绍 讲师结合自身的学习经验,设计了适合代码审计入门指导的课程《PHP代码审计实战》。在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用。第三章着重实...
-
一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)
一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)前言 近日发现了一款有意思的PHP静态代码审计工具——Wpbullet。与其他PHP代码审计工具不同的是,Wpbullet是一款针对WordPress插件/主题开发的静态代码分析工具。 Wordpress自身代码尚且可以说很安全,但是其插件的安全却参差不齐,这款工具可以对Wo...
-
物联网设备固件分析之小试牛刀
物联网设备固件分析之小试牛刀前言 近几年,物联网设备已渗透到生活的方方面面,为人们带来了极大的方便。但是,因其承载有人们日常生活产生的数据和隐私信息,其安全性也越来越受到人们的关注。在上一篇中,我们讨论了用脚本控制小米设备,这主要是从流量层面入手来进行的安全分析;在这一篇,主要从固件入手,分析固件的脆弱性。 ...
-
php安全代码审计小结
php安全代码审计小结0x01 工具篇 编辑器(notepad++,editplus,UE等等,看个人习惯) TommSearch(字符串检索) || grep HttpProtocolDebugger(http协议调试器) Fiddler(分析包,改包) Seay PHP代码审计工具(php-co...
-
PHP自动化白盒审计技术与实现
PHP自动化白盒审计技术与实现0x00前言 国内公开的PHP自动化审计技术资料较少,相比之下,国外已经出现了比较优秀的自动化审计实现,比如RIPS是基于token流为基础进行一系列的代码分析。传统静态分析技术如数据流分析、污染传播分析应用于PHP这种动态脚本语言分析相对较少,但是却是实现白盒自动化技术中比较关键的技术...
-
PHP代码审计tips
PHP代码审计tips1、$_SERVER[‘PHP_SELF’]和$_SERVER[‘QUERY_STRING’],而$_SERVER并没有转义,造成了注入。 例如: ...
- 随机文章
-
- 基于E-Mail的隐蔽控制:机理与防御
- 关于CMSMS中SQL注入漏洞的复现与分析与利用
- 浅谈字体反爬虫的一些思路
- 记对OpenSNS的一次代码审计
- 一次CMS源码审计与漏洞发现
- Kubolt :可用于扫描开放Kubernetes集群的实用工具
- 首例发生在巴西的仿冒WannaCry恶意软件
- Beef-XSS+Sunny-Ngrok实现内网穿透
- MuddyWater APT组织使用的多阶段后门POWERSTATS V3
- Buhtrap黑客组织最新0day漏洞分析
- 挖洞经验丨有上传文件的文件名处发现的时间延迟注入漏洞
- 利用DNS隧道构建隐蔽C&C信道
- PTF:一款多模块渗透测试框架
- 未授权访问漏洞总结
- APT之迂回渗透
- 看我如何用SHerlock跨社交网络查找你的用户名
- SneakyEXE:一款嵌入式UAC绕过工具
- 关于安全体系中WAF的探讨
- 利用Linux文本操作命令ed进行提权
- ARP欺骗绕过Android TV BOX分析
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 那些强悍的PHP一句话后门
- 破解emlog收费模板“Begin”
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
- 文章标签
-