程序流程按照个人的习惯,先走一下程序的流程,它有几点好处,1、可以快速浏览完系统运行的代码顺序、2、了解系统各文件功能、3、了解系统整个目录的分布情况。很明显,首页加载了common.inc.php,...
09月08日209 views评论php
文件
duomicms代码审计
09月08日209 views评论php
文件
09月08日209 views评论php
文件
PHP安全:变量的前世今生
摘要变量安全是PHP安全的重要部分,本文系统地分析了一个变量的“人生之旅”中存在哪些安全问题。变量的人生之路:传入参数→变量生成→变量处理->变量储存。Part1 传入参数传参是一个从前台通过G...
09月06日247 views评论http
php
Java代码审计 | XSS
前言本次分享的是web安全漏洞中的跨站脚本(XSS)攻击。从XSS漏洞原理,XSS三种类型介绍及利用以及XSS修复来分享此篇文章。在此特别感谢本文原创作者黑客小平哥。 一、跨站脚...
09月04日416 views评论web
xss
Java代码审计 | 任意文件下载
前言本次分享的是web安全漏洞中的任意文件下载,前段时间比较忙,今天抽空写了个简单的下载功能,代码运行的时候有点问题,但是不影响下载程序运行,我也就懒得改了,多多包含哈。任意文件下载漏洞描...
09月03日273 views评论文件
漏洞
phpstudy漏洞分析原因到修复
漏洞第一时间了解点击蓝字 · 关注我们01前言phpstudy(小皮模板存在nginx解析漏洞[phpstudy莫名的就背锅了)影响版本 phptsuy8.1.07的Nginx1...
09月03日261 views评论漏洞
版本
二.PHP代码审计涉及到的超全局变量
· 安全帮出品|安全帮(www.secbang.com)概述:安全帮专注安全教育大牛绕过 针对零基础小白【本章目的】掌握代码审计中常用的代码调试函数,单引号与双引号之间的区别【本章原理】开发...
09月02日218 views评论globals
php
不解释,必须分享【关于ThinkPHP的一些渗透方式】
ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,可以支持Windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlit...
09月01日374 views评论php
日志
file_put_content和死亡·杂糅代码之缘
亲爱的,关注我吧9/1文章共计4652个词今天的内容有一些图,流量用户注意哦9月的第一天,和我一起阅读吧文章转载来源:先知社区https://xz.aliyun.com/t/8163如何优雅地写一篇文...
09月01日343 views评论content
file
PHP/JAVA代码审计资料分享
文章来源:渗透云笔记最近在跟墨渊漏洞库的成员,学习代码审计的相关知识和练习,看了很多文章,顺便整理除了一份,资料出来。总之就是看呗,学会了还好,学不会就尴尬了。说实话,有点难啃,但是做出了自身不足的表...
09月01日284 views评论github
php
PHP代码审计学习--极致CMS1.6.7 SQL注入
一、前言最近在学习php代码审计,在cnvd发现极致cms中sql注入问题挺多的,本文针对极致cms1.6.7进行多处sql注入审计。可能存在部分理解偏差的地方,还请师傅们指正。cms下载链接:htt...
09月01日389 views评论php
sql
一. PHP代码审计中常用代码调试函数与注释
安全帮出品|安全帮(www.secbang.com)概述:安全帮专注安全教育【本章目的】掌握代码审计中常用的代码调试函数,单引号与双引号之间的区别【本章原理】开发中,经常会查看变量的值,因此经常会将变...
08月31日207 views评论代码
函数
PHP mt_rand 伪随机数安全探讨
概念php中 mt_rand 函数可用于生成伪随机数,但是伪随机数是可被预测的。mt_rand 是通过撒播随机数种子来生成随机数的,随机数种子范围是 unsigned int,即 0 – 429496...
08月31日298 views评论php
随机数
127