代码审计结合黑盒和白盒的方法。这里多数地方是先黑盒,发现问题之后,审计代码问题在哪以及如何解决。白盒包括使用自动化代码审计工具定位可控变量,进而逐个排查变量传入函数是否有安全问题。 &nbs...
05月14日710 views评论代码
目录
PHP代码审计
05月14日710 views评论代码
目录
05月14日710 views评论代码
目录
软件生命周期(SDLC)的六个阶段
1、问题的定义及规划此阶段是软件开发方与需求方共同讨论,主要确定软件的开发目标及其可行性。2、需求分析在确定软件开发可行的情况下,对软件需要实现的各个功能进行详细分析。需求分析阶段是一个很重要的阶段,...
05月11日安全开发109 views评论软件开发
阶段
JavaWeb安全开发
SQL注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没...
11月21日代码审计809 views评论java
sql
[CVE-2018-2628]weblogic反序列化漏洞
当地时间4月17日,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列...
11月20日629 views评论cve
漏洞
【代码审计】ThinkSNS_V4 后台任意文件下载导致Getshell
00前言ThinkSNS(简称TS),一款全平台综合性社交系统,为国内外大中小企业和创业者提供社会化软件研发及技术解决方案,目前最新版本为ThinkSNS+(简称TS+),也称作ThinkSNS-pl...
11月14日714 views评论getshell
源码
【代码审计】PHPYun_v4.3 CMS重装到Getshell
01前言 PHPYun是一款国内流行的人才网站管理系统,做了一些测试,发现了一点问题,做个记录,未深入。02环境搭建PHPYun官网:https://ww...
11月14日721 views评论php
源码
【代码审计】MIPCMS 远程写入配置文件Getshell
00前言 MIPCMS - 基于百度MIP移动加速器SEO优化后的网站系统。在审计代码中,发现一个可以远程写入配置文件Getshell的漏洞,感觉挺有意思的,分享一下思路。0...
11月14日550 views评论getshell
源码
【代码审计】CLTPHP_v5.5.3 任意文件上传漏洞
00前言CLTPHP采用ThinkPHP开发,后台采用Layui框架的内容管理系统。在代码审计中,发现了一个无需权限的任意文件上传漏洞,可批量,已提交CNVD,分享一下思路。01环境搭建CLTPHP官...
11月14日635 views评论http
漏洞
【代码审计】EasySNS_V1.6远程图片本地化导致Getshell
01前言ESPHP开发框架基础上开发而成的EasySNS极简社区为全新数据库架构和程序结构。本文以EasySNS_V1.6作为代码审计的目标,分享一个远程图片本地化导致Getshell的漏洞。02环境...
11月14日620 views评论http
php
开源项目 | BurpSuite插件:phpStudy后门检测插件
背景phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装...
09月24日1,196 views评论php
插件
你真的会代码审计吗?
正文: 安全圈里有句老话 一切的用户输入都是有害的 的确,我们的所有安全测试都是基于这一点的.既然 用户的一切输入都是有害的 那么怎样使这个危害显现出来呢,这就引入了安全的另一句话 有害的数据进入了危...
06月28日1,041 views评论安全
用户
Java Web安全-代码审计
Java Web安全-代码审计 @Author 安百科技-凌天实验室-园长 @Email [email protected] @Date 2018-12-29 @Github javaw...
06月28日1,171 views评论java
代码
306