1课程目标掌握for与while循环掌握continue,break,pass的区别2核心知识...
代码审计系列第二节——SQL注入
通过第一节给大家简单介绍了一下代码审计简单使用,那么第二节,我们来介绍一下,利用工具和手工进行漏洞挖掘。为了大家能对sql注入有更好的学习和收获。推荐大家几个学习php基础的网站Imooc.com h...
静态代码扫描能干什么
静态代码扫描因为只能扫描特定结构的代码,且函数中的变量来源未知,导致误报率很高的。这种情况下的扫描 其实和正则没什么区别了。所以 就以AST来说 好像只能干以下的事情:合规加密解密算法是否接入sso是...
代码审计 | opensns代码审计复现
前言申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!本文来自N1cE师傅的投稿,在此表示由衷的感谢。作者寄语:由于本周也是在补天公众号看到了(moonv)这位师傅的代码审计文章...
代码审计第六节-命令执行
一次团队里面有人问了两个问题,自己面试时,面试官问了两个问题,自己感到特别疑惑。命令执行和命令注入是什么鬼?看到群里全是大牛宝宝们,在不断的给解答这样高端问题,看的宝宝心里是佩服的五体投地。下面直接把...
代码覆盖率在敏捷式软件开发过程中的实践流量
01前言 代码测试覆盖率是一种度量,它描述了对程序源代码的测试程度,是白盒测试的一种手段,能够直观暴露测试用例无法覆盖到的代码块。作为提升代码质量的利器,爱奇艺开发团队和QA团队在如何接入、...
开发简单的PHP混淆器与解混淆器
最近(被迫)拿到了不少经过混淆的PHP代码样本,尤其是我使用的某个开源软件里面竟然也有被混淆的PHP代码(还有几十个JS后门),导致我不得不把它们都解混淆来检查一下。不过,这些只要20分钟就能写出通用...
优雅的实现对外接口,要注意哪些问题?
点击下方“IT牧场”,选择“设为星标”作者:xiaolizhblog.csdn.net/xiaolizh/article/details/83011031博主之前做过恒丰银行代收付系统(相当于支付接口...
随缘发布一个新版本
今天一天为太极写的代码,可能比过去一年加起来的总和还多。虽然暂时还没有任何新功能,我还是没忍住想发布一个新版本。太极 App 最初的代码在 2017 年就已经存在了,那个时候 Android 7.1 ...
ThinkPHP3.2.x RCE漏洞复现
0x00 简介ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任...
【技术干货】CodeQL从0到1(内附Shiro检测demo)
本文会先介绍CodeQL是什么,基本语法和用法,最后是我在编写shiro反序列化漏洞提取规则的过程中遇到的问题,按照这三步来介绍CodeQL的使用方法。CodeQL介绍CodeQL是一个支持多种语言及...
借助Gotify轻松实现MSF上线提醒
前言官方已于5月14日上午将代码整合进官方项目~所以,友友们只需要搭建好自己的Gotify然后直接加载官方的session_notifier插件就可以了~但是,官方整合的代码是我按照官方要求修改后的代...
95