前言在审计某CMS代码时,发现后台存在一处比较有意思的远程代码执行漏洞,这里跟大家分享下漏洞分析漏洞触发点位于下图代码段中见上图803行处,存在一处fwrite方法:程序会将修改日志$log变量中的值...
PhpMyadminSQL注入(CVE-2020-0554)复现
简介phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。影响版本phpMyAdmin 4 <...
PHP安全:变量的前世今生
摘要变量安全是PHP安全的重要部分,本文系统地分析了一个变量的“人生之旅”中存在哪些安全问题。变量的人生之路:传入参数→变量生成→变量处理->变量储存。Part1 传入参数传参是一个从前台通过G...
二.PHP代码审计涉及到的超全局变量
· 安全帮出品|安全帮(www.secbang.com)概述:安全帮专注安全教育大牛绕过 针对零基础小白【本章目的】掌握代码审计中常用的代码调试函数,单引号与双引号之间的区别【本章原理】开发...
MySQL 配置优化
安装MySQL后,配置文件my.cnf在 /MySQL安装目录/share/mysql目录中,该目录中还包含多个配置文件可供参考,有my-large.cnf ,my-huge.cn...
命令执行的bypass技巧
首先感谢p总提供的精妙思路 在一些存在命令执行漏洞的地方,通常程序员也会做一些过滤 但是这些过滤往往只是针对某些特定字符,或者关键字的,因此存在绕过的方法。 首先我们来看看在UNI...
过D盾的马马
发现最近过waf很好玩,异想天开的写代码就好了(当然要写的对),然后自己也来试一试,想到了利用变量覆盖来绕过~
2