什么是xxe漏洞?XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁...
php代码审计案例之Bluecms(一)
前 言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是...
php漏洞代码审计之变量覆盖函数介绍
前言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用...
php代码审计案例之SQLI
所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用方法...
【网络安全研究进展系列】Fuzzing的研究之旅
编者按2022年5月,由网络安全研究国际学术论坛(InForSec)汇编的《网络安全国际学术研究进展》一书正式出版。全书立足网络空间安全理论与实践前沿,主要介绍网络和系统安全领域华人学者在国际学术领域...
php代码审计之magic_quotes_gpc特性
前言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用...
常见的软件测试方法有哪些?
纤云弄巧,飞星传恨,银汉迢迢暗渡。金风玉露一相逢,便胜却人间无数。软件测试的方法比较多,选对适合的方法才能在测试中起到事倍功半的作用。常见的软件测试方法主要分为静态测试方法和动态测试方法。静态测试方法...
HW:Web安全测评
微信公众号:计算机与网络安全▼针对典型的Web应用安全测评,可以将其划分为以下5个阶段:资产划分、信息收集、漏洞识别、安全评估以及解决方案的制定。1、资产划分在Web安全测评中,资产划分是所有工作的基...
php代码审计案例之easy_web
前言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用...
PHP 代码审计基础(思维导图、审计代码关键字)
0x00 Preface大多数漏洞都是由 [可控变量]+[特定功能] 产生的(对于用户可传入的变量缺少过滤或过滤不严)。比如SQL注入,我们通过闭合、注释等方式插入payload以获取敏感数据。比如文...