这是一款基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞。 下载链接 https://pan.baidu.com/s/1VS3L ...
分类:
其他好文 时间:
2018-07-15 21:26:33
阅读次数:
9090
作者:i春秋核心白帽yanzmi 原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html 本期斗哥带来Java代码审计的一些环境和工具准备。 Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置 ...
分类:
编程语言 时间:
2018-06-28 12:04:47
阅读次数:
280
ref:https://xz.aliyun.com/t/1633/ JAVA代码审计的一些Tips(附脚本) 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自 ...
分类:
编程语言 时间:
2018-06-21 11:39:52
阅读次数:
184
作为一名准备成为CTF里WEB狗的萌新,在做了3个月的CTF的web题后,发现自己php代码审计非常不过关,并且web的架构模式条理也十分的不清晰,于是抱着提高代码审计能力的态度在近期会去写一个简单的cms(其实现在怎么写思路还是不清晰) 环境搭建:vmware虚拟环境,win7系统,web采用快捷 ...
分类:
Web程序 时间:
2018-06-10 11:54:24
阅读次数:
199
今天在做关于代码审计的问题遇到了一些问题,现在记录下来并分享,可能是我太笨了,有些问题一直没有明白 ==对比的时候会进行数据转换,0eXXXXXXXXXX 转成0了,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行 var_dump(md5('24 ...
分类:
Web程序 时间:
2018-05-30 21:08:11
阅读次数:
146
刚开始学习代码审计,根据法师的书本和相关资料进行慢慢开始练手,这里了一款WiiNews老版本针对于练手来讲还是比较简单通俗易懂的系统来做审计! #1 SQL注入 文件:/newsBySort.php 代码10~18行: id参数通过$_GET以后给sqlReplace函数处理、trim函数做是处理首 ...
分类:
数据库 时间:
2018-05-22 12:51:25
阅读次数:
207
背景介绍:今天接到老板分配的一个小任务:开发一个程序,实现从数据库中抽取数据并生成报表的功能(这是我们数据库审计平台即将上线的一个功能)。既然是要生成报表,那么首先得有数据,于是便想到从该业务的测试环境抽取业务表的数据,然后装载至自己云主机上的Mysql中。本来以为只要"select...intooutfile"和"loaddatainfile..."两个命
分类:
其他好文 时间:
2018-05-10 21:50:27
阅读次数:
214
现在WEB安全几乎就是网络安全的主科,我觉得WEB安全技术的重要性应该能够和小学时候咱们学习的学科,语文数学相持平了 WEB这个东西,我也不知道该怎么怎么样具体形容他的重要性,反正就是十分重要吧~ 对于这个技术我原本也是一直半解,知道我看了这部WEB代码审计教程才恍然大悟,原来WEB安全既然有这么多 ...
分类:
Web程序 时间:
2018-05-09 16:51:34
阅读次数:
318
前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~ 打开链接,就知道是道代码审计的题目,不过这题比较简单,我们一起看一下这段代码 意思是 ...
分类:
Web程序 时间:
2018-05-04 21:31:03
阅读次数:
5691
简介 当我们进行代码审计或校验备份结果时,往往需要检查原始与目标目录的文件一致性,python的标准库已经自带了满足此需求的模块filecmp。filecmp可以实现文件、目录、遍历子目录的差异对比功能。比如报告中输出目标目录比原始多出的文件或子目录,即使文件同名也会判断是否为同一个文件(内容级对比 ...
分类:
其他好文 时间:
2018-04-29 01:13:13
阅读次数:
182
