开篇我要说下,在《代码审计:企业级Web代码安全架构》这本书中讲十种MYSQL显错注入,讲的很清楚。 感兴趣请去读完,若处于某种原因没读还想了解,那请继续往下。 1、count,rand,floor 函数解释: count:是用来统计表中或数组中记录的一个函数。 rand:调用可以在0和1之间产生一 ...
分类:
数据库 时间:
2017-01-01 18:11:31
阅读次数:
562
进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!若有其他的补充和推荐,欢迎给小编留言(排名不分先后) 国 ...
分类:
Web程序 时间:
2016-12-29 16:49:01
阅读次数:
228
作者:索马里的海贼 来源:ichunqiu 本文属i春秋原创奖励计划,未经许可禁止转载! 前言 前些日子测试漏洞碰上了安全狗,一直做代码审计没什么实战经验 被虐的不要不要的。找了一些网上的方法,基本上封的封有限制的有限制,没什么通用的好方法(当然也可能是我找的姿势不对)。昨天有点时间就特地看了下安全 ...
分类:
其他好文 时间:
2016-12-23 11:45:15
阅读次数:
375
一、前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞。如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程。 入门php代码审计实际并无什么门槛要求,只需要理解基础的php语法规则,以及理解各种类型漏洞的出现原因则可以开始尝试审计 ...
分类:
Web程序 时间:
2016-12-21 16:25:59
阅读次数:
252
自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html。这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。由于WAF在比赛中所占比重越来越少,所以教程..
分类:
Web程序 时间:
2016-12-09 10:45:12
阅读次数:
399
很多朋友读了《PHP代码审计》,书的确很好。 根据书中内容总结大概如下: https://www.waitalone.cn/introduction-to-code-auditing.html 当你面对100行代码,你可以轻松找到漏洞。但当面对1W行以至于整个项目的代码时候,你还能轻松的找到么? 这 ...
分类:
其他好文 时间:
2016-12-08 21:18:37
阅读次数:
213
xdcms 源码:xdcms v2.0.8 1、配置 【一直下一步(仅为测试)】 #数据库账号root,密码为空;管理员账号/密码:xdcms/xdcms #登录后台 2、查看后台登录页面的配置项【xdcms/admin/index.php】 <script>location.href="../in ...
分类:
Web程序 时间:
2016-11-27 20:13:13
阅读次数:
4153
cms后台登录绕过 练习源码:【来源:源码下载】(数据库配置信息有误,interesting) 注:需进行安装 1、创建数据库 2、设置账号密码,连接数据库 3.1 正常登录后台,抓包分析数据提交位置【admin/login.php】 第3、4、7行:直接获取提交的数据,未进行参数过滤,可产生SQL ...
分类:
Web程序 时间:
2016-11-27 11:52:46
阅读次数:
503
均摘自《代码审计:企业级Web代码安全架构》一书 1.floor() select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information ...
分类:
数据库 时间:
2016-11-25 20:47:53
阅读次数:
184
审计环境与调试函数 审计环境 测试环境 常用集成环境:phpStudy、WampServer #不同的操作系统下,漏洞测试的结果也可能不一样 PHP编写工具 EditPlu Notepad++ 代码审计工具 Seay 代码审计平台 DVWA(注:windows下,需要将配置文件中的password改 ...
分类:
Web程序 时间:
2016-11-23 23:43:43
阅读次数:
189
