1 打开页面就是一个asp源代码,然后代码审计,提交正确答案。随便提交一个1,用firefox firebug看下请求http://suninatas.com/Part_one/web01/web01.asp?str=1很好,现在知道了源代码里面的str就是请求url里面的参数。由于没有学过ASP....
分类:
Web程序 时间:
2015-12-07 00:19:28
阅读次数:
421
0x00 由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天开始学习php代码审计,所以先开始发这一些的随笔吧! 首先就先通过十大测试平台dvwa开始学习吧,先在这里带上参考的大牛链接,感谢分享 1.http://drops.wooyun.org/pa...
分类:
数据库 时间:
2015-10-23 21:27:37
阅读次数:
316
至于宽字节注入,有人写过,我就不多写了:https://www.91ri.org/8611.htmlhttp://netsecurity.51cto.com/art/201404/435379_4.htm针对iconv()函数,我就试着写了个utf-8和gbk的url编码转换importos,urllib
print"""ifuwantchangegbktoutf-8,pleaseinputgbk,soasinpututf-8.
in..
分类:
其他好文 时间:
2015-08-21 00:27:39
阅读次数:
261
OSSIM系统用户审计注意CODE下方的数字表示审计代码。审计代码分类如下图所示。今后谁在高峰期启动了漏扫,出现了问题,别再不承认喏。不过这种审计局限于WebUI下操作。
分类:
其他好文 时间:
2015-06-24 19:21:39
阅读次数:
169
附上url:http://codexploiter.findmysoft.com/官网下载地址
分类:
Web程序 时间:
2015-06-11 00:25:38
阅读次数:
128
由于php缺少自动升级的机制,导致目前PHP版本并存,也导致很多存在漏洞没有被修补。这些有漏洞的函数也是我们进行WEB应用程序代码审计的重点对象,也是我们字典重要来源。四、其他的因素与应用代码审计很多代码审计者拿到代码就看,他们忽视了“安全是一个整体”,(http://www.fsprefabhou...
分类:
Web程序 时间:
2015-05-21 19:33:56
阅读次数:
112
原文出处:exploit欢迎分享原创到伯乐头条0×00由于博客实在没什么可以更新的了,我就把目前做的事情总结一下,当做一篇博客,主要是谈一谈项目中所运用的一些技术。目前市面上有不少PHP的自动化审计工具,开源的有RIPS、Pixy,商业版本的有Fortify。RIPS现在只有第一版,由于不支持PHP...
分类:
Web程序 时间:
2015-04-27 09:22:18
阅读次数:
133
#php代码审计标签(空格分隔):php代码审计---#0前言#1环境要求##1.1,测试资源(1)待测试设备的ip地址,web入口,包括常用用户的登录名和密码(2)后台登陆方式,包括端口,协议,用户名和密码,代码是否加密,如果加密了的话需要解密;登陆是否需要密钥,密钥密码等(3)we..
分类:
Web程序 时间:
2015-04-27 00:41:50
阅读次数:
223
Centos/CentOS 6.4 linux内核2.6.3.2本地提权exp代码jincon发表于 2014-05-31 08:25:00 发表在:代码审计最近我接手的一台centos服务器的,被黑客攻击,直接获取到root权限,牛逼,通过分析,大约是通过mysql+exp提权获得root权限。下...
分类:
系统相关 时间:
2015-04-22 20:01:05
阅读次数:
289
??
0x00
由于博客实在没什么可以更新的了,我就把目前做的事情总结一下,当做一篇博客,主要是谈一谈项目中所运用的一些技术。目前市面上有不少PHP的自动化审计工具,开源的有RIPS、Pixy,商业版本的有Fortify。RIPS现在只有第一版,由于不支持PHP面向对象分析,所以现在来看效果不是太理想。Pixy是基于数据流分析的工具,但是只支持PHP4。而Fortify是商业版本,由于这个限制...
分类:
Web程序 时间:
2015-04-10 17:53:39
阅读次数:
204
