最近在一本有关代码审计的书上看到如上解释.这里很好的解释了int到底应该占多少个字节. 而且从他的角度来看是编译器去适应平台.所以真正决定int占多少字节取决于你的device platforms. 其实无论哪种模型short和c...
分类:
其他好文 时间:
2014-08-20 14:33:42
阅读次数:
152
IT审计中有一个最多的执行步骤就是取证。最近的项目过程中,有需要验证ftp服务机密性的需要,就写了一个ftp访问并下载文件的脚本。此步骤实现目的有三:1、ftp是否可以匿名访问到敏感信息。2、在渗透人员拥有低等、中等技术水平前提下,目标ftp服务器的日志记录、入侵检测等是否会产生记录、阻断及预警功能...
分类:
编程语言 时间:
2014-08-07 12:17:59
阅读次数:
285
流程图代码解析后面补充……版权作 者:曾是土木人转载请注明出处:http://www.cnblogs.com/hongfei/p/sqlmap-workflow.html代码审计、渗透测试技术交流:九27+二七七+八5零
分类:
数据库 时间:
2014-07-25 02:44:04
阅读次数:
331
我们知道,在Risk Threat Modeling(风险模型)中,攻击者通过开源代码或者逆向工程获得目标系统的源代码,从而发现系统潜在的漏洞利用方式是一个高危且常见的风险点,尤其在一些CMS的WEB漏洞中极为常见。因此,在整个IT系统的开发和维护周期中进行code review(代码审计)就成了一...
分类:
其他好文 时间:
2014-06-18 15:26:43
阅读次数:
273
这是一个很老的漏洞了。最近学习代码审计在乌云上看到的,作者只给了部分分析,和利用的exp。0x1代码分析漏洞出现在flow.php在flow.php的372行有如下代码{
/* * 保存收货人信息 */ $consignee = array...
分类:
其他好文 时间:
2014-06-02 11:55:25
阅读次数:
350
历史版本:2013年7月15日
Seay源代码审计系统2.01.增加mysql执行监控,可以监控自定义断点后执行的所有SQL语句,方便调试SQL注入2.更换在线升级,安装好之后下次更新可以直接在线升级,无需重新安装3.更换皮肤,去除图片优化程序速度4.更换mysql管理系统为HeidiSql2013...
分类:
其他好文 时间:
2014-05-07 14:10:37
阅读次数:
402
0×00
简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric ( mixed $var )如果 var
是数字和数字字符串则返回 TRUE,否则返回 FALSE。 0×01 函数是否安全接下来我们来看个例子,说明这个函数是否安全。 ...
分类:
Web程序 时间:
2014-05-07 00:34:36
阅读次数:
319