php代码审计php安全

面试系列 -- PHP后端面试常见问题总结

PHP安全知识PHP关键配置项有哪些如何防止Sql注入PHP的生命周期/启动流程说一下PHP的(内存)垃圾回收机制数组的底层实现PHP常见运行模
躬行者·2019-09-04 00:00

php代码审计(一)phpBug#69892

phpbug#69892Description:------------var_dump([0=>0]===[0x100000000=>0]);//bool(true)题目代码:#Challenge
CliffordWR·2019-08-31 09:57

php代码审计(一)phpBug#69892

phpbug#69892Description:------------var_dump([0=>0]===[0x100000000=>0]);//bool(true)题目代码:#Challenge
CliffordWR·2019-08-31 09:57

网络安全思维导图收藏

运维安全渗透的艺术渗透测试浏览器安全思维导图情报收集脑图密码找回逻辑漏洞安全运维脑图企业安全防御思维导图代码审计的溢出脑图业务安全top10xssvirus1.0XSS1脑图XSS2脑图XML安全汇总Web应用安全SSRF脑图SQLmap脑图PHP
lyshark·2019-08-30 19:00

PHP代码审计总结

当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅.这是代码审计最后一篇,对前面所学进行总结目录二、代码执行漏洞三、命令注入漏洞四、XSS漏洞五、CSRF漏洞六、SQL注入漏洞七、文件包含漏洞八、文件上传漏洞九、变量覆盖漏洞十、身份认证漏洞漏洞防范二、代码执行漏洞什么是代码执行漏洞?答:字符串转化成代码的函数时,没有
Causal_Escap·2019-08-01 15:46

PHP代码审计:RIPS 代码审计工具

原文链接:https://www.shiyanlou.com/courses/895当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。目录代码执行漏洞工具介绍RIPS使用教程总结代码执行漏洞代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。常用的代码审计工具之后,选取其中的PHP源码审计工具—
Causal_Escap·2019-08-01 08:09

PHP代码审计:RIPS 代码审计工具

原文链接:https://www.shiyanlou.com/courses/895当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。目录代码执行漏洞工具介绍RIPS使用教程总结代码执行漏洞代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。常用的代码审计工具之后,选取其中的PHP源码审计工具—
Causal_Escap·2019-08-01 08:09

PHP代码审计:身份认证漏洞

原文链接:https://www.shiyanlou.com/courses/895当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。目录身份认证漏洞简介cookie身份认证漏洞seesionid固定漏洞漏洞防范•cookie身份认证漏洞防范session固定漏洞防御身份认证漏洞认证的目的是为了认出用户是谁,而授权
Causal_Escap·2019-08-01 01:00

PHP代码审计:变量覆盖漏洞

原文链接:https://www.shiyanlou.com/courses/895当你的才华还撑不起你的野心时那你就应该静下心来学习代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。目录变量覆盖漏洞一、简介•extract()函数•parse_strc()函数•import_request_variables()函数二、漏洞利用三、漏洞防范extract()函数
Causal_Escap·2019-08-01 00:27

夏令营集训2--web安全

Web题目分类:1.源码获取,扫描,弱密码爆破,js绕过2.Php代码审计,弱类型比较3.文件上传,文件包含4.序列化与反序列化5.Sql注入6.Xss跨站脚本攻击Web的基础知识1.了解HTTP协议:
MIGENGKING·2019-07-16 23:13

黑客资源免费分享

攻防测试手册https://micropoor.blogspot.com/2019/01/php8.htmlPHP安全新闻早8点课程系列高持续渗透--Micropororhttps://github.com
Odysseus_lpy·2019-07-12 09:39

PHP代码审计基础_漏洞银行_笔记整理(一)

PHP主要适用于Web开发领域用户输入经过操作,进入危险函数,执行危险操作用户输入指GPCSF、数据库、文件等输入点,危险函数包括include、system等。用户输入的危险操作要是被转义或者过滤就不能被执行成功(这也是我们写代码时要注意的,代码中得有过滤和转义部分,以防留下非常简单的漏洞)人工审计(1)跟踪用户可控的输入,比如GET参数,看它到哪一步,是否进入危险函数中;(2)找到危险函数,看
Sandra_93·2019-07-06 19:56

LANMP安全配置之Nginx安全配置

0x00前言比起前几篇的Apache安全配置、PHP安全配置、Mysql安全配置,对Nginx的了解巨少,没怎么用过除了知道Nginx解析漏洞就啥也不知道了好了,开始学习0x01账户权限管理1.1更改默认用户名
·2019-06-20 00:00

Writeup 实验吧/WEB/FALSE/1787 【PHP代码审计

http://www.shiyanbar.com/ctf/1787http://ctf5.shiyanbar.com/web/false.php0x00查看php源码Yourpasswordcannotbeyourname!';elseif(sha1($_GET['name'])===sha1($_GET['password']))die('Flag:'.$flag);elseecho'Inval
growing27·2019-06-19 16:20

php上传图片到非项目目录,前端页面的读取问题

PHP安全:如何防范用户上传PHP可执行文件如链接文章所言,现在的jpg里面也能编辑一些代码,所以上传的路径最好是项目不能直接访问到的。比如项目B在:/soft/www/B,
铁柱同学·2019-06-13 20:46

LANMP安全配置之Nginx安全配置

0x00前言比起前几篇的Apache安全配置、PHP安全配置、Mysql安全配置,对Nginx的了解巨少,没怎么用过除了知道Nginx解析漏洞就啥也不知道了好了,开始学习0x01账户权限管理1.1更改默认用户名
0nc3·2019-06-13 08:54

DVWA之文件包含漏洞全级

page=include.php代码审计:直接使用get方式传参,没有任何的门槛FileIncl
社会底层中的弱智·2019-06-05 10:02

开发PHP商城要注意的一些常见安全问题

一般情况下我们在自己开发的过程中,需要注意PHP安全方面的
德尚网络·2019-06-05 10:06

php安全编码规范

php安全库rhizobia目录一、安全编码基本原则1.1所有输入数据都是有害的1.2不依赖运行环境的安全配置1.3安全控制措施落实在最后执行阶段1.4最小化1.5
Jaskzon·2019-05-22 19:05

PHP安全之webshell和后门检测

PHP安全之webshell和后门检测一、各种webshell一句话木马,其形式如下所示:$cmd";die;}?>这种容易被安全软件检测出来。
清心_3389·2019-05-06 22:00

XCTF攻防世界web新手练习_ 10_simple_php

XCTF攻防世界web新手练习—simple_php题目题目为simple_php,根据题目信息,判断是关于php代码审计的打开题目,得到一串php代码代码很简单,就是以GET方式获得两个参数a和b,如果
Aj0k3r·2019-04-29 17:14

php安全、性能优化

安全:pdo占位符/预解析的方式,防止sql注入:?的方式性能优化:1.页面静态化(首页、栏目等做静态化处理。静态请求比动态请求性能搞出很多)a.后台修改后手动清除缓存(删除生成的对应的静态页面)b.后台修改后自动清除缓存2.gzip压缩图片(对大文件压缩很好,小文件效果差。压缩会耗cpu资源)设置开关、最小大小、缓存单位(缓冲区16k为单位,如果文件超过16k,就按4倍创建缓冲区),压缩机别(1
梁十八·2019-04-27 00:08

[PHP 安全] pcc —— PHP 安全配置检测工具

文章转自:https://learnku.com/php/t/27016背景在PHP安全测试中最单调乏味的任务之一就是检查不安全的PHP配置项。
Charlie_Jade·2019-04-18 00:00

php安全配置

1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。PHP官网下载地址为:http://www.php.net/downloads.php2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。/usr/local/a
焚膏油以继晷,恒兀兀以穷年·2019-04-10 14:13

最新某某《PHP代码审计入门教程(SQL注入+XSS+CSRF+命令注入)》

目录1-1课程介绍与环境搭建.exe2-1HTML常用标签.exe2-2HTML表单.exe2-3PHP基本语法.exe2-4PHP选择和循环语句.exe2-5PHP操作数据库.exe3-10高职比赛SQL注入试题分析二.exe3-1low级别SQL注入代码分析.exe3-2SQL注入漏洞的利用.exe3-3medium级别SQL注入分析.exe3-4high级别SQL注入分析.exe3-5盲注、
luxury1245·2019-04-02 18:04

Python安全编码与代码审计

代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。
FLy_鹏程万里·2019-03-16 17:36

PHP代码审计之函数漏洞(下)

前言此篇文件属于代码审计篇的一个环节,其意图是为总结php常见函数漏洞,分为上下两节,此为下节!此篇与命令注入绕过篇和sql注入回顾篇同属一个系列!欢迎各位斧正!目录前言正文md5()引发的注入md5加密相等绕过数字验证正则绕过md5函数验证绕过十六进制与数字比较绕过后记正文md5()引发的注入0){echo'flagis:'.$flag;}else{echo'密码错误!';}?>MD5之后是he
JBlock·2019-03-13 15:26

PHP代码审计之函数漏洞(上)

前言此篇文件属于代码审计篇的一个环节,其意图是为总结php常见函数漏洞分为上下两节,此为上节!此篇与命令注入绕过篇和sql注入回顾篇同属一个系列!欢迎各位斧正!文章目录前言正文intval()使用不当导致安全漏洞的分析switch()in_array()PHP弱类型的特性"."被替换成"_"unsetserialize和unserialize漏洞session反序列化漏洞MD5compare漏洞e
JBlock·2019-03-13 15:37

CTF命令执行及绕过技巧

今天开启php代码审计系列!今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景!
JBlock·2019-03-07 16:21

BugkuCTF代码审计Writeup

前言最近在读吴翰清先生的《白帽子讲Web安全》,可以说是萌新打开了自己新世界的大门,看了白帽子的PHP安全这一块内容,决定上手一些题目练一练基础,下面放上一些晚上练习的Bugku的代码审计题目;正文extract
Gard3nia·2019-02-03 18:02

PHP安全模式详解 PHP5 4安全模式将消失

PHP安全模式详解(huangguisu)这个是之前的笔记,随笔贴上而已。PHP安全模式在5.4的时候已经不再支持了。
我为AI领域做了奉献·2019-01-14 19:12

PHP代码审计入门

目录一:代码审计的定义二:为什么选择PHP学习代码审计三:入门准备四:PHP常见的套路4.1代码结构4.2目录结构4.3参考项目五:如何调试代码六:代码审计的本质一:代码审计的定义通过阅读一些程序的源码去发现潜在的漏洞,比如代码不规范,算法性能不够,代码重用性不强以及其他的缺陷等等从安全人员的角度来看是:查找代码中是否存在安全问题,推断用户在操作这个代码对应功能的时候,能否跳出开发人员设想的场景和
马 赛 克·2019-01-06 15:43

Virink主讲的PHP代码审计实战视频课程

讲师结合自身的学习经验,设计了适合代码审计入门指导的课程《PHP代码审计实战》。
a18854483074·2018-12-05 15:47

PHP安全编程系列》系列分享专栏

PHP安全编程系列收藏夹收藏了有关PHP安全编程方面的知识,对PHP安全编程提供学习参考《PHP安全编程系列》已整理成PDF文档,点击可直接下载至本地查阅https://www.webfalse.com
xiao_lili·2018-11-06 09:40

Linux下PHP网站服务器安全配置加固防护方法【推荐】

本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等,很好很强大很安全。
Sinesafe网站安全·2018-08-28 10:55

PHP安全

PHP安全一、SQL注入攻击(SQLInjection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。
追车·2018-08-08 17:54

PHP代码审计神器——RIPS个人汉化版

PHP代码审计神器——RIPS个人汉化版有技术培训需求/技术交流/代码审计需求/的朋友可以联系QQ547006660一、RIPS简介RIPS是一款PHP开发的开源的PHP代码审计工具,由国外的安全研究者
J0o1ey·2018-08-05 06:43

米安代码审计 08 ThinkSNS 垂直平行越权

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介环境本地搭建的环境web环境:wampapache2.4.9mysql5.6.17php5.5.12
青蛙爱轮滑·2018-07-24 12:10

米安代码审计 07 越权漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介什么是越权越权漏洞是Web应用程序中一种常见的安全漏洞。
青蛙爱轮滑·2018-07-24 12:01

米安代码审计 06 PHPYUN V3.0 任意文件上传漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介web环境:phpstudyapache+php5.2程序版本:phpyun3.02013-11-
青蛙爱轮滑·2018-07-24 12:52

米安代码审计 05 文件上传漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介危害如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上
青蛙爱轮滑·2018-07-24 12:44

米安代码审计 04 截断漏洞剖析

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.环境虚拟机搭建的环境web环境:phpstudyphp5.4程序版本:dvwa%00截断所需要的php
青蛙爱轮滑·2018-07-24 12:36

米安代码审计 03 文件解析漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.环境IIS5.x/6.0解析漏洞IIS7.0/IIS7.5/Nginx');?
青蛙爱轮滑·2018-07-24 12:27

米安代码审计 02 漏洞挖掘工具

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介phpstromIDESeay源代码审计系统RIPS静态PHP代码分析工具2.下载phpstromIDEPHP
青蛙爱轮滑·2018-07-24 12:19

PHP代码审计 18 实战 MetInfo 变量覆盖漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录参考文章链接1.简介变量覆盖漏洞变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract
青蛙爱轮滑·2018-07-23 23:16

PHP代码审计 17 实战 Xdcms 漏洞挖掘 SQL 注入

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介思路查看网站后台管理页面的源码,查看网站使用了那些过滤函数(通常会有一些自定义的过滤函数可供调用)
青蛙爱轮滑·2018-07-23 23:07

PHP代码审计 16 漏洞挖掘的思路

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介漏洞形成的条件可以控制的变量(一切输入都是有害的)变量到达有利用价值的函数(危险的函数)漏洞造成的效果漏洞的利用效果取决于最终函数的功能变量进入什么样的函数就导致什么样的效果危险函数什么样的函数就会导致什么样的漏洞文件包含
青蛙爱轮滑·2018-07-23 23:56

PHP代码审计 15 实战盾灵投稿系统 cookie 后台绕过漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介盾灵投稿系统脚本之家下载链接互联网上下载源码,自己搭建一下就好了我搭建的本地系统位置为http:/
青蛙爱轮滑·2018-07-23 23:45

[原]使用PHP安全检测拓展Taint检测你的PHP代码 (附源码分析)

一.拓展简介Taint是鸟哥写的一个PHP拓展支持PHP5.2~PHP7.2。拓展启用后能监控某些关键函数是否直接使用了来源于用户输入($_GET,$_POST,$COOKIE)而没有经过特殊处理的字符串。举个例子,在你web服务器的根目录下创建一个如下的taint.php文件$strA=trim($_GET['test']);$strB='inputa'.sprintf('%s',$strA);
bromine·2018-07-23 21:27

PHP代码审计 14 文件上传漏洞

本文记录PHP代码审计的学习过程,教程为暗月2015版的PHP代码审计课程PHP代码审计博客目录1.简介审计函数move_uploaded_file()定义和用法:move_uploaded_file(
青蛙爱轮滑·2018-07-21 16:47
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他