代码审计

"黑客教父"郭盛华您的网站存在Xss！快修修吧

00x01闲来无聊，笔者拿着在线WEB指纹识别系统，识别了一下"黑客教父"郭盛华的东方联盟(www.vm888.com)不扫不知道，一扫吓一跳Empirecms？？？帝国CMS？？？00x02猛然间想起freebuf发过...

安云代码审计 3天前 172540
二次注入代码剖析

本文针对二次注入进行讲解，并简单的绕过360脚本waf。。。。。首先来看程序的注册页面代码：可以看到程序开始执行就包含了./includes/common.php这个文件，而这个文件又是整个程序的核心，进入common.php文件：这个文件...

Script.M 代码审计 1个月前 55156
post需要application/x-www-form-urlencoded

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了在花费了半小时之后的谷歌才发现，尼玛p...

Lzers 代码审计 7个月前 60651
php漏洞与代码审计

在甲方公司做代码审计一般还是以白盒为主，漏洞无非这么几类，XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。1.xss + sql注入其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文件的，建议在...

Lzers 代码审计 7个月前 56199
php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言，这可能是对开发人员来说，确实有这方面的特点，因为它开发起来不像其他语言那样麻烦，就比如：弱类型，它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利，所有的数据类型都可以用$xx来定义，而不...

Lzers 代码审计 7个月前 28137
PHP安全编码规范之安全配置篇

因为配置不当引发的安全问题是屡见不鲜的，通过一系列的安全配置，可以很好的解决一些安全隐患，从而为系统增加安全系数。但是在开发过程中，因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。在这种情况下，需要更加的了解配置带来的安全隐患...

Lzers 代码审计 7个月前 52643

1