随笔分类 - PHP代码审计
摘要:BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞 环境搭建 源码下载:https://jwt1399.lanzoui.com/inPwSde6c5a将upload下的文件移动到网站根目录下访问/install,安装程序,配置基本信息 seay自动审计 定位到第一条的位置/ad_j
阅读全文
摘要:审计模块:数据验证、身份认证、会话管理、授权、加密、错误处理、日志、安全配置、网络架构 数据验证 数据验证是对输入的数据进行安全验证,大部分的漏洞都是由于对输入的数据未进行安全验证造成的。 常见的数据验证方式为: 对数据进行精确匹配 接收白名单的数据 拒绝黑名单的数据 对匹配黑名单的数据进行编码 常
阅读全文
摘要:代码审计环境搭建 使用phpstudy搭建wamp环境 PHP核心配置 几个需要了解的PHP核心配置选项 PHP_INI_USER 该配置选项可以在用户的PHP脚本或Windows注册表中设置 PHP_INI_PERDIR 在php.ini/.htaccess/httpd.conf中设置 PHP_I
阅读全文
