随笔分类 -  代码审计

记一次PHP代码审计拿下CNVD
发表于 2023-09-05 20:32阅读:89评论:0推荐:0
摘要:本篇文章作者幽壑,本文属i春秋原创奖励计划,未经许可禁止转载。 https://bbs.ichunqiu.com/thread-63544-1-1.html 记一次PHP路由审计 工具:Seay源代码审计系统 0x1 反射型xss 首先进行一个自动化扫描,根据结果进行跟进排查 跟进/user/tpl 阅读全文 »
posted @ 2023-09-05 20:32 LinkPoc 阅读(89) 评论(0) 推荐(0) 编辑
变量覆盖漏洞--介绍和简单利用
发表于 2022-03-31 11:10阅读:70评论:0推荐:0
摘要:漏洞形成原因 extract() 方法可用于将数组展开,键名作为变量名,元素值为变量值,简单的说,就是能够直接将 $_POST 和 $_GET 中的变量解析出来,不需要我们手工赋值处理。 <?php $blank='xxx'; $gift='aaa'; extract($_GET); if($gif 阅读全文 »
posted @ 2022-03-31 11:10 LinkPoc 阅读(70) 评论(0) 推荐(0) 编辑
代码审计-思路及工具
发表于 2021-10-06 15:49阅读:212评论:0推荐:0
摘要:##关于一些代码审计时的脆弱文件 函数集文件 通常命名中包含functions或者common等关键字 这些文件里面是一些公用函数,提供给其他文件统一调用,所以大多数文件都会在文件头包含到这类文件,寻找这类文件的技巧就是去打开index.php或者一些功能性的文件。 配置文件 通常命名中包含conf 阅读全文 »
posted @ 2021-10-06 15:49 LinkPoc 阅读(212) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示