随笔分类 -  逻辑篇

摘要:#前言 根据红日安全写的文章,学习PHP代码审计的第四节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一个实例来加深巩固,这是之前写的,有兴趣可以去看看: PHP代码审计01之in_array()函数缺陷 PHP代码审计02之filter_var()函数缺陷 PH 阅读全文
posted @ 2020-10-29 18:39 小艾搞安全 阅读(2052) 评论(0) 推荐(0) 编辑
摘要:前言 上一篇文章中,对逻辑漏洞进行了简单的描述,这篇文章简单的说一说逻辑漏洞中的越权漏洞。 参考文献《黑客攻防技术宝典Web实战篇第二版》 什么是越权漏洞? 顾名思义,越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说,就是用户A可以通过某种方式查看到用户B的个人信息,或者可以查看管理 阅读全文
posted @ 2020-05-15 19:41 小艾搞安全 阅读(1828) 评论(0) 推荐(1) 编辑
摘要:前言 之前的文章都是写的SQL注入,命令执行,文件上传等一步到位的高危漏洞原理及防御,接下来说一说逻辑漏洞,因为现在工具的大量使用,之前的那些主流漏洞,很难被轻易利用了,逻辑漏洞不一样,工具不会思考,所以应用程序有逻辑缺陷,工具很难发现,需要人为去挖掘,接下来就简单说一说,如何来进行逻辑漏洞的挖掘。 阅读全文
posted @ 2020-05-09 19:04 小艾搞安全 阅读(3202) 评论(0) 推荐(1) 编辑

点击右上角即可分享
微信分享提示