代码审计初探之XDCMS 一来总结一下最近所学习的代码审计的知识。 二来实战一下一个小CMS的代码审计。 代码审计 目的 查找并修复在开发阶段存在的一些漏洞或程序逻辑错误，避免漏洞被非法利用给企业带来风险。 应该让开发人员填写一个C…

一、sql注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为…

最近学习了一些Webshell相关的知识，来补充一下，这是一个大块，绕过的姿势千奇百怪，就算市面上出来的也有很多，还是好好学习。 Webshell工作原理 php常见的eval类型一句话木马 [crayon-5d8099faa0d3…

先基本介绍一些逻辑漏洞 一、支付漏洞 一般分为3类：一是在支付过程中直接发送含有需要金额的数据包；二是没有对购买数量进行限制；三是程序的异常处理。 支付过程中直接发送含有需要支付金额的数据包 我们通过直接修改前端或者数据包金额来进行…

前言: 信息收集分类: 1、主动式信息搜集（可获取到的信息较多，但易被目标发现） 2、通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。 3、被动式信息搜集（搜集到的信息较少，但不易被发现，如通过搜索引…

最近几年区块链风头正旺，也有不少企业有代码安全审计的需求，因此也从网上搜索了业内的相关技术类的网站，本篇文章文章以实例编写翻译，感觉不错，分享到社区作为笔记 为了教会你如何进行审计，我会审计我自己写的一份合约。这样，你可以看到可以由…

0x00什么是Redis？ Redis是一个开源的使用ANSIC语言编写、Key-Value数据库，并提供多种语言的API,所谓的KEY对Value指的是每一个Key都对应一个value值。value也可以是null。与memcac…

（1）Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除，可能存在cookie、session伪造，进行后台登录操作 修复建议 1、删除样例文件 2、对apache中web.xml进行相关设置 （2）弱口令 漏洞描…

## 0x00 日常BB 看论坛里大家平时发的技术文章，就知道自己是个还没踏进门槛的小学生，根本不在一个level，有点慌了。还是把自己平时发现的，自认为有点意思的点罗列出来，班门弄斧，师傅们别笑话→.→ ## 0x01 前言 本次…

中国互联网安全大会(ISC) 将于2018年9月4日在北京华丽登场。自2013年以来已经成功举办过5届，美国第一任网络司令部司令基斯.亚历山大、 美国911后第一任安全部部长汤姆·里奇、“计算机病毒之父”美国专家弗雷德•科恩、迈克菲…