代码审计

0每周更新 9文章总数

Metinfo 5.3.17 前台SQL注入漏洞分析

Metinfo 8月1日升级了版本,修复了一个影响小于等于5.3.17版本(几乎可以追溯到所有5.x版本)的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响,可以直接获取数据,影响较广。0x01. 漏洞原理分...

post需要application/x-www-form-urlencoded

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了在花费了半小时之后的谷...

第五届中国网络安全大会

第五届中国网络安全大会(NSC2017)在京隆重举行  或  第五届中国网络安全大会(NSC2017)在京盛大召开  或  第五届中国网络安全大会  观信息安全“产、学、研、用”  或  第五届中国网...

php漏洞与代码审计

在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。1.xss + sql注入其中占大头的自然是XSS与SQ...

如何自己动手编写漏洞POC

1 前言善于编写高质量POC,有助于我们更好地发现和利用漏洞,再结合爬虫探测程序,就可以构建一个比较完善的漏洞利用框架。编写POC的门槛并不是很高,关键还是在于对漏洞本身的理解,只要...

PHP安全编码规范之安全配置篇

因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置...

php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带...

切换注册

登录

忘记密码 ?

切换登录

注册