小迪老师代码审计
代码审计挖掘漏洞关键字搜索:1搜变量,2搜函数关键字工具fortify,批量化挖掘漏洞,静态挖掘漏洞,支持多种语言,做题先扫描一遍seay:扫描关键字,输入关键字之后点击全局搜索,但是可能封装到一个类中了,记住勾选正则和不区分大小写,一定要看看哪一个语句是否有变量,没有变量就是写死了,没有办法控制变量,就没办法sql注入,乱码记得切换编码由关键字搜索到具体函数,根据函数名右键全局搜索调用函数的位置关键字搜索,使用全局搜索,搜索可控变量或者执行函数搜索例如select update insert 等sql语句...
小迪老师代码审计
代码审计挖掘漏洞关键字搜索:1搜变量,2搜函数关键字工具fortify,批量化挖掘漏洞,静态挖掘漏洞,支持多种语言,做题先扫描一遍seay:扫描关键字,输入关键字之后点击全局搜索,但是可能封装到一个类中了,记住勾选正则和不区分大小写,一定要看看哪一个语句是否有变量,没有变量就是写死了,没有办法控制变量,就没办法sql注入,乱码记得切换编码由关键字搜索到具体函数,根据函数名右键全局搜索调用函数的位置关键字搜索,使用全局搜索,搜索可控变量或者执行函数搜索例如select update insert 等sql语句...
Java代码审计初试
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路,阐述了一些混淆反编译的想法。
PHP无框架代码审计
开始审计前,先看一下目录结构,判断是否使用框架开发,常见的框架如Thinkphp、Laravel、Yii等都有比较明显的特征
代码审计-闪灵cms
闪灵cms高校版是一款php开发的智能企业建站系统,该系统能让用户在短时间内迅速架设属于自己的企业网站。建站系统易学易懂,用户只需会上网、不需学习编程及任何语言,只要使用该系统平台,即可在线直接完成建站所有工作。
mfw靶场学习(信息搜集,小知识点和代码审计学习)
今天这个文章我们简单学习一下信息搜集,拓展小知识点和一点代码审计,每天一点点,进步多一点。
【代码审计】对某BC老盘子的代码审计
本篇文章作者YanXia,本文属i春秋原创奖励计划,未经许可禁止转载 地址https://bbs.ichunqiu.com/thread-63596-1-1.html