技术控

    今日:121| 主题:49552
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] 一个CMS案例实战讲解PHP代码审计入门

[复制链接]
灵魂未接触 发表于 2016-12-1 13:32:45
152 3

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
*本文原创作者:大胖,本文属FreeBuf原创奖励计划,未经许可禁止转载
  前言

   php代码审计介绍:顾名思义就是检查php 源代码 中的缺点和错误信息,分析并找到这些问题引发的安全漏洞。
   1、 环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建   

  审计环境 windows环境(windows7+Apache+MySQL+php)
  phpstudy(任何php集成开发环境都可以,),notepad++, seay源代码审计系统
  

一个CMS案例实战讲解PHP代码审计入门-1 (windows,源代码,linux,mysql,start)

  审计环境 linux环境(Apache+MySQL+php)
  我用的是kail linux apache与mysql已经集成在linux上了,只需要安装php环境即可
  [code]apt-get install php5 php-pear
service apache2 start
service mysql start[/code]  


一个CMS案例实战讲解PHP代码审计入门-2 (windows,源代码,linux,mysql,start)

   2、 xss 审计

  XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 xss分为存储型的xss和反射型xss, 基于DOM的跨站脚本XSS。
  反射型xss审计的时候基本的思路都一样,通过寻找可控没有过滤(或者可以绕过)的参数,通过echo等输出函数直接输出。寻找的一般思路就是寻找输出函数,再去根据函数寻找变量。一般的输出函数有这些:print , print_r , echo , printf , sprintf , die , var_dump ,var_export。
  测试代码如下(简单的说一下原理):
  

12下一页
友荐云推荐




上一篇:Frequency and chi-square test for independence Exercises
下一篇:Defer; defer; defer
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

杜静 发表于 2016-12-1 15:19:51
奔放洋气有深度
回复 支持 反对

使用道具 举报

anev2703 发表于 2016-12-1 21:06:27
听说摇动显示器可加灵魂未接触好友!
回复 支持 反对

使用道具 举报

蹇锐 发表于 6 天前
被楼主的逻辑打败了!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表