猫头鹰
信安舆情早知道

标签:代码审计

代码审计

PHP Code Injection Analysis

千域千寻阅读(3228)评论(0)

本文首发Mottoin 感谢千域千寻投递 转载请注明来自Mottoin 0x1 前言 为了方便自己以后的翻阅和查找,最近正在整理一些所学的内容。个人觉得只有将知识系统化和模块化才能更加有效的吸收和学习。接下来就先开始整理关于 PHP 代码注...

代码审计

一次对OpenCFP的代码审计

SecPaper阅读(1212)评论(0)

前言 OpenCFP是基于PHP开发的一个开源的会议讨论系统,很多公司单位的会议都会用这套系统,包括Immunity渗透会议以和其他更多会议。 这个漏洞是OpenCFP使用的第三方身份认证框架Sentry造成的,该框架是由 Cartalys...

Web安全

Python中编码二三事

ksss阅读(3497)评论(1)

0x00 在审计的时候比较喜欢注意对字符串操作的编码、解码和截这些操作,因为这里有可能导致对抗SQLi和XSS等安全函数失效。 前两天改一个自己刚入学的时候写的python小工具,发现编码解码真是一个头疼却有不得不面对的问题。一个小工具如果...

代码审计

自动化代码审计的四大思路及简单实现参考

SecPaper阅读(937)评论(0)

思路一 简单正则匹配危险函数,跟入函数看输入变量是否可控。 优点 简单,可用程序完成不少工作。 缺点 误报多,需要一个个确认输入变量。 不容易发现二次注入之类二次漏洞。 参考 1.seay代码审计工具 2. 思路二 解析程序语法树,分析危险...

专题

我与代码审计[一]

coffeehb阅读(1999)评论(0)

0x01. 背景 好久没写文章了,来写一篇水文。2016年对自己最大的愿望就是养成看书的习惯,改掉以前只买书不看书的“坏习惯”。2016年看的第一本书是《代码审计:企业级web代码安全架构》。还记得当程序员时的梦想:“要把开发和安全结合起来...

MottoIN 换一个角度看安全

寻求报道联系我们