- 简介
- 目录大纲
- 最新文档
前期准备
网上看到的大佬课程,大佬博客地址如下: https://www.leavesongs.com/ 前期准备 代码审计需要学到什么程度? 能看懂,能梳理清楚网站的功能点,能在里面找到有危险的函数调用即可。 PHP还是Java PHP入门较快,漏洞较多,适合入门。 PHP审计工具 通用工具 PHPStorm:PHP集成开发环境 Xdebug:PHP源代码调试工具 PHPMyAdmin...……
别卷了 - 2024年12月18日 16:13
小技巧篇
小技巧篇 为什么小技巧很重要 白盒测试常见疑问 基本 Web 漏洞都有所了解,但实际漏洞挖掘过程中,为什么挖不到漏洞? 大部分地方都有过滤,但是有过滤不代表没有问题。 代码量增加以后,如何快速的找到漏洞? 通过双向漏洞挖掘方法,首先从index.php开始,先简单了解一下应用是什么样的:有什么功能,架构是什么样的,有没有全局变量的过滤,有哪些入口点,有哪些第三方的工具。 搜索漏洞关键字...……
别卷了 - 2024年10月12日 16:54
反序列化篇
反序列化篇 序列化和反序列化介绍 什么是序列化?为什么几乎所有语言都有序列化功能? 两台服务器上都运行PHP应用,我想讲服务器A上的一个PHP对象传到服务器B上,就需要使用序列化。 各种编程语言中的反序列化漏洞 PHP反序列化漏洞 Java反序列化漏洞 Python反序列化漏洞 反序列化的分类 反序列化执行触发任意代码 -> Python 反序列化后,通过已有代码利用链,间接执行任意...……
别卷了 - 2024年10月12日 16:07
前端漏洞篇
前端漏洞篇 前端漏洞一般可以通过一些FUZZ发现,代码审计没必要着重挖掘。 白盒审计中我们可能会遇到哪些前端相关漏洞? 前端漏洞类型 XSS漏洞 CSRF漏洞 Jsonp劫持漏洞(前三个重点关注) URL跳转漏洞 点击劫持漏洞 如何在白盒测试中寻找XSS漏洞 自动化FUZZ -> 寻找输出函数(echo、print、printf、var_dump等) 富文本XSS挖掘 富...……
别卷了 - 2024年10月10日 14:55