代码审计

代码审计指的是对源代码进行检查,寻找代码中的bug和安全缺陷,这个是一项需要多方面技能的技术,所以我们需要掌握编程,漏洞原理,还要了解系统服务和中间件等。
YXcms是一个代码审计入门级的cms,比较适合想我这样的小白玩家进行操作。。。
招聘
陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全,以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作,以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。
这是我审计的第一个CMS,由于这次代码审计的初衷只是为了学习代码审计中寻找SQL注入的思路及大致流程,所以这次审计仅针对SQL注入。
最近一段时间专门在研究php 反序列化漏洞的挖掘和利用,这篇文章可以算做是研究成果的一个实践输出。
招聘
陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全,以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作,以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。
本文面向拥有一定PHP基础的萌新选手,后面系列就倾向于针对不同PHP框架如何有效地挖掘反序列化漏洞和快速构造POC的技术探讨。
java代码审计系列是我很早之前就一直在筹备的,但是由于接触JAVA比较少,所以一直在积累各种相关经验,自己也用java写了一些web项目, 熟悉了一些框架的流程。
招聘
陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全,以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作,以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。
在某次安全评估过程中在内网遇到该系统。遂对该系统进行一次粗略的代码审计分析,来看看这套系统存在哪些问题。