swallow代码审计

PHP代码审计 -- 以ctfshow php特性 93-104为例

web93(intval()特性)来看源码首先是弱比较(不能等于4476)然后是正则比较不能出现大小写的字母最后就是等于4476;过滤了字母,所以不能用16进制,可以用8进制或者小数绕过/?num=010574或/?num=4476.1web94(intval()特性)来看源码函数分析:strpos()函数返回匹配的字符位置,默认从0开始strpos(string,find,start)strin
0e1G7·2023-08-28 04:58

网络安全—黑客技术(学习笔记)

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-08-27 18:52

NSSCTF——Web题目2

HNCTF2022Week1]WhatisWeb三、[LitCTF2023]1zjs四、[NCTF2018]签到题五、[SWPUCTF2021新生赛]gift_F12一、[HNCTF2022Week1]2048知识点:源代码审计解题思路
賺钱娶甜甜·2023-08-27 00:48

xsschallenge通关(11-15)

level11老规矩,先查看源码,做代码审计:","",$str11);$str33=str_replace("没有找到和".htmlspecialchars($str)."相关的结果.".'';?
EMT00923·2023-08-26 15:07

上海大学生两道代码审计题目

放假抽空和同学打了一哈上海大学生的ctf,题目质量一般,脑洞太大,不过有两道代码审计题目还是不错的,同时自己也有好多点没有考虑到,这里记录一哈学习经验。
yangc随想·2023-08-26 07:27

记一次较为详细的某CMS代码审计

前言本次审计的话是Seay+昆仑镜进行漏洞扫描Seay的话它可以很方便的查看各个文件,而昆仑镜可以很快且扫出更多的漏洞点,将这两者进行结合起来,就可以发挥更好的效果。昆仑镜官方地址https://github.com/LoRexxar/Kunlun-M环境KKCMS环境搭建KKCMS链接如下https://github.com/liumengxiang/kkcms安装的话正常步骤就好,即1、解压至
红队蓝军·2023-08-26 06:51

网络安全工程师岗位一览-徐庆臣(黑客洗白者)

安全服务工程师安全运维工程师渗透测试工程师Web安全工程师安全攻防工程师等保测评工程师……代码审计工程师威胁分析工程师无线安全工程师安全研发工程师移动安全工程师云计算安全工程师……
黑客洗白者·2023-08-25 17:17

安全服务工程师-徐庆臣(黑客洗白者)

职位描述负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等;爆发高危漏洞后时行漏洞的分析应急;对公司安全产品的后端支持;掌握专业文档编写技巧;关注行业态势和热点。
黑客洗白者·2023-08-25 17:43

[HarekazeCTF2019]Easy Notes-代码审计

文章目录[HarekazeCTF2019]EasyNotes-代码审计[HarekazeCTF2019]EasyNotes-代码审计登录之后有几个功能点,可以添加节点,然后使用Export导出我们查看源码
Leekos·2023-08-25 09:50

【安全】原型链污染 - Hackit2018

目录准备工作解题代码审计Payload准备工作将这道题所需依赖模块都安装好后运行一下,然后可以试着访问一下,报错是因为里面没内容而已,不影响,准备工作就做好了解题代码审计constexpress=require
OoGalxy·2023-08-25 08:35

网络安全(黑客)自学笔记

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-08-25 07:35

[LitCTF2023] web方向全题解wp

导弹迷踪前端js小游戏开调试器进行代码审计可知当游戏进入finished状态的时候会得到flag,可以直接找到Followmeandhackme传参题,按照要求传参直接出CTF=Lit2023Post:
Leafzzz__·2023-08-25 05:33

SQL注入之宽字节注入

注入练习让转义符失效联合查询代码审计宽字节注入是什么?宽字节注入准确来说不是注入手法,而是另外一种比较特殊的情况。宽字节注入的目的是绕过单双引号转义。
EMT00923·2023-08-24 17:25

【安全】原型链污染 - Code-Breaking 2018 Thejs

目录准备工作环境搭建加载项目复现代码审计payload总结准备工作环境搭建NodejsBurpSuite加载项目项目链接①下载好了cmd切进去②安装这个项目可以检查一下③运行并监听可以看到已经在3000
OoGalxy·2023-08-24 08:16

漏洞挖掘和安全审计的技巧与策略

文章目录漏洞挖掘:发现隐藏的弱点1.源代码审计:2.黑盒测试:3.静态分析工具:安全审计:系统的全面评估1.渗透测试:2.代码审计:3.安全策略审查:代码示例:SQL注入漏洞挖掘拓展:自动化工具和漏洞数据库结论欢迎来到
IT·陈寒·2023-08-23 19:21

0基础入门代码审计-2 Fortify初探

0x01序言目前又加入一位新童鞋了,最近将会再加入cs相关的专栏,都是以基础为主,毕竟太复杂的东西,能看懂的人太少。0x02准备工具1、Fortify2、需要审计的源码0x03Fortify的简单使用1、1、在开始菜单栏中找到AuditWorkbench。2、打开之后,是Fortify的首页(不同版本,首页可能不同)。3、选择AdvancedScan导入源码。1)选择源码;2)选择java版本;3
白夜鬼魅·2023-08-23 13:14

CSRF漏洞的挖掘与利用

黑盒测试的思路与代码审计基本一致,在关键功能处抓包查看有没有token验证,如果没有再次请求这个页面,删去referer,如果返回数据一致,那么大概率会出现CSRFCSRF百度上的意思是跨站请求伪造,其实最简单的理解我
白小黑·2023-08-22 06:15

代码审计-审计工具介绍-DAST+SAST+IAST项目

DAST+SAST+IAST项目介绍DAST:动态应用程序安全测试(DynamicApplicationSecurityTesting)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。SAST:静态应用程序安全测试(StaticApplicationSecurityTesting)技术通常在编码阶段分析应用
xiaoheizi安全·2023-08-21 23:10

代码审计--语言指南(c/c++)

目录1通用安全指南I.C/C++使用错误1.1不得直接使用无长度限制的字符拷贝函数1.2创建进程类的函数的安全规范1.3尽量减少使用_alloca和可变长度数组1.4printf系列参数必须对应1.5防止泄露指针(包括%p)的值1.6不应当把用户可修改的字符串作为printf系列函数的“format”参数1.7对数组delete时需要使用delete[]1.8注意隐式符号转换1.9注意八进制问题I
jerry-Autumn·2023-08-20 12:49

黑客学习笔记(网络安全)

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-08-19 14:25

模糊测试是如何高效挖掘漏洞,精准定位问题的?

企业挖掘漏洞的方式一般以人工+静态分析的代码审计工具。
开源网安·2023-08-18 13:32

第三方软件测试报告收费标准影响因素?

和系统架构,测试工具选取和脚本录制正相关3、信息安全性系统架构,安全测试关注点如功能安全、漏洞扫描、代码审计、渗透测试对应的每关注点不一定工作量差
软件测评闲聊站·2023-08-18 12:21

代码审计-java项目-组件漏洞审计

代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。
xiaoheizi安全·2023-08-18 03:43

tp5防止sql注入mysql_代码审计 | ThinkPHP5漏洞分析之SQL注入(五)

本系列文章将针对ThinkPHP的历史漏洞进行分析,今后爆出的所有ThinkPHP漏洞分析,也将更新于ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln)项目上。本篇文章,将分析ThinkPHP中存在的SQL注入漏洞(orderby方法注入)。漏洞概要本次漏洞存在于Builder类的parseOrder方法中。由于程序没有对数据进行很好的过
Mandy Liu·2023-08-17 14:21

php sql json防注入,代码审计 | ThinkPHP5漏洞分析之SQL注入(六)

原标题:代码审计|ThinkPHP5漏洞分析之SQL注入(六)ThinkPHPThinkPHP漏洞分析,也将更新于ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln
食色也·2023-08-17 14:21

网络安全(黑客)自学笔记

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
羊村最强沸羊羊·2023-08-17 09:01

【Go语言】go_session(超级详细)

目录前言附件代码审计Index函数Admin函数Flask函数server.py问题思路本地搭建环境admin绕过SaveUploadedFile方法payload总结前言国赛初赛有一道题目gosession
拉马努金的小石头·2023-08-16 21:26

代码审计-Thinkphp框架审计前置知识点

代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。
xiaoheizi安全·2023-08-16 18:54

代码审计-ASP.NET项目-未授权访问漏洞

代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。
xiaoheizi安全·2023-08-16 18:54

代码审计-RCE命令执行漏洞审计

代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。
xiaoheizi安全·2023-08-16 18:53

代码审计-Java项目审计-SQL注入漏洞

代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。
xiaoheizi安全·2023-08-16 18:21

代码审计(网站搭建)

创建库Navicat搭建启动phpstudynavicat创建完用户之后需要点击打开连接才能新建数据库字符集选utf-8phpweb粘贴到phpstudy/www目录下浏览器访问ip:端口/phpweb/乱码后面接base他是一个安装目录后面加install绕过直接到安装又是乱码连不上把php版本调到最低解决乱码按照安装文档写输入名账号密码安装完可以直接访问黑盒测试单引号报错说明有注入点
囡琪琪·2023-08-16 16:59

网络安全(黑客)自学笔记

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-08-16 03:06

渗透测试工程师岗的要求

希望找个渗透或偏红队攻击类的网上搜索了下大致的的工作内容和要求如下,岗位职责:1.负责指定网站、App、服务器的漏洞检测任务2.负责渗透测试服务3.负责漏洞扫描服务4.参与攻防对抗任务5.负责应急响应工作6.客户现场进行漏洞扫描、漏洞检测、渗透测试7.进行源代码审计工作
Zack_snair·2023-08-15 18:34

Golang代码审计之跨站请求伪造(CSRF)和路径遍历漏洞审计及修复

Golang代码审计之跨站请求伪造(CSRF)和路径遍历漏洞审计及修复跨站请求伪造(CSRF)问题代码:packagemainimport("fmt""net/http")funcmain(){http.HandleFunc
=(^.^)=哈哈哈·2023-08-15 03:54

Golang代码审计之XSS、SQL注入漏洞审计及修复

Golang代码审计之XSS、SQL注入漏洞审计及修复跨站脚本攻击(XSS):问题代码:packagemainimport("fmt""html/template""net/http")funcmain
=(^.^)=哈哈哈·2023-08-15 03:53

[第五空间 2021]pklovecloud 解题思路&过程

过程打开题目,一道关于php反序列化的的代码审计问题。
NickWilde233·2023-08-14 11:54

[鹤城杯 2021]Middle magic 解题思路&过程

过程打开题目,是一道PHP的代码审计
NickWilde233·2023-08-14 11:19

PHP代码审计——实操!

ctfshowPHP特性web93八进制与小数点md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是强相等的。a[]=1&b[]=2或者可以找到一些md5后都是0e开头的值,这样他们值不相同,md5()后就相同,再或者就找一些md5后完全相同的值扩展md5弱比较,使用了强制类型转换后不再接收数组$a=(string)$a;$b=(strin
lulu001128·2023-08-14 04:47

BUUCTF web wp

下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!!打开链接看到一张滑稽的表情,肯定不简单,直接f12查看源代码。
vegetable223·2023-08-13 23:32

《OWASP代码审计》学习——SQL注入漏洞审计

一、注入的概念注入攻击允许恶意用户向应用程序添加或注入内容和命令,以修改其行为。这些类型的攻击是常见且广泛的,黑客很容易测试网站是否易受攻击,攻击者也很容易利用这些攻击。如今,它们在尚未更新的遗留应用程序中非常常见。二、SQL注入漏洞最常见的注入漏洞是SQL注入,也很容易修复和防范。注入漏洞涵盖了SQL、LDAP、Xpath、OS命令、XML解析器1.漏洞导致的后果敏感信息泄露数据完整性受损(SQ
PICACHU+++·2023-08-13 20:40

网络安全(黑客)自学

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
羊村最强沸羊羊·2023-08-12 17:13

自学网络安全(黑客)全网详细路线

与软件测试和前端开发只需掌握一定的编程能力不同的是,渗透需要掌握的知识内容较多,花费的时间较长,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识,web安全基础、渗透测试基础、漏洞原理和挖掘复现能力、代码审计
大安全家·2023-08-11 11:14

PHP代码审计

什么是代码审计代码审计指的是对源代码进行检查,寻找代码中的bug以及安全缺陷(漏洞)什么是cookies?
访白鹿·2023-08-11 03:15

自学(黑客)技术,从入门到精通!

3.所需要的技术水平需要掌握的知识点偏多(举例):打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国家安
网络安全-生·2023-08-11 01:57

《OWASP代码审计》学习——跨站脚本注入(XSS)

一、跨站脚本概述1.什么是跨站脚本跨站点脚本(XSS)是一种编码注入漏洞。它通常出现在web应用程序中。XSS使攻击者能够向其他用户浏览的网页中注入恶意内容。XSS允许攻击者绕过访问控制,它是OWASPTop10最常见的漏洞之一。XSS是网络服务器上的第二大漏洞。根据易受攻击站点处理的数据的敏感性和站点组织实施的任何安全缓解措施的性质,此漏洞的严重性/风险可能从有害到主要安全风险不同等级2.类型有
PICACHU+++·2023-08-10 19:16

网络安全【黑客技术】自学

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策
羊村最强沸羊羊·2023-08-10 11:56

网络安全(黑客技术)自学

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
羊村最强沸羊羊·2023-08-10 11:23

软件安全测试包含哪些内容和方法?安全测试报告的必要性

2、代码审计:对软件系统的代码进行全面审
卓码测评·2023-08-09 19:18

ctfshow web93-98

web93打开环境是一个代码审计题目简单分析就是输入一个变量num,其值不能等于4476与包含字母,但是他的值需要为4476函数intval作用为获取变量的整数值,第二个参数的意思是进制,默认为10进制
lemofox·2023-08-09 18:31
上一页 8 9 10 11 12 13 14 15 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他