这个工具好像没有开源过。
二进...
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
@A线香花火: p神,想问一下,这两天才知道有神器冰蝎的存在。到github上一看,源码已经下架了,在网上没找到,大大可以赏一份吗?谢谢
这个工具好像没有开源过。
二进...
@SA0zero: p神,在你下图这篇博客里面,最后上传参数为:
?><?=`. /???/????????[@-[]`;?>
写入到php代码里的话,就是:
eval("?><?=`. /???/????????[@-[]`;?>");
这里这样使用的原因,我的理解是,反引号执行系统命令不像system函数有输出,所以使用<?=>缩写能够输出,又因为eval函数不能直接包含php的闭合符号,所以还需要在前面加上?>(我最开始以为这个是要闭合前面的<?php)
这样理解是对的吗?
...
@Super.Tao: 大神,做代码审计应该很久了,但是在现在微服务语言同时存在java go,我想问下怎么去渗透测试,怎么去衡量我们一次渗透测试完成?
我没感觉有...
@勿用: p牛~最近网站被挂马,百度搜索访问会跳转到菠菜网站~ 我分析了下只要是页面加载一个js文件就会跳转,哪怕这个js文件已经被我删了~麻烦帮帮忙指点下这是什么情况
可能是ser...
@Yang: 我司在开发一个漏扫平台,基于python,但是想保护poc裤,不想让所有员工都能获取到poc,包括最终集成部署的人,以防止公司机密被带走。此为背景。
我目前的思路是,漏洞由几人开发管理,需要集成时,将漏洞poc裤生成so,并设置so的有效期(如15天),这样就算员工窃取代码,首先很难逆向出源码,其次so文件使用也有期限。
不知道星主有没有涉猎,或者有更好的思路,或者已经有成熟的方案?感谢了。
以前见过一些处理方案,比如 GitHub - Falldog/pyconcrete: Protect...
@秋日私语: 请问有sdk审计的相关思路或者文章分享一下嘛
不太清楚sdk和普通代码审计有何区别,为啥会单独拎出来。
思考了一下,sdk和普通网站代码有什么...