你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
#每日思考# 之前有小伙伴问过我一个Bash开发的应用(常见在IOT设备中)的一个代码审计问题。
大概代码如图所示。用户的输入被输出在双引号里,然后传入curl命令执行。
他问我为什么这里......
图片
各位......
简单分析了一下JDBC客户端反序列化漏洞+写了一个python版的......
今天在XRay群里聊天的时候,XRay扫到了某著名互联网厂商主站一个典型的XSS漏洞,这个场景也是经常在甲方业务上犯的错误。
比如下面的js代码输出在php页面里:
function exa......
图片
@铁公鸡1号:我是一个刚开始学习php代码的菜鸟,看过一些别人的代码审计。自己审计过程中如果遇见显而易见的漏洞可以复现审计出来,但是遇见需要绕过的情况就完全没有办法了。p神可以给一些系统的学习建议吗?我想看别人的思路,但是不知道哪里可以看的见,(一直闭门造车,不知道哪里获得信息)
你说的“需要绕过的情况”其实就是一些tricks的积累,还有一些常见问题的答案。
比如你说的PHP代码审计,那么下面这些问题你是否思考过:
- SSRF漏洞常见的防御与绕过方法
- 全局ad......