你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
@Rayyy:p神好,我是一只即将毕业的学生狗,想请p神给一些安全开发的学习建议或是学习路线。 之前有前辈分享过对渗透新人的建议,说熟悉了渗透后可以转安全开发方向,我就很迷茫了,不知道渗透能力要怎样才算满足安全开发的要求,某src的前*名?开发能力需要算法、性能调优等?
很少分享安全开放相关的东西,所以可以分享下我的看法。
个人认为安全开发重点还是在开发,安全能力要求其实不高,需要熟悉各种常见漏洞的攻击与防御方法,了解开发与运维场景中常见的一些安全隐患和解......
@清秋:p神你好,目前文件上传有白名单限制,除了解析漏洞。还有没有其他的思路
白名单限制通常来说绕过的可能性就不大了,但还是可以从一些逻辑错误的层面来思考思考。主要思考如下几点:
1. 是否有检查所有上传的文件
2. 取文件后缀的方法是否......
@Scylla:p牛,在php中如何利用这个pcntl_exec来执行命令。disable_function漏了这个函数。
首先,要使用pcntl,编译PHP的时候必须加上--enable-pcntl选项。你可以在PHPINFO的Configure Command这一项里看到。通常在源里安装的PHP是开启了这个选项的......
代码审计的核心不仅仅在于某个函数,代码审计的核心也在于整体架构的分析!
我个人总结的代码审计的学习和提升路径:
1.学语言
2.看已知漏洞......