代码审计
关注
分享
扫一扫
文章平均质量分 83
本节主要记录工作生活中遇到的各类代码的漏洞产生和防御,以白盒方法检测修复漏洞问题。
李沉肩
纸上得来终觉浅,绝知此事要躬行。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
PHP代码审计----5、密码散列安全
文章目录1、密码散列化2、md5() 和 sha1()问题3、如何对密码进行散列处理?4、“盐”是什么?5、如何保存“盐”?在PHP中,常见的密码问题大概有以下三种:1、密码明文存储2、密码弱加密3、密码存储在攻击者可以访问的文件例如:保存密码在 txt、ini、conf、inc、xml 等文件中,或者直接写在 HTML 注释中在代码中寻找存在密码的相关文件或内容进行查看,1、密码散列化当设计一个需要接受用户密码的应用时, 对密码进行散列是最基本的,也是必需的安全考虑。 如果不对密码原创 2021-07-06 10:27:22 · 280 阅读 · 0 评论 -
PHP代码审计----2、文件包含
文章目录1、include()、require()2、include_once()、reuqire_once()3、fopen()4、readfile()5、show_source()函数和highlight_file()函数6、file_get_contents()7、防御方法PHP常见的导致文件包含的函数如下:include()、include_once()、require()、require_once()、fopen()、readfile()、show_source()、highlight_fi原创 2021-07-05 18:02:13 · 524 阅读 · 1 评论 -
PHP代码审计----1、PHP环境安全
文章目录1、safe_mode2、allow_url_fopen和allow_url_include4、safe_mode_exec_dir5、magic_quote_gpc6、register_globals7、open_basedir8、session_use_trans_sid9、display_errors10、expose_php11、log_errors1、safe_modePHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控原创 2021-07-05 15:11:49 · 270 阅读 · 2 评论 -
PHP代码审计----3、代码注入
文章目录代码注入1、eval()函数2、preg_replace+/e()函数3、assert()4、call_user_func()5、call_user_func_array()6、create_function()代码注入PHP 可能出现代码注入的函数:eval()、preg_replace+/e()、assert()、call_user_func()、call_user_func_array()、create_function()等查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控原创 2021-07-08 09:18:10 · 789 阅读 · 1 评论 -
PHP代码审计----4、命令注入
文章目录命令注入1、system()2、exec()函数3、shell_exec()函数4、passthru()函数5、``6、popen()函数8、pcntl_exec()函数防范方法命令注入PHP 执行系统命令可以使用以下几个函数:system()、exec()、shell_exec()、passthru()、“、popen()、proc_open()、pcntl_exec()等。查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控,有无做输入验证1、system()执行外部程序原创 2021-07-07 16:03:46 · 800 阅读 · 1 评论