代码审计之调试篇

最新推荐文章于 2025-07-29 17:08:26 发布
最新推荐文章于 2025-07-29 17:08:26 发布
阅读量672 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web代码审计 文章标签: web代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_21510303/article/details/86772019

php 代码审计要有一个好的debug工具,不然总是echo vardump什么的能把人活活累死,今天就来简单的介绍下调试工具
首先这里以PHPstudy最新的作为介绍例子,PHPstudy还是十分的全面的php的很多插件都自动集成了,今天要用到的xdebug插件就已经集成在里面了,下载安装后直奔PHPTutorial\php\php-7.0.12-nts ,打开ext目录后我们看到php_xdebug.dll就是这个插件。
然后回到上层目sublime 打开php.ini直接到底部找到[xdebug]这样的字眼,去除前面的;号,调整下自己的实际目录,在稍微加点参数
xdebug.idekey=phpstorm
xdebug.remote_enable = On
xdebug.remote_host=127.0.0.1
xdebug.remote_port=9000
xdebug.remote_handler=dbgp
xdebug.auto_trace = On
之后保存重启PHPstudy
然后回到phpstorm界面新建一个工程,左上角-file-setting之后language&Framewords-php-debug这里的参数可以不用修改保持默认就可以了。
在新建的工程里面在添加一个php文件右键debug 选择php执行,如果弹出请求php配置
设置自己下方的fix然后配置php language level 和cli interpreter这里就不多介绍了。之后在你要的行前面双击出现红色圆点,在右键就可以debug了,f7 f8 调试可以看到的各种变量参数的显示在这里插入图片描述
当然到这里还是不够的,我们要的输入各种正常的http头部参数就必须从浏览器打开开始,下载https://download.youkuaiyun.com/download/qq_21386275/9995790 这个拖入360浏览器,然后点击右上角绿色的图案选择第一个debug之后输入url栏目地址127.0.0.1/index.php,phpstorm右上角打开在这里插入图片描述,下好断点,刷新浏览器页面就可以愉快的调试了,如果你好奇的话,打开burp拦截下就会发现这个插件不过是cookie里面加了个参数。别忘记修改php.ini后重启phpstudy哦。

【Java代码审计】不足的日志记录和监控
大河之犬的博客
09-25 298
CRLF 漏洞是一种与输入验证和输出处理相关的安全漏洞。它的名字来源于回车符(CR)和换行符(LF)。攻击者可以通过在输入中注入 CRLF 字符,篡改服务器的响应头,导致一系列安全问题HTTP 响应分割攻击:通过注入 CRLF,攻击者可以在 HTTP 响应中创建额外的响应头或主体,导致浏览器错误解析,从而可能植入恶意内容。例如,在服务器响应头中注入攻击者控制的内容,可能会造成跨站脚本攻击(XSS)或内容劫持。
代码 审计
m0_51428325的博客
04-30 2797
一、代码审计 1.1什么是代码审计? 软件代码审计是对软件解决方案或产品中的源代码的全面分析。它被认为是安全过程中最关键的阶段之一,因为它用于验证代码的成熟度和可维护性,同时确保产品已准备好进行无缝切换。 1.2为什么要执行代码审核? 1. 熟悉当前的项目结构和功能 2. 发现现有和潜在的错误 3. 发现安全漏洞和漏洞 4. 验证当前性能和可扩展性 5. 评估代码可维护性级别以及相关的风险和成本 6. 验证是否符合相关的软件开发标准、指南和最佳实践 1.3代码审计的好处 1. ...
PHP代码审计——代码调试
W小哥
08-07 360
echo 最简单的输出数据调试方法,一般用来输出变量值或者不确定执行到哪个分支 看不懂的代码,不知道会输出什么内容的,可以自己调试一下看看输出什么 print_r、 var_dump、 debug_zval_dump 这个主要是输出变量的数据值,特别是数组和对象数据,一般我们在查看接口的返回值或者不确定的变量,都可以使用这两个API,debug_zval_dump输出结果和var_dump类似,唯一增加的一个值是refcount,记录一个变量被引用了多少次 debug_print_backtrace
什么是代码审计?一分钟带你完整学完代码审计(非常详细)从零基础到精通,收藏这就够了!
最新发布
Python_0011的博客
07-29 838
黑客通常利用的漏洞有:软件编写存在bug、设计存在缺陷、系统配置不当、口令失窃、嗅探未加密通讯数据、系统攻击等等。因此提前做好代码审计工作,显著好处就是将先于黑客发现系统的安全隐患,提前部署好安全防御措施。那么怎么学好代码审计代码审计中有哪些难点?如果正确解决问题?学习代码审计中需要注意哪些点?对于许多人来说,特别是对Java代码审计的初学者而言,可能会感到一种难以克服的恐惧。但我想说的是,保持平和的心态是关键。
代码审计和动态测试——BUUCTF - 高明的黑客
ancan8807的博客
09-07 494
根据题目提示,访问http://2ea746a2-0ecd-449b-896b-e0fb38956134.node1.buuoj.cn/www.tar.gz下载源码 解压之后发现有3002个php文件,而且大部分文件都是垃圾代码,解读不了。 观察之后发现存在_GET 和 _POST,于是通过脚本进行批量扫描,通过加入echo之类的代码,只要能运行就说明该文件可以用。 ...
php代码审计(一)-----调试函数
wkend的博客
04-03 469
两种最基本的输出方法echo和print /** *echo 是一个语言结构,有无括号均可使用:echo 或 echo() */ //打印字符串 echo "hello"; echo("hello"); //打印变量 $text="learn php"; echo $text; echo($text); /** print 也是语言结构,有无括号均可使用:print 或 pr...
代码审计
wangxinru1的博客
09-09 484
1,extract变量覆盖 extract函数从数组中将变量导入当前符号表 trim(string,charlist)删除string中的charlist,如果没有charlist删除\0,\t,\n,\r,\x0B,空格 构造payload使shiyan与flag相等,这里不知道flag是什么把它设为空 ?shiyan=$flag= 2,strcmp比较字符串 strcmp比...
WebLogic历史漏洞代码审计(一):远程调试环境搭建
weixin_50600251的博客
08-04 945
vulhub+远程调试是java代码审计较为方便的一种方式,本文将详细介绍win10进行调试所需的环境搭建(本文是对《java代码审计(入门)》书籍中远程调试的复现,将一些大佬觉得太简单的细节重新补充一下)本文参考书籍《java代码审计(入门)》的weblogic远程调试章节而写,书籍中的步骤相比网上很多调试教程要全面的多,本文章如有写的不全可以看看该书对照使用
Java代码审计 | ofcms系统审计思路讲解 - 3 | 文件上传漏洞审计
哦 卷!
09-10 2047
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计 | ofcms系统审计思路讲解 - 1 | 环境搭建、路由机制。
[ 代码审计资源 ] apache-tomcat-8.5.63
12-25
代码审计中,深入理解并实践Apache Tomcat 8.5.63的相关知识点是提升网络安全和渗透测试能力的重要步骤。以下是关于这个版本的一些关键知识点的详细解释: 1. **Servlet与JSP**:Tomcat作为Servlet容器,负责...
PHP代码审计之基础
热门推荐
Mi1k7ea
04-18 1万+
最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~ 前期准备: 1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业
代码审计-PHP】phpStudy(新版) + PhpStorm + XDebug动态调试
11-12 3299
【PHP代码审计】动态调试
PHP代码审计和漏洞挖掘的一点思考
weixin_33726313的博客
09-19 267
PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂,今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。 PHP的漏洞发掘,其实就是web的渗透测试,和客户端的fuzzing测试一样,web的渗透测试也可以使用类似的技术,web fuzzing,即基于web的动态扫描。 这类软件国内外有很多,如WVS,Lan Guard,S...
代码审计方法与准备
灰蜗牛
09-19 3702
代码审计方法与准备
代码审计-XDebug的配置和使用
qq_44720671的博客
07-27 505
XDebug简介 XDebug是一个开放源代码的PHP程序调试器(即debug工具),可用来跟踪,调试,分析PHP程序的运行状况,功能强大,对审计很有帮助。 XDebug配置 (注:推荐选择覆盖,否则文件会很大) (注:格式请选择人可读,行为选择自动追踪) 文件配置 然后我们测试一下 打开这个平台 获得一个追踪文件,打开 里面能看到各种文件的加载和读取 里面就包含源码,有可能是被加密了,...
代码审计(1)
m0_59100274的博客
08-15 2819
代码安全测试是从安全的角度对代码进行的安全测试评估,结合丰富的安全知识,编程经验,测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件产品前将业务软件的安全风险降到最低。...
代码审计(下)
qq_45300786的博客
10-18 263
在开始前,我们先把php版本调到5.2.17 验证码问题。sestion问题,就是盘符不存在。 使用万能密码绕过成功!
java代码审计 入门
08-24
对于Java代码审计,入门的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值