笔记类
关注
分享
扫一扫
Sandra_93
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
宽字节注入_漏洞银行_笔记整理(二)
宽字节注入原因: 程序员设置MySQL连接时错误配置为:set_character_client = gbk , 这中配置会引发编码转换从而导致的注入漏洞。 addslashes()函数过滤GET或POST提交的参数时,黑客使用单引号 ’ 会被转义成 ’ , 若是存在宽字节注入,斜杠是%5c ( url编码),若是前面的组合起来形成汉字,单引号就可以逃逸出来,从而造成注入漏洞。 (GBK编码,使...原创 2019-07-08 20:09:31 · 358 阅读 · 0 评论 -
PHP代码审计基础_漏洞银行_笔记整理(一)
PHP 主要适用于Web开发领域 用户输入经过操作,进入危险函数,执行危险操作 用户输入指GPCSF、数据库、文件等输入点,危险函数包括include、system等。 用户输入的危险操作要是被转义或者过滤就不能被执行成功(这也是我们写代码时要注意的,代码中得有过滤和转义部分,以防留下非常简单的漏洞) 人工审计 第一种,跟踪用户可控的输入,比如GET参数,看它到哪一步,是否进入危险函数中; 第二种...原创 2019-07-06 19:55:56 · 1382 阅读 · 0 评论