PHP代码审计
关注
分享
扫一扫
凌晨三点-
网络安全爱好者
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
文件包含漏洞、DVWA-File Inclusion
文件包含漏洞 什么是文件包含漏洞? 攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。 (包含的文件会被当做脚本文件来解析) 一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。 包含文件很有用,可以简化代码 文件包含分为本地和远程文件包含(需要allow_url_include=On) 本地文件包含LFI 远程文件包含RFI 函数解析 这里我们需要了解4个PHP的函数 include:使用include引用外部文件时,原创 2020-06-30 16:25:46 · 501 阅读 · 0 评论 -
XXE—实体注入、XXE-lab-master(php_xxe WriteUp)
XXE—实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3原创 2020-06-25 16:09:55 · 2219 阅读 · 1 评论 -
老版Bugku代码审计writeup
老版Bugku代码审计writeup 1.extract()变量覆盖 http://123.206.87.240:9009/1.php <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'fla...原创 2020-04-16 22:01:13 · 407 阅读 · 0 评论 -
PHP正则表达式
PHP正则表达式 什么是正则表达式 正则表达式又称规则表达式,通常被用来检索、替换那些符合某个模式或规则的文本。 正则表达式的特点: 1.灵活性、逻辑性和功能性非常强 2.可以迅速地用极简单的方法达到字母字符串的复杂控制 3.对于刚接触的人来说,比较晦涩难懂 正则表达式的用途: 1.判断字符串是否符合某一个规则(判断是否符合手机号、邮箱规则) 2.从一个字符串中找到符合规则的所有字符串(取HTML...原创 2020-03-29 15:23:00 · 210 阅读 · 0 评论