0x01 起因及想法 起因：剩下这假期这十几天，没人玩了，所以想学点东西并记录到自己的博客里。前阵子在乌云社区看到一篇代码审计的整体学习思想如下： 学习代码审计目标：能独立完成对一个CMS代码安全的监测 思路： A、通读全文代码，从功能函数代码开始阅读，例如include文件夹 ...

前言 在java中，操作SQL的主要有以下几种方式： • java.sql.Statement • java.sql.PrepareStatment • 使用第三方ORM框架，MyBatis或者Hibernate java.sql.Statement java.sql.statement是最原始 ...

0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成，另外SQL语句有Select、Insert、Update和Delete四种类型，注入也是对这四种 ...

中有个师傅说有前台sql注入。 那么我就来找找前台的sql注入吧，虽说是java但其实代码审计的点都是 ...

java编译篇 java编译过程： Java源代码 ——（编译）——> Java字节码 ——（解释器）——> 机器码 Java源代码 ——（编译器 ）——> jvm可执行的Java字节码 ——（jvm解释器） ——> 机器可执行的二进制机器码 ——>程序运行 ...

一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题，由于Java本身是编译型语言，所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读 ...

应用程序有时需要调用一些执行系统命令的函数，如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时，就可以将恶意的系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞 ...

PHP 代码审计代码执行注入 所谓的代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。 如此的文章里面就大有文章可以探究了 一 常见的代码执行函数 Eval，assert,preg_replace Eval函数在PHP手册里面的意思是：将输入 ...