前段时间在整理一个PHP函数代码审计的项目，所以文章也是围绕PHP的代码审计来写，如果有写的不对的地方，还请大佬们指正。文章开始前，我们先来了解一下PHP是什么。 0x01 PHP是什么 根据百度百科的描述，PHP是一种在服务器端执行的通用开源脚本语言，主要适用于 ...

新手审计cms BlueCMSv1.6 sp1 这个cms有很多漏洞所以来审计一波。。做一手记录 漏洞一：SQL注入： 可以通过网上大佬的方法用法师大大的seay工具，也可以用phpstroml来审计 1、通过seay或者phpstrom来搜索经典的传参方式$_GET、$_POST ...

前言 php代码审计介绍：顾名思义就是检查php源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞。 1、环境搭建： 工欲善其事必先利其器，先介绍代码审计必要的环境搭建 审计环境 windows环境（windows7+Apache+MySQL+php） phpstudy（任何php ...

又补了一大章节的课程，对我来说感觉很多都要学习，不太会，那就先熟悉流程 1 代码审计入门 1、常见的代码审计工具 1、Fortify SCA 2、Checkmarx CxSuite 3、360代码卫士 4、PHP代码审计工具——Rips 参考：https ...

前言 最近在看php代码审计，学习下代码审计，看了不少师傅的博客，写的很好，下面不少是借鉴师傅们的，好记性不如烂笔头，记下，以后可以方便查看。 php代码审计需要比较强的代码能力和足够的耐心。这篇文章是写给我这样的 刚刚开始审计的菜鸟，下面如果写的哪里有错误的话，还望提出 ...

PHP 代码审计代码执行注入 所谓的代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。 如此的文章里面就大有文章可以探究了 一 常见的代码执行函数 Eval，assert,preg_replace Eval函数在PHP手册里面的意思是：将输入 ...

challenge 1 源码 python脚本 binascii模块用来进行进制和字符串之间的转换 base64模块是用来作base64编码解码 [::-1]取反，这里-1为步长 ...

初级篇更多是对那些已有的版本漏洞分析，存在安全问题的函数进行讲解，中级篇更多是针对用户输入对漏洞进行利用 中级篇更多是考虑由用户输入导致的安全问题。 预备工具首先要有php本地环境可以调试代码 总结就是 1. 可以控制的变量【一切输入都是有害的 】 2. 变量到达有利 ...