0x01 使用seay源代码审计系统进行审计 扫描到了很多个可疑漏洞，不过工具都有一定的误报，下面我们就逐个进行验证 0x02 /ad_js.php SQL注入漏洞 查看源码，我们发现程序通过GET方法接收ad_id的值，然后通过trim函数去除首尾的空白 ...

一、环境搭建 bluecms v1.6 sp1源码 windows 7 phpstudy2016（php 5.4.45） seay源代码审计系统 源码在网上很容易下载，很多教程说访问地址 http://localhost/bluecms_v1.6_sp1/uploads ...

0x00 前言 作为一名代码审计的新手，网上的大佬们说代码审计入门的话BlueCMS比较好，所以我就拿BlueCMS练练。（本人实在是一枚新手，请大佬们多多赐教） 0x01 环境准备 0x02 审计过程 拿到一个CMS，有诸多审计方法，我这里的审计方法是黑盒 ...

前言 正式开始代码审计的学习，拓宽自己的知识面。代码审计学习的动力也是来自团队里的王叹之师傅，向王叹之师傅学习。 这里参考了一些前辈，师傅的复现经验和bluecms审计的心得 安装 install.php 搭建完成 seay自动审计 文件包含漏洞 ...

通过源代码，知道代码如何执行，根据代码执行中可能产生的问题来寻找漏洞 渗透测试->找漏洞bug->技术、衔接问题 代码执行漏洞 PHP中可以执行代码的函数，常用于编写一句话木马，可能导致代码执行漏洞 漏洞形成原因：客户端提交的参数，未经任何过滤，传入可以执行代码的函数，造成代码 ...

新手审计cms BlueCMSv1.6 sp1 这个cms有很多漏洞所以来审计一波。。做一手记录 漏洞一：SQL注入： 可以通过网上大佬的方法用法师大大的seay工具，也可以用phpstroml来审计 1、通过seay或者phpstrom来搜索经典的传参方式$_GET、$_POST ...

java编译篇 java编译过程： Java源代码 ——（编译）——> Java字节码 ——（解释器）——> 机器码 Java源代码 ——（编译器 ）——> jvm可执行的Java字节码 ——（jvm解释器） ——> 机器可执行的二进制机器码 ——>程序运行 ...

一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题，由于Java本身是编译型语言，所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读 ...