1、下載安裝包可以在官網上下載 這個版本不需要依賴數據庫 2、新建用戶 3、安裝 4、等待運行結果： 配置文件內容 5、這個時候看嘗試訪問8787端口： 6、我通過查 ...

學習代碼審計要熟悉三種技術,分四部分走一：編程語言 1：前端語言 html/javascript/dom元素使用 主要是為了挖掘xss漏洞 jquery 主要寫一些涉及到CSRF腳本使用的或者DOM型XSS,JSON劫持等2：后端語言 基礎語法要知道例如 變量類型,常量,數組(python ...

通過源代碼，知道代碼如何執行，根據代碼執行中可能產生的問題來尋找漏洞 滲透測試->找漏洞bug->技術、銜接問題 代碼執行漏洞 PHP中可以執行代碼的函數，常用於編寫一句話木馬，可能導致代碼執行漏洞 漏洞形成原因：客戶端提交的參數，未經任何過濾，傳入可以執行代碼的函數，造成代碼 ...

新手審計cms BlueCMSv1.6 sp1 這個cms有很多漏洞所以來審計一波。。做一手記錄 漏洞一：SQL注入： 可以通過網上大佬的方法用法師大大的seay工具，也可以用phpstroml來審計 1、通過seay或者phpstrom來搜索經典的傳參方式$_GET、$_POST ...

java編譯篇 java編譯過程： Java源代碼 ——（編譯）——> Java字節碼 ——（解釋器）——> 機器碼 Java源代碼 ——（編譯器 ）——> jvm可執行的Java字節碼 ——（jvm解釋器） ——> 機器可執行的二進制機器碼 ——>程序運行 ...

一、JavaWeb 安全基礎 1. 何為代碼審計? 通俗的說Java代碼審計就是通過審計Java代碼來發現Java應用程序自身中存在的安全問題，由於Java本身是編譯型語言，所以即便只有class文件的情況下我們依然可以對Java代碼進行審計。對於未編譯的Java源代碼文件我們可以直接閱讀 ...

BlueCMS版本號為：bluecms_v1.6_sp1 本地搭建環境后將源代碼丟進seay源代碼審計系統，開啟本地web服務頁面訪問，大部分白盒+小部分黑盒審計 搭建好環境后第一步先檢查是否有重裝漏洞，訪問網站install位置，我的網址是： http ...

extract變量覆蓋： 相關函數： extract()函數：從數組中將變量導入到當前的符號表。把數組鍵名作為變量名，數組的鍵值作為變量值。但是當變量中有同名的元素時會默認覆蓋掉之前的變量值 ...