Enviar búsqueda
Cargar
高级PHP应用程序漏洞审核技术
•
Descargar como DOC, PDF
•
0 recomendaciones
•
641 vistas
wensheng wei
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 2
Descargar ahora
Recomendados
深入PHP内核之路
深入PHP内核之路
Gump Law
上海实习有感
上海实习有感
wensheng wei
我的简历
我的简历
wensheng wei
存储过程编写经验和优化措施
存储过程编写经验和优化措施
wensheng wei
你会柔软地想起这个校园
你会柔软地想起这个校园
wensheng wei
ubunturef
ubunturef
wensheng wei
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
wensheng wei
几米语录(1)
几米语录(1)
wensheng wei
Recomendados
深入PHP内核之路
深入PHP内核之路
Gump Law
上海实习有感
上海实习有感
wensheng wei
我的简历
我的简历
wensheng wei
存储过程编写经验和优化措施
存储过程编写经验和优化措施
wensheng wei
你会柔软地想起这个校园
你会柔软地想起这个校园
wensheng wei
ubunturef
ubunturef
wensheng wei
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
wensheng wei
几米语录(1)
几米语录(1)
wensheng wei
Phpsecurity.ppt
Phpsecurity.ppt
fantasy zheng
模块一-Go语言特性.pdf
模块一-Go语言特性.pdf
czzz1
网站前端代码静态检查工具研究
网站前端代码静态检查工具研究
pop2008
网站前端代码静态检查工具综述
网站前端代码静态检查工具综述
pop2008
Internal php and gdb php core
Internal php and gdb php core
alpha86
合久必分,分久必合
合久必分,分久必合
Qiangning Hong
Linux binary Exploitation - Basic knowledge
Linux binary Exploitation - Basic knowledge
Angel Boy
漫谈php和java
漫谈php和java
sulong
[3]投影片 futurewad樹莓派研習會 141204
[3]投影片 futurewad樹莓派研習會 141204
CAVEDU Education
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Justin Lin
Phalcon the fastest php framework 阿土伯
Phalcon the fastest php framework 阿土伯
Hash Lin
Phalcon phpconftw2012
Phalcon phpconftw2012
Rack Lin
姚彤 从360手机卫士的研发经历看大型移动应用开发
姚彤 从360手机卫士的研发经历看大型移动应用开发
Trinea Trinea
应用开发一般工作流程和注意
应用开发一般工作流程和注意
cucued
美团前端架构简介
美团前端架构简介
pan weizeng
Nodejs & NAE
Nodejs & NAE
q3boy
PHP教材
PHP教材
TaiShunHuang
Wiki in Teamroom - Connected Mind
Wiki in Teamroom - Connected Mind
Rick Hwang
EtherCodes中的HTML5
EtherCodes中的HTML5
Garry Yao
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
wensheng wei
Happiness is a Journey
Happiness is a Journey
wensheng wei
Más contenido relacionado
Similar a 高级PHP应用程序漏洞审核技术
Phpsecurity.ppt
Phpsecurity.ppt
fantasy zheng
模块一-Go语言特性.pdf
模块一-Go语言特性.pdf
czzz1
网站前端代码静态检查工具研究
网站前端代码静态检查工具研究
pop2008
网站前端代码静态检查工具综述
网站前端代码静态检查工具综述
pop2008
Internal php and gdb php core
Internal php and gdb php core
alpha86
合久必分,分久必合
合久必分,分久必合
Qiangning Hong
Linux binary Exploitation - Basic knowledge
Linux binary Exploitation - Basic knowledge
Angel Boy
漫谈php和java
漫谈php和java
sulong
[3]投影片 futurewad樹莓派研習會 141204
[3]投影片 futurewad樹莓派研習會 141204
CAVEDU Education
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Justin Lin
Phalcon the fastest php framework 阿土伯
Phalcon the fastest php framework 阿土伯
Hash Lin
Phalcon phpconftw2012
Phalcon phpconftw2012
Rack Lin
姚彤 从360手机卫士的研发经历看大型移动应用开发
姚彤 从360手机卫士的研发经历看大型移动应用开发
Trinea Trinea
应用开发一般工作流程和注意
应用开发一般工作流程和注意
cucued
美团前端架构简介
美团前端架构简介
pan weizeng
Nodejs & NAE
Nodejs & NAE
q3boy
PHP教材
PHP教材
TaiShunHuang
Wiki in Teamroom - Connected Mind
Wiki in Teamroom - Connected Mind
Rick Hwang
EtherCodes中的HTML5
EtherCodes中的HTML5
Garry Yao
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
Similar a 高级PHP应用程序漏洞审核技术
(20)
Phpsecurity.ppt
Phpsecurity.ppt
模块一-Go语言特性.pdf
模块一-Go语言特性.pdf
网站前端代码静态检查工具研究
网站前端代码静态检查工具研究
网站前端代码静态检查工具综述
网站前端代码静态检查工具综述
Internal php and gdb php core
Internal php and gdb php core
合久必分,分久必合
合久必分,分久必合
Linux binary Exploitation - Basic knowledge
Linux binary Exploitation - Basic knowledge
漫谈php和java
漫谈php和java
[3]投影片 futurewad樹莓派研習會 141204
[3]投影片 futurewad樹莓派研習會 141204
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Servlet & JSP 教學手冊第二版 - 第 1 章:簡介Web應用程式
Phalcon the fastest php framework 阿土伯
Phalcon the fastest php framework 阿土伯
Phalcon phpconftw2012
Phalcon phpconftw2012
姚彤 从360手机卫士的研发经历看大型移动应用开发
姚彤 从360手机卫士的研发经历看大型移动应用开发
应用开发一般工作流程和注意
应用开发一般工作流程和注意
美团前端架构简介
美团前端架构简介
Nodejs & NAE
Nodejs & NAE
PHP教材
PHP教材
Wiki in Teamroom - Connected Mind
Wiki in Teamroom - Connected Mind
EtherCodes中的HTML5
EtherCodes中的HTML5
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Más de wensheng wei
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
wensheng wei
Happiness is a Journey
Happiness is a Journey
wensheng wei
Java JNI 编程进阶
Java JNI 编程进阶
wensheng wei
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:
wensheng wei
Java正则表达式详解
Java正则表达式详解
wensheng wei
Linux Security Quick Reference Guide
Linux Security Quick Reference Guide
wensheng wei
issue35 zh-CN
issue35 zh-CN
wensheng wei
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法
wensheng wei
Subversion FAQ
Subversion FAQ
wensheng wei
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10
wensheng wei
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧
wensheng wei
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件
wensheng wei
mysql的字符串函数
mysql的字符串函数
wensheng wei
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
wensheng wei
Java学习路径
Java学习路径
wensheng wei
LINUX Admin Quick Reference
LINUX Admin Quick Reference
wensheng wei
Cool Object Building With PHP
Cool Object Building With PHP
wensheng wei
100 Essential Web Development Tools
100 Essential Web Development Tools
wensheng wei
JavaScript高级程序设计(中文优化版)
JavaScript高级程序设计(中文优化版)
wensheng wei
世界上最健康的作息时间表
世界上最健康的作息时间表
wensheng wei
Más de wensheng wei
(20)
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
Happiness is a Journey
Happiness is a Journey
Java JNI 编程进阶
Java JNI 编程进阶
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:
Java正则表达式详解
Java正则表达式详解
Linux Security Quick Reference Guide
Linux Security Quick Reference Guide
issue35 zh-CN
issue35 zh-CN
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法
Subversion FAQ
Subversion FAQ
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件
mysql的字符串函数
mysql的字符串函数
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
Java学习路径
Java学习路径
LINUX Admin Quick Reference
LINUX Admin Quick Reference
Cool Object Building With PHP
Cool Object Building With PHP
100 Essential Web Development Tools
100 Essential Web Development Tools
JavaScript高级程序设计(中文优化版)
JavaScript高级程序设计(中文优化版)
世界上最健康的作息时间表
世界上最健康的作息时间表
高级PHP应用程序漏洞审核技术
1.
高级 PHP 应用程序漏洞审核技术
• 高 级 PHP 应用程序漏洞审核技术 o 前言 o 传 统的代码审计技术 o PHP 版本与应用代码审计 o 其 他的因素与应用代码审计 o 扩 展我们的字典 变 量本身的 key 变 量覆盖 • 遍 历初始化变量 • parse_str() 变量覆盖漏洞 • import_request_variables() 变量覆盖漏洞 • PHP5 Globals magic_quotes_gpc 与代码安全 • 什 么是 magic_quotes_gpc • 哪 些地方没有魔术引号的保护 • 变 量的编码与解码 • 二 次攻击 • 魔 术引号带来的新的安全问题 • 变 量 key 与魔术引号 代 码注射 • PHP 中可能导致代码注射的函数 • 变 量函数与双引号 PHP 自身函数漏洞及缺陷 • PHP 函数的溢出漏洞 • PHP 函数的其他漏洞 • session_destroy() 删除文件漏洞 • 随 机函数 特 殊字符 • 截断 o include 截断 o 数 据截断 o 文 件操作里的特殊字符 o 怎 么进一步寻找新的字典 o DEMO o 后话 o 附录 前言 PHP 是一种被 广泛使用的脚本语言,尤其适合于 web 开发。具有跨平台,容易学习,功能强大等特点,据统计全世界有超过 3 括 bbs,blog,wiki,cms 等等)都是使用 php 开发 的,Discuz、phpwind、phpbb、vbb、wordpress、boblog 等等。随着 w 多的应用程序代码漏洞被披露。针对这样一个状况,很多应用程序的官方都成立了安全部门,或者 雇佣安全人员进行代码审计, 提高,那些很明显的 漏洞基本灭绝了,那些大家都知道的审计技术都无用武之地了。我们面对很多工具以及大牛扫描过 n 遍的代 全”,我们应该去寻找新的途径挖掘新的漏洞。本文就给介绍了一些非传统的技术经验和大家分享。 另外在这里特别说明一下本文里面很多漏洞都是来源于网络上牛人和朋友们的分享,在这里需要感谢他们 :) 传统的代码审计技术 WEB 应用程序漏洞查找基本 上是围绕两个元素展开:变量与函数。也就是说一漏洞的利用必须把你提交的恶意代码通过变量经
Descargar ahora