51工具盒子

2024-12-23 厉飞雨 阅读(149) 评论(0) 赞(8)

<h1>0x00 前言</h1> <hr /> <p>国内公开的PHP自动化审计技术资料较少，相比之下，国外已经出现了比较优秀的自动化审计实现，比如RIPS是基于token流为基础进行一系列的代码分析。传统静态分析技术如数据流分析、污染传播分析应用于PHP这种动态脚本语言分析相对较少，但是却是实现白盒自动化技术中比较关键的技术点。...

2024-12-23 厉飞雨 阅读(82) 评论(0) 赞(9)

<h1>0x00 引言</h1> <hr /> <p>看到wooyun知识库上众多大神的精彩文章，深感自身LOW到爆，故苦思冥想找来一个题目，主要求邀请码一枚，以便以后继续学习。</p> <p>对于网络维护人员来说，恐怕最头痛的就是网站被黑，还留下了后门，甚至连服务器都被提权。而Hacker通常在相对不易引...

2024-12-23 厉飞雨 阅读(63) 评论(0) 赞(8)

<h1>0x00 前言</h1> <hr /> <p>最近上(ri)网(zhan)上(ri)多了，各种狗啊盾啊看的好心烦，好多蜜汁shell都被杀了，搞的我自己也想开发这么一个斩马刀，顺便当作毕设来做了。</p> <p>未知攻，焉知防。我们先来看看shell们都是怎么躲过查杀的：加密、变形、回调、隐藏关键字...

2024-12-23 厉飞雨 阅读(121) 评论(0) 赞(9)

<h3>0x00 .htaccess简介</h3> <p>.htaccess 是Apache HTTP Server的文件目录系统级别的配置文件的默认的名字。它提供了在主配置文件中定义用户自定义指令的支持。 这些配置指令需要在 .htaccess 上下文 和用户需要的适当许可。<br /> 平时开发用的最多的就是URL重定向功能。...

2024-12-23 厉飞雨 阅读(114) 评论(0) 赞(9)

<h1>原文地址:<a href="http://drops.wooyun.org/tips/3424">http://drops.wooyun.org/tips/3424</a></h1> <h2>0x00 背景</h2> <hr /> <p>这个估计很多同学看...

2024-12-23 厉飞雨 阅读(103) 评论(0) 赞(11)

0x00 背景 ======= *** ** * ** *** 原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ php对象注入是一个非常常见的漏洞，这个类型的漏洞虽然有些难以利用，但仍旧非常危险，为了理解这个漏洞，请读者具备基础的php知识。 0x01 漏洞案例 =====...

2024-12-23 厉飞雨 阅读(68) 评论(0) 赞(8)

<h1>验证过滤用户的输入</h1> <hr /> <p>即使是最普通的字母数字输入也可能是危险的，列举几个容易引起安全问题的字符：</p> <pre><code>! $ ^ &amp; * ( ) ~ [ ] \ | { } ' &quot; ; &lt; &a...

2024-12-23 厉飞雨 阅读(87) 评论(0) 赞(8)

<p>对于PHP开发者来说，一旦某个产品投入使用，应该立即将display_errors选项关闭，以免因为这些错误所透露的路径、数据库连接、数据表等信息而遭到黑客攻击。但是，任何一个产品在投入使用后，都难 免会有错误出现，那么如何记录一些对开发者有用的错误报告呢？我们可以在单独的文本文件中将错误报告作为日志记录。错误日志的记录，可以帮助开发人员或者 管理人员查看系统...

2024-12-23 厉飞雨 阅读(141) 评论(0) 赞(9)

<p><strong>PDO MySQL简介</strong><br /> PHP Data Objects(PDO)扩展为 PHP 访问数据库定义了一个轻量级的一致接口。实现 PDO 接口的每个数据库驱动可以公开具体数据库的特性作为标准扩展功能。注意利用 PDO 扩展自身并不能实现任何数据库功能；必须使用一个具体数据库的 PDO...

2024-12-23 厉飞雨 阅读(88) 评论(0) 赞(8)

<p>验证码是一种安全保护机制，在注册时要求必须有人工操作进行验证，用于防止垃圾注册机大量注册用户账号占用服务器内存从而使服务器瘫痪。</p> <p>图片验证码的实现十分简单。首先从指定字符集合中随机抽取固定数目的字符，以一种不规则的方法画在画布上，再适当添加一些干扰点和干扰元素，最后将图片输出，一张崭新的验证码就完成了。</p>...