freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

web代碼審計(jì)與滲透測(cè)試-資料下載頁(yè)

2025-04-29 03:55本頁(yè)面
  

【正文】 少林 [天大代碼一把抄 ] 最經(jīng)典的故事屬于 asp:動(dòng)網(wǎng)的上傳漏洞 ?每個(gè)程序員都有自己的代碼風(fēng)格習(xí)慣 不好的風(fēng)格習(xí)慣,可能代碼致命的安全漏洞,而且習(xí)慣很難改變! ?相同的功能帶來(lái)同樣的漏洞 如后臺(tái)的功能和 api接口實(shí)現(xiàn)相同的功能 ?尋找相似性漏洞 *通過(guò)補(bǔ)丁對(duì)比技術(shù) *通過(guò)漏洞分析、總結(jié)漏洞類(lèi)型 D 基于白盒的 fuzz 由于變量在傳遞的過(guò)程里千變?nèi)f化,跟蹤來(lái)很費(fèi)事費(fèi)力,為了快速找到漏洞 我們可以在白盒的基礎(chǔ)上通用一些 fuzz的方法,開(kāi)始找到漏洞。 一、變量的存儲(chǔ) 對(duì)于文本文件:如配置文件、緩存文件、文本數(shù)據(jù)庫(kù)文件。如: $headers{XForwardedFor} = Test31425926。 然后通過(guò) Findstr、 grep等搜索特征字符 Test31425926 D:\Findstr /S /I /N /d:D:\phproot\bmb2022\bmb\ Test31425926 *.php D:\phproot\bmb2022\bmb\: datafile\:2:?php //||1163859032|Test31425926?ˉ|f|0|Firefox |Windows XP|t|| [當(dāng)然也用于其他 get、 post的變量、甚至是環(huán)境變量,比如注射用戶(hù)名、發(fā)帖的標(biāo)題內(nèi)容設(shè)置為一個(gè)特征字符 ] 對(duì)于數(shù)據(jù)庫(kù)存儲(chǔ)查詢(xún) 可以讓數(shù)據(jù)庫(kù)出錯(cuò)的字符就行 比如‘ D 基于白盒的 fuzz 二、全局變量 主要是對(duì)于設(shè)置了 register_globals = on 的情況下 ,在 inlculdes的文件里設(shè)定的配置變量沒(méi)有初始化的問(wèn)題: ?php /includes/ require $root_path.?/includes/39。 ? 那么不是所有的文件都這樣的問(wèn)題,我們可以先通過(guò)白盒找到這些可能出現(xiàn)問(wèn)題的變量名,然后可以寫(xiě)個(gè) fuzz的腳本,列表程序目錄一個(gè)一個(gè)提交探測(cè) 如果通過(guò)上述一些辦法都沒(méi)有效果的話(huà),那就開(kāi)始正規(guī)的代碼審計(jì)流程把。如簡(jiǎn)單的直接的 include/require、 eval、 system等函數(shù) F 高級(jí)的代碼審計(jì) ?尋找新的“變量與函數(shù)” ?總結(jié)新的漏洞類(lèi)型。如: 數(shù)據(jù)庫(kù)操作容易忘記‘的地方 in()/limit/order by/group by if與變量初始問(wèn)題等 ?通過(guò) fuzz或者閱讀 php手冊(cè)、 php源代碼,發(fā)現(xiàn)新的漏洞函數(shù)或“特性” ?腳踏實(shí)地的變量跟蹤 ?像程序員一樣思考 ?…… 一次解放思想的滲透 [純屬虛構(gòu) ]
點(diǎn)擊復(fù)制文檔內(nèi)容
研究報(bào)告相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1