知识点
- PHP审计-原生态开发-SQL注入&语句监控
- PHP审计-原生态开发-SQL注入&正则搜索
- PHP审计-原生态开发-SQL注入&功能追踪
代码审计分类
- 原生态开发-代码审计源码案例
- 框架类开发-代码审计源码案例
- 组件类开发-代码审计源码案例
- 前端类开发-代码审计源码案例
章节点
- 语言审计-PHP&Net&JS&Java&Python等
- 漏洞审计-SQL注入&RCE&序列化&未授权等
- 框架审计-MVC&Tp&SpringBoot&Flask等
- 组件审计-FastJson&Log4j&Shiro&XSteam等
- 工具审计-Fortify&Checkmarx&Bandit等
- 技术审计-DAST&SAST&IAST&动态调试等
- 分析审计-CC调用链&内存马原理&JNDI&LDAP等
- Web3专题-区块链&Solidity&漏洞&合约审计等
简要点
-
代码审计必备知识点:
环境搭建使用,工具插件安装使用,掌握漏洞原理及利用,代码开发类知识点。
-
代码审计开始前准备:
审计目标的程序名,版本,环境(系统,中间件,脚本语言等信息),各种插件等。
-
代码审计挖掘漏洞根本:
可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞。
-
代码审计教学计划:
审计项目漏洞原理→审计思路→完整源码→应用框架→验证并利用漏洞。
-
代码审计教学内容:
PHP,Java,NET,JS,Python,Solidity等应用,框架类,审计工具插件使用。
配图助解
进步过坎
- Day156: 01:01:16 TDOA文件上传(已解决)
- Day156:文件包含(版本不一)
- Day157:00:35:00 CNVD-2023-98192 ****梦想CMSSQL注入非框架MVC ****复现
进度速记
- Day155: 01:05:10
- Day157: 00:57:40 CNVD-2023-98192 LmxCMS挖掘推测