web安全 PHP开源程序中常见的后台绕过方法总结 最近审计了几个开源的PHP源程序,发现都存在后台程序绕过的问题,而且绕过的方式均不相同,写篇总结一下。初步地将绕过方式分为了三个层次: 1 后台缺乏验证代码 2 后台验证代码不严谨 3 变量覆盖漏洞导致后台验证失效以下就几个我审计过的PHP源程序进行说明。 阅读全文 2017-12-03 myh0st 0 条评论
web安全 sprintf函数中的安全问题 看到一篇WorldPress注入漏洞分析,其中sprintf单引号逃逸的思路很巧妙,在此对这类函数做一些简单的测试和总结。 阅读全文 2017-12-03 myh0st 0 条评论