Audit Learning

J'ai ouvert une nouvelle fosse. Je vais passer un mois à résumer les connaissances en audit de code que j'ai acquises et continuer à les mettre à jour. Bienvenue à tous les maîtres vedettes pour votre soutien.

• recherche de contournement open_basedir
• Allow_url_fopen et Allow_url_include
• Injection d’octets larges et analyse du codage de base de données
• Idées générales d'audit de code
• Fonction file_put_contents dangereuse
• Fonctions escapeshellarg et escapeshellcmd.md
• recherche de fonction parse_url
• autre
• Des techniques spéciales d'écriture de noms de fichiers (move_uploaded_file, file_put_contents, copy, readfile, file, fopen existent toutes)
• exécution de commande de fonction de messagerie
• la recherche de contournement des fonctions désactivées
• recherche sur la fonction des boucles
• la fonction addlashes contourne la recherche
• move_uploaded_file
• Problèmes de sécurité causés par la configuration par défaut d'autres fonctions PHP
• Vulnérabilités causées par une mauvaise utilisation de la fonction htmlentities (http://sec-redclub.com/archives/964/)
• Défaut de la fonction filter_var (http://sec-redclub.com/archives/925/)

https://github.com/CHYbeta/Code-Audit-Challenges

Exercices Web CTF de Maître Wonderkun : https://github.com/wonderkun/CTF_web

https://github.com/bowu678/php_bugs

Exercice d'audit du code RIPS2017 jo : https://www.ripstech.com/php-security-calendar-2017/

Solution au problème dans Hongri Security RIPS jo : https://github.com/hongriSec/PHP-Audit-Labs

Recommandez une vague de votre propre entrepôt : https://github.com/jiangsir404/PHP-code-audit

Vulnérabilités et EXP de différentes versions du CMS open source : https://github.com/Mr5m1th/0day

Collection de cas de test de vulnérabilité CMS : https://github.com/SecWiki/CMS-Hunter

1000 cas d'audit de code PHP compilés par le maître Xyntax : https://github.com/Xyntax/1000php

Sauvegarde de l'article Wuyun Drops : https://github.com/SecWiki/wooyun_articles

php_code_audit_project : https://github.com/SukaraLin/php_code_audit_project

Compilation de matériel d'apprentissage Web par le maître cheybeta : https://github.com/CHYbeta/Web-Security-Learning

https://github.com/CHYbeta/phith0n-Mind-Map

https://github.com/bit4woo/code2sec.com

Audit du code Python : https://github.com/bit4woo/python_sec

Technologie avancée d'audit de vulnérabilité des applications PHP (par Hei Ge) https://github.com/Jyny/pasc2at

Chanson d'adieu : https://www.leavesongs.com/

Temps de vulnérabilité : http://0day5.com/

Maître Lorexxar : http://lorexxar.cn/

Connaître l'article Chuangyu : https://paper.seebug.org/

"Vérification des codes"

"Analyse du noyau PHP7" https://github.com/pangudashu/php7-internal

"Compréhension approfondie du noyau PHP" https://github.com/reeze/tipi

cobra : https://github.com/wufeifei/cobra

Système d'audit du code source Seay 2.1 : http://www.cnseay.com/

déchirures : https://github.com/ripsscanner/rips