Audit Learning

新しいピットを開設しました。私が学んだコード監査の知識を 1 か月かけてまとめ、引き続き更新していきます。ご協力をお願いします。

• open_basedir バイパス研究
• allow_url_fopen およびallow_url_include
• ワイドバイトインジェクションとデータベースエンコーディング分析
• コード監査の一般的なアイデア
• 危険な file_put_contents 関数
• エスケープシェルラーグとエスケープシェルcmdのfunctions.md
• parse_url関数の研究
• 他の
• 特別なファイル名書き込みテクニック (move_uploaded_file、file_put_contents、copy、readfile、file、fopen はすべて存在します)
• メール機能コマンド実行
• disable_functions バイパス研究
• カール機能研究
• addlashes 関数バイパス研究
• アップロードされたファイルの移動
• 他の PHP 機能のデフォルト設定によって引き起こされるセキュリティ問題
• htmlentities機能の悪用による脆弱性（http://sec-redclub.com/archives/964/）
• filter_var 関数の欠陥 (http://sec-redclub.com/archives/925/)

https://github.com/CHYbeta/Code-Audit-Challenges

マスターwonderkunのCTF Web演習: https://github.com/wonderkun/CTF_web

https://github.com/bowu678/ph​​p_bugs

RIPS2017 コード監査演習 OJ: https://www.ripstech.com/php-security-calendar-2017/

Honri Security RIPS oj の問題の解決策: https://github.com/hongriSec/PHP-Audit-Labs

独自のウェアハウスのウェーブを推奨します: https://github.com/jiangsir404/PHP-code-audit

さまざまなオープンソース CMS バージョンの脆弱性と経験値: https://github.com/Mr5m1th/0day

CMS 脆弱性テストケース集: https://github.com/SecWiki/CMS-Hunter

Xyntax マスターによってコンパイルされた 1000 の PHP コード監査ケース: https://github.com/Xyntax/1000php

Wuyun ドロップ記事のバックアップ: https://github.com/SecWiki/wooyun_articles

php_code_audit_project: https://github.com/SukaraLin/php_code_audit_project

マスター cheybeta による Web 学習教材のコンパイル: https://github.com/CHYbeta/Web-Security-Learning

https://github.com/CHYbeta/phith0n-マインドマップ

https://github.com/bit4woo/code2sec.com

Python コード監査: https://github.com/bit4woo/python_sec

高度な PHP アプリケーション脆弱性監査技術 (Hei Ge 氏による) https://github.com/Jyny/pasc2at

お別れの歌：https://www.leavesongs.com/

脆弱性タイム: http://0day5.com/

マスター lorexxar: http://lorexxar.cn/

Chuangyu の論文を知る: https://paper.seebug.org/

「コード監査」

「PHP7カーネル解析」 https://github.com/pangudashu/php7-internal

「PHP カーネルの深い理解」 https://github.com/reeze/tipi

コブラ: https://github.com/wufeifei/cobra

Seay ソースコード監査システム 2.1: http://www.cnseay.com/

リップ: https://github.com/ripsscanner/rips