Audit Learning

開新坑了，準備花一個月的時間對學過的程式碼審計知識好好總結一下，持續更新，歡迎各位師傅star支持一下。

• open_basedir 繞過研究
• allow_url_fopen 和allow_url_include
• 寬位元組注入及資料庫編碼分析
• 通用代碼審計思路
• 危險的file_put_contents函數
• escapeshellarg 和escapeshellcmd 函數.md
• parse_url 函數研究
• 其他
• 特殊的檔名寫入技巧(move_uploaded_file, file_put_contents,copy，readfile,file,fopen 都存在)
• mail函數指令執行
• disable_functions 繞過研究
• curl 函數研究
• addslashes 函數繞過研究
• move_uploaded_file
• 其他php函數預設配置引發的安全性問題
• 誤用htmlentities函數引發的漏洞(http://sec-redclub.com/archives/964/)
• filter_var函數缺陷(http://sec-redclub.com/archives/925/)

https://github.com/CHYbeta/Code-Audit-Challenges

wonderkun師傅的ctf web練習題: https://github.com/wonderkun/CTF_web

https://github.com/bowu678/ph​​p_bugs

RIPS2017 程式碼稽核練習oj: https://www.ripstech.com/php-security-calendar-2017/

紅日安全RIPS oj 裡題解: https://github.com/hongriSec/PHP-Audit-Labs

推薦一波自己的倉庫： https://github.com/jiangsir404/PHP-code-audit

各種開源CMS 各種版本的漏洞以及EXP： https://github.com/Mr5m1th/0day

CMS漏洞測試案例集合： https://github.com/SecWiki/CMS-Hunter

Xyntax師傅整理的烏雲1000個PHP程式碼審計案例： https://github.com/Xyntax/1000php

烏雲Drops文章備份： https://github.com/SecWiki/wooyun_articles

php_code_audit_project： https://github.com/SukaraLin/php_code_audit_project

cheybeta師傅的Web學習資料整理: https://github.com/CHYbeta/Web-Security-Learning

https://github.com/CHYbeta/phith0n-Mind-Map

https://github.com/bit4woo/code2sec.com

python 程式碼稽核: https://github.com/bit4woo/python_sec

進階PHP應用程式漏洞審核技術(by黑哥）https://github.com/Jyny/pasc2at

離別歌:https://www.leavesongs.com/

漏洞時代: http://0day5.com/

lorexxar師傅: http://lorexxar.cn/

知創宇paper: https://paper.seebug.org/

《代碼審計》

《PHP7核心剖析》 https://github.com/pangudashu/php7-internal

《深入理解PHP核心》https://github.com/reeze/tipi

cobra： https://github.com/wufeifei/cobra

Seay原始碼稽核系統2.1: http://www.cnseay.com/

rips: https://github.com/ripsscanner/rips