x

扫码登录

登录二维码

你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。加入『代码审计』知识星球即可查看所有内容。

phith0n

2017 七月 24
@路人甲: 请问Phith0n,您在代码审计时常用的工具有哪些?配置是否能分享下呀,谢谢啦。

阅读代码Windows上可以使用source insight。
Mac下可以使用各种IDE,比如PH...

phith0n

2017 七月 02
@网络小白: 各位师傅我刚开始接触代码审计,不是很懂,就想问下在审计一套源码时是不是先用工具来自动审计下,然后根据他的报错来一一分析啊?

不是。工具是你会...

phith0n

2017 六月 13
@路人甲: p神你好,我想问下关于ssrf的问题,一般来说无回显的ssrf可以通过响应时间来判断是否可以通内网,但是如果代码里面加入了请求超时,那么有什么办法可以判断是否通内网呢

超时时间至少5秒以上吧,如果是请求内网的...

phith0n

2017 六月 09
@路人甲: 通过注入点如何用 general_log_file写shell。我在本地试了很长时间也没有成功。这种方法难道只能在phpmyadmin中使用吗。知乎参考链接phpMyAdmin新姿势getshell+-+知乎专栏

需要满足几个条件,一是运行mysql...

phith0n

2017 六月 09
@路人甲: P神…有个问题 redis里 config set dir 之后可不可以是中文路径 网上搜也搜不到…getshell卡在这一步了…感谢

我觉得...

phith0n

2017 五月 26
@Zack wright: 入门渗透三年了,一直有想要进步,但是身为脚本小子有时挺满足的,请问如何脱离这种满足感?

没事了多翻翻ha...

雨了个雨

2017 五月 01
@masker: 有个疑问,如果使用预编译防注入后,那么还有必要过滤单双引号等危险字符吗?

没必...

phith0n

2017 四月 25
@陌小皓: p神,我想问一下刚接触php代码审计要不要自己先用PHP写一个网站了解一下呢?我是做java开发的

建议自己写一个,这样更熟悉相关代码架构。...

phith0n

2017 四月 25
@前尘如梦: 前辈你好,我是从你的博客跟到这里的,我也是尝试做PHP代码审计,有几个初学者的小问题,希望您能答疑解惑。 我平时做审计的时候,常用print_r($xxx);来查看参数的传递和处理结果,或者print_r(debug_backtracer);一点点回溯函数的调用,又或者全局搜索函数的调用。 这种方法很麻烦,而且大多时候白费力气。我想问有什么好的方法可以改善吗?例如有什么更好的办法可以确定程序执行流程,或者框架的结构

你在小密圈的ap...

phith0n

2017 四月 20
@xxx: 师傅,想问下审计python的静态分析工具有哪些呢

这个我没记过,但...