PHP代码审计教程

自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html 。这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。由于WAF在比赛中所占比重越来越少,所以教程中就没包含WAF配置的内容。

从9月份开学不久就开始给参加比赛的同学们讲课,并同步录制教程。但由于这学期带的课程太多,所以只能利用周末时间来讲课,再加上中途还生了一场病,直到10月底才把课程讲完,再加上后期编辑,一直到现在12月份才把这套教程给做完。

第一套Web渗透入门教程自从8月底上线后效果还不错,截止目前已有4500多人学习,并有29位付费学员。按目前的思路,准备将制作视频教程以及出版教材作为个人近期的主要工作,因而后续还将陆续发布教程,并且计划推出一些免费教程。

时间: 2024-11-05 16:01:02

PHP代码审计教程的相关文章

WEB代码审计教程,详解什么是WEB代码审计

现在WEB安全几乎就是网络安全的主科,我觉得WEB安全技术的重要性应该能够和小学时候咱们学习的学科,语文数学相持平了 WEB这个东西,我也不知道该怎么怎么样具体形容他的重要性,反正就是十分重要吧~ 对于这个技术我原本也是一直半解,知道我看了这部WEB代码审计教程才恍然大悟,原来WEB安全既然有这么多的套路 所谓WEB代码审计是什么意思呢?其实就是我们现在大部分网站都是用WEB前端开发的 这样的话如果黑客在WEB前端开发的代码里面隐藏上恶意代码的话那么咱们可就是白瞎了 所以代码审计是由为重要的 原

Seay源代码审计系统2.0及源码开放 人人都是代码审计师

历史版本: 2013年7月15日 Seay源代码审计系统2.0 1.增加mysql执行监控,可以监控自定义断点后执行的所有SQL语句,方便调试SQL注入2.更换在线升级,安装好之后下次更新可以直接在线升级,无需重新安装3.更换皮肤,去除图片优化程序速度4.更换mysql管理系统为HeidiSql 2013年6月18日  Seay源代码审计系统1.1 1.审计规则禁用2.审计进度显示3.优化正则调试.编码转换输入框4.优化信息泄露插件扫描模式5.修复代码查看处的一个bug 2013年6月8日 Se

php代码审计基础笔记

出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 ---------------------------------------------------------- team:xdsec&90sec author:wilson blog:http://blog.wils0n.cn/ 文章链接:wilson's blog_php代码审计基础笔记[求人气~~] ----------------------

代码审计:安全性测试方案

安全性测试方案 一.静态代码测试 主要通过对源代码进行安全扫描,根据程序中数据流.控制流.语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞.   代码审计工具RIPS:   介绍:RIPS是一个用php编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞.渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码.由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认.RIPS能够检测XSS, SQL注入, 文件泄露,Hea

几种安全工具、库的简介及部分相关使用教程

Wireshark Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流.电压.电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线.在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件.Ethereal的出现改变了这一切.在GNUGPL通用

Windows Git+TortoiseGit简易使用教程

转载自 http://blog.csdn.net/jarelzhou/article/details/8256139 官方教程:http://tortoisegit.org/docs/tortoisegit/(英文版) 为什么选择Git 效率 很多人有一种习惯吧,什么软件都要最新的,最好的.其实吧,软件就是工具,生产力工具,为的是提高我们的生产力.如果现有的工具已经可以满足生产力要求了,就没有必要换了.生产效率高低应当是选择工具的第一位. 历史 开源世界的版本控制系统,经历了这么几代: 第一代,

微信公众号中添加外部链接地址的图文教程

2017-9-18,长沙,有点闷,有点热. 本教程教大家如何在微信公众号中,添加外部的链接,网络有很多教程,但由于表述不太清楚,出个教程吧.最终实现在微信后台管理平台"原文链接"处插入外部链接,用户点击发布好的图文文章底部左下角的"阅读原文",就可以跳转到您添加的外部链接页面中去. 第1步. 使用微信公众管理帐号登陆微信管理后台 > 素材管理 > 图文消息 >  新建图文消息或者编辑文章都可以,如下图所示: 第2步. 之后,将页面向下拉,看到底部&

win2003从组策略关闭端口(445/135/137/138/139/3389等)教程

一些恶劣的病毒会从某些端口入侵计算机,因此关闭某些用不到的而又具有高风险的端口就显得很有必要,是服务器管理员要做的基本的安全防范.本文将介绍win2003系统在组策略关闭某一个端口的教程,文章以关闭445端口为例. 首先要说明的是,此方法不仅仅适用于win2003,也适用于win7,且操作方法完全相同,所以win7用户也可以按照本文教程操作. 1.打开组策略编辑器 按组合键WIN+R打开运行窗口,然后输入gpedit.msc,按回车键,即可进入组策略编辑器. 2.创建 IP 安全策略 展开选项"

微信小程序实例教程(一)

序言 开始开发应用号之前,先看看官方公布的「小程序」教程吧!(以下内容来自微信官方公布的「小程序」开发指南) 本文档将带你一步步创建完成一个微信小程序,并可以在手机上体验该小程序的实际效果.这个小程序的首页将会显示欢迎语以及当前用户的微信头像,点击头像,可以在新开的页面中查看当前小程序的启动日志. 1. 获取微信小程序的 AppID 首先,我们需要拥有一个帐号,如果你能看到该文档,我们应当已经邀请并为你创建好一个帐号.注意不可直接使用服务号或订阅号的 AppID. 利用提供的帐号,登录https