2020/1/27代码审计学习

余于27期学习老男孩周末班,将做到一下几点,目标月薪15K 课前预习,课后总结 每天不低于三小时学习 将每次作业做为自己复习材料 善于总结工作学习中问题 不耻下问,直到明白 课上不乱纪违规 帮助其它同学讲解问题,提升自己 多和同学讨论学习技巧 学习技能的同时提高个人的素质 按时完成老师安排的任务 奖励:买一部新手机 惩罚:为慈善捐助1000元

前言 正式开始代码审计的学习,拓宽自己的知识面.代码审计学习的动力也是来自团队里的王叹之师傅,向王叹之师傅学习. 这里参考了一些前辈,师傅的复现经验和bluecms审计的心得 安装 install.php 搭建完成 seay自动审计 文件包含漏洞 /user.php 742-751行 elseif ($act == 'pay'){ include 'data/pay.cache.php'; $price = $_POST['price']; $id = $_POST['id']; $name =

今天想记录下如何在windows环境下远程提交代码到spark集群上面运行. spark集群搭建环境使Linux系统,但说实在,Linux系统因为是虚拟机的缘故运行IDE并不是很舒服,想要对python进行舒适的编程操作还不是一件容易事,所以今天记录下如何在Windows下进行spark编程. 首先是spark的基本安装. 需要按照集群方式安装,同时虚拟机需要保证能和Windows互联互通(能ping通),这样才能有最基本的环境. 具体操作按照教程按照集群版的的spark即可,注意的是slave

0x00 由于转了onenote行列,所以已经好久没有发表新的随笔了,但是想想还是非常有必要的,这几天开始学习php代码审计,所以先开始发这一些的随笔吧! 首先就先通过十大测试平台dvwa开始学习吧,先在这里带上参考的大牛链接,感谢分享 1.http://drops.wooyun.org/papers/483 2.http://www.lxway.com/86980986.htm   is_numeric 函数绕过 3.http://www.cnblogs.com/Safe3/archive/2

0x01 基础介绍 xss漏洞分类:一般来说分三种 反射型XSS 保存型XSS 基于DOM的XSS 今天先学习反射型xss:它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析.执行.它的特点是非持久化,必须用户点击带有特定参数的链接才能引起. 0x02 造成原因及利用 一般来说,许多漏洞造成的原因都是因为对用户的输入太信任造成的,没有进行严谨的过滤,通常在代码审计的过程中,审计获取用户输入的函数或者操作如存储等等 一.对变量直接输出 例如: <?

一.开始代码审计之旅 01 从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 PHP SECURITY CALENDAR 2017 的第一题,结合 红日安全 写的文章,开始吧. 二.先看这道题目 1.题目名称:Wish List 2.in_array() 函数的作用 in_array() 函数的作用是判断第一参数是否存在第二个参数中,存在返回 true,不存在返回 false.需要注意的是,如果函数第三个参数为 true,则第一个参数必须还要和第二个参数同类型,函数才能返回 tru

原文:http://paper.tuisec.win/detail/1fa2683bd1ca79c 作者:June 这是一次分享准备.自己还没有总结这个的能力,这次就当个搬运工好了~~ 0x01 工具准备 PHPSTORM,不只是编程. 个人觉得只要能够提供全局搜索.单页搜索.函数跳转的编辑器就能够满足要求.一般在审计的时候,先找到一个入口点,配合代码和浏览器,一边下断点,一边打印变量,再在浏览器上观察反应. 自动化审计工具,食之无味,弃之可惜. 当然,我手边能用到的自动化审计工具就是能在网上找

本文是2019年第91篇原创文章,是汪子熙公众号总共第181篇原创推送,也是2019年最后一篇文章. 12月19日Jerry曾经发起了一个问卷调查:亲爱的SAP从业者们,做个调查,搜集了一下大家明年最想从这个公众号上看到的文章内容分类. Jerry非常感谢花费自己宝贵时间投票的朋友们.如今投票已经结束,一共有400份有效投票,结果统计如下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sPmyygF7-1578198246536)(https://upload-

学习java应该选择线上还是线下? 随着互联网技术的不断发展,编程语言的运用范围不断扩张,也就产生了IT行业.越来越多的人学习编程. 2020年,5G技术的不断完善,注定是互联网行业不平凡的一年.越来越多的新技术,也就意味着更多的就业机会和发展前景. 很多想学习java的萌新,不知道该选择线上还是线下,还是自学?我今天便说一下我的看法. 首先排除自学,先不说你有没有那么强的学习能力,自学其实远远比想象中的困难,这是过来人的经验之谈. 然后说说线下培训,市面上绝大部分培训机构都主打线下面对面授课,