代码审计
未读
熊海CMS白盒PHP代码审计实战
本文是对熊海CMS系统进行代码审计的实战分析,主要包括了以下漏洞的发现与修复建议:SQL注入、文件包含、XSS(反射型与存储型)、后台登录绕过、CSRF以及任意文件下载等。建议在处理用户输入时进行严格过滤和验证,避免直接拼接SQL语句;对文件包含进行路径限制,防止目录跳转;增加CSRF token验证;对敏感操作进行权限控制;采用预处理语句和绑定参数的方式执行SQL查询,提升系统的安全性。同时,文章强调了代码审计的重要性,并对相关安全措施进行了详细阐述。
Vaudit白盒PHP代码审计笔记
文章摘要:
本文主要介绍了Vaudit审计系统的安装、代码结构、功能列表以及漏洞审计。Vaudit审计系统在安装过程中存在重新安装漏洞,可能导致敏感信息泄露。系统代码结构包括管理员和用户两大模块,具有注册、登录、修改信息、发表留言等功能。在漏洞审计部分,发现了命令注入、SQL注入、存储型XSS、验证码绕过、任意文件读取、文件包含、越权和二次注入等多个安全问题。针对这些问题,文章提供了相应的解决方法和原理分析,为系统的安全加固提供了参考。