浅谈代码审计方法(笔记1)
Notice1.文章基于phpcmsv9.5.10进行审计 2.文章的内容都来自 https://mp.weixin.qq.com/s/Yi4-0Z0C1GDtyaJAeCB1wQ 我只是记一个自己的笔记,推荐读者观看原文章通读全文审计方法MVC框架在原文中提到了MVC框架这一开发模式,百度百科的官方解释,M是指业务模型(Model),V是指用户界面(view),C则是控制器(controller),使用MVC的目的是将M和V的实现代码分离,从而使同一个程序可以使用不同的表现形式。其......

记一些linux安全应急排查思路和命令
基本蓝方思路(感谢师傅h3h3da)1.查看日志以及防守设备的日志,看看攻击情况 (/在探测(是否有风险)/已经入侵成功) 探测中有风险就直接ban ip2.进来的话看日志判断动了哪些资源 判断目的 提交报告 隔离服务环境 看payload判断漏洞位置 清理shell 及时修复 及时提交报告3.根据攻击者ip 做一些溯源 比如威胁感知平台查查whois 有些攻击者如果使用自己的vps ,看看上面是否有blog服务 有blog就可以进行找4,搞进来了可以不立马杀死 投放诱饵文件 尝试反......


jsonp跨域实验(1)--过程复现
Background在多个师傅的面经中提到了jsonp跨域 所以简单做个实验理解下说在前面的前置知识点同源策略就不多说了跨域的几个方法还是简单提一下去掉已经老掉牙不能用的东西 现在主要黑客们在用的cors/jsonp/window.name+iframe这种实验演示<?php header('Content-type: application/json'); $jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback'])......


做你自己,然后承受你为换取个性而付出的代价


© 2024 T4rn's Universe --个人的学习记录 . 由 Typecho 黑ICP备20000624号-1