大家好,我们是红日安全-代码审计小组。此项目是关于代码审计的系列文章分享,还包含一个CTF靶场供大家练习,我们给这个项目起了一个名字叫 PHP-Audit-Labs ,希望对想要学习代码审计的朋友们有所帮助。如果你愿意加入我们,一起完善这个项目,欢迎通过邮件形式([email protected])联系我们。
Part1部分属于项目 第一阶段 的内容,本阶段的内容题目素材均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,文章内容如下:
- [红日安全]代码审计Day1 - in_array函数缺陷
- [红日安全]代码审计Day2 - filter_var函数缺陷
- [红日安全]代码审计Day3 - 实例化任意对象漏洞
- [红日安全]代码审计Day4 - strpos使用不当引发漏洞
- [红日安全]代码审计Day5 - escapeshellarg与escapeshellcmd使用不当
- [红日安全]代码审计Day6 - 正则使用不当导致的路径穿越问题
- [红日安全]代码审计Day7 - parse_str函数缺陷
- [红日安全]代码审计Day8 - preg_replace函数之命令执行
- [红日安全]代码审计Day9 - str_replace函数过滤不当
- [红日安全]代码审计Day10 - 程序未恰当exit导致的问题