代码审计的艺术系列 第二篇

0x01 前言

现在的WEB程序基本都有对SQL注入的全局过滤,运维人员配置PHP环境是一般会开启魔术引号GPC,即magic_quotes_gpc=On的情况下,如果输入的数据有单引号、双引号、反斜线\NULNULL字符)等字符都会被加上反斜线进行转义处理。

代码审计的艺术系列 第一篇

0x01 前言

近几年随着web安全人才的升级,越来越多的安全研究人员投入到php应用的漏洞挖掘,相应的代码安全问题也被大量的披露出来。身处这个时代,我有幸见识到身边白帽子不断寻求突破并丰富和完善了代码审计这个概念,时至今日笔者总结了一套基础的审计方法,厚着脸皮取名为代码审计的艺术,希望能够帮助新人更好的认识和进入这一领域。