导航
导航
文章目录
  1. 从入坑CTF-web开始
  2. PHP基础
  3. 代码审计
  4. 漏洞总结
  5. 写到最后

从PHP基础到代码审计

2017.09.11 xjseck PHP  热度 条评论

从入坑CTF-web开始

一开始是观摩wooyun开始的,从那时开始感觉自己在学习的路上就停不下来了,也是作为“脚本小子”开始,感觉浮躁的不行,再到入坑CTF,认识了更多的人,从被虐开始,也是能让自己停下来,怎么构建自己的技能树,又怎么静下心来积淀,所以决定从头系统的学习PHP到代码审计,看看自己能做多远,少花一点时间划水了。

PHP基础

记得最清楚的事情是使用工具爆破网站目录,发现类似url:ip/item/index/或者类似ip/index.php/Controller/index 发现扫描的文件却没有几个,后来发现是MVC的设计系统。
这里就打算从撸PHP项目,实现一些简单的项目入手学习,就由浅入深慢慢学习吧,主要参考

高洛峰的《细说PHP》
WooYunPages
《深入PHP面向对象 模式与实践》

后面的内容会详细介绍PHP基础的一些学习

代码审计

主要可以从几方面进行学习总结。

  1. CTF题目
  2. 乌云案例
  3. 漏洞演示系统 (DVWA SQLI ….)
  4. 开源系统
  5. 审计案例

漏洞总结

  • 安装问题
  • 包含漏洞
  • 找回密码
  • 文件上传
  • 文件操作
  • 加密函数
  • Xss
  • SQLinject
  • CSRF
  • SSRf
  • 命令执行
  • 越权
  • 变量覆盖
  • Xpath 注入
  • 模板注入
  • 危险函数
  • 信息泄露
  • PHP版本特性

写到最后

整个过程持续的时间会比较久,希望自己能够坚持下去,也希望能帮助到有此研究学习意向的 朋友。

支持一下
扫一扫,支持作者
Powered by HyperComments