,其他的我都省略了,就写几个重要的吧。对于二次我也是最近才研究的,研究了点皮毛,错误之处还请广大圈友,谢谢。
我写的是“熟悉”,这只是对刚入行的同学说的,作为代码审计来说,熟练编写代码程序是必须的,要想深发展,精通一门语言是必经之。
查找XSS、SQL注入、命令执行……等等,逆向查找变量能够快速定位漏洞是否存在,本次已SQL注入为例。
什么是逆向顾名思义,逆向就是对变量的逆向查找,开始全局查找出可能存在漏洞的触发点,然后回溯参数到前端,查看参数来源已经参数传递过程中的处理过程。
“word”参数,看看“word”值到底是怎么传进来的,回溯到控制层,发现该“word”参数:
“search”方法只是内部调用,继续回溯“searchword”值,查看是否从前端页面传入的:
推荐:
网友评论 ()条 查看