|
教程本人看了,實戰(zhàn)篇非常值得學(xué)習(xí),如果你是做程序開發(fā)或者滲透測試這套課程可以說是你必備教程。
如果資金允許還是建議大家去參加暗月的培訓(xùn),有人帶著你畢竟是很好的。
一、引言
PHP是一種被廣泛使用的腳本語言,尤其適合于web開發(fā)。具有跨平臺,容易學(xué)習(xí),功能強大等特點,據(jù)統(tǒng)計全世界有超過34%的網(wǎng)站有php的應(yīng)用,包 括Yahoo、sina、163、sohu等大型門戶網(wǎng)站。而且很多具名的web應(yīng)用系統(tǒng)(包括bbs,blog,wiki,cms等等)都是使用php 開發(fā)的,Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。2014年世界編程語言排行榜,看看php趨勢!
二、目前狀況
隨著web安全的熱點升級,php應(yīng)用程序的代碼安全問題也逐步興盛起來,越來越多的安全人員投入到這個領(lǐng)域,越來越多的php應(yīng)用程序代碼漏洞被披露,但是目前相當(dāng)大的PHP領(lǐng)域開發(fā)者,web安全知識匱乏,導(dǎo)致編寫出來的應(yīng)用程序,安全性沒有得到有效的保障,從而會導(dǎo)致客戶網(wǎng)站莫名被黑,數(shù)據(jù)泄漏,掛馬等行為,都會客戶和用戶帶來十分嚴(yán)重的影響。
三、面對人群
對于程序開發(fā)者而言,我們自身的素質(zhì)也要提高,產(chǎn)品是我們面對客戶的橋梁,產(chǎn)品出現(xiàn)安全漏洞,客戶的對所屬公司也隨之失去信心,可能就會尋找替代品。作為開發(fā)者,我們不僅僅是把業(yè)務(wù)功能模塊實現(xiàn)及完善,作為一個合格的程序開發(fā)者,我們更加需要考慮到程序的安全和用戶的保障。
對于在求職安全人員而言,企業(yè)的單一需求到了現(xiàn)在的多元化發(fā)展,對安全人才的需求也是越來越越大,很多安全企業(yè),已經(jīng)將代碼審計這一項技術(shù)作為入職的審核門檻。
對于滲透測試人員而言:近年來隨著網(wǎng)民的安全意識加強,網(wǎng)站安全防范也逐漸有所提高,web安全應(yīng)用防火墻的普及,漏洞報告平臺的興起,我們已經(jīng)明顯感受到了這個安全圈子的格局有了明顯的變化,未來將會是越演越烈,門檻逐漸會提高,所以掌握多一門新技術(shù)是很多必要的。
四、漏洞&0day
代碼審計得出的產(chǎn)物是漏洞 而這個漏洞就還沒有公布和修補 我們都稱為為0day,0day一直是一個敏感的話題,有0day你可以秒站(黑站),還記得早在幾個月前織夢網(wǎng)站管理系統(tǒng)的一鍵GETSHELL嗎,導(dǎo)致國內(nèi)百分之60的站網(wǎng)站被黑,這種技術(shù)靠黑盒測試是很難做到的,只有白盒源代碼審計才能發(fā)現(xiàn)這類漏洞。
五、困惑
假如你還糾結(jié)于有漏洞不會利用,有程序不會挖洞、暗月這套php代碼審計教程 將理論與實踐結(jié)合,從基礎(chǔ)入門到熟悉再到精通,從簡單的案例演示到大型CMS管理系統(tǒng)的漏洞挖掘,豐富的挖掘案例與手法,發(fā)現(xiàn)鮮為人知的漏洞,感受挖掘漏洞的快感。
六、原理
一切黑客滲透測試技術(shù)都是基于原理,進(jìn)行黑盒測試也是基于漏洞原理的基礎(chǔ)上,進(jìn)行滲透測試活動,所以只要明白漏洞產(chǎn)生原理,配合手法,攻擊演變就無窮變化。眾所周知,代碼審計在滲透測試技術(shù)上屬于高級技術(shù),更接近底層,一直被研究安全人員向往,一個屬于技術(shù)流的安全人員,這是一項必不可少的技能。
七、內(nèi)容
本套教程詳細(xì)地講解php程序產(chǎn)生漏洞的原因,讓我們明白漏洞產(chǎn)生的原理,我們該如何是去審計代碼,如何去證實漏洞的存在,更教導(dǎo)我們?nèi)绾稳シ馈?br />
本套教程有大量豐富的案例,全方面的挖掘程序漏洞,擁有0day不再是夢想,更不是夢話,讓我們一起開啟代碼審計之路,走在技術(shù)的前沿,向“腳本小子”、“工具黨”、大聲說NO!
八、目錄
課程
內(nèi)容
第一節(jié)
PHP審計環(huán)境、審計工具、審計平臺介紹與安裝
第二節(jié)
PHP代碼審計中常用代碼調(diào)試函數(shù)與注釋
第三節(jié)
PHP代碼審計涉及到的超全局變量
第四節(jié)
PHP代碼審計命令注入
第五節(jié)
PHP代碼審計代碼執(zhí)行注入
第六節(jié)
PHP代碼審計XSS反射型漏洞
第七節(jié)
PHP代碼審計XSS存儲型漏洞
第八節(jié)
PHP代碼審計本地包含與遠(yuǎn)程包含
第九節(jié)
PHP代碼審計SQL注入
第十節(jié)
PHP代碼審計CSRF 跨站請求偽造
第十一節(jié)
PHP代碼審計動態(tài)函數(shù)執(zhí)行與匿名函數(shù)執(zhí)行
第十二節(jié)
PHP代碼審計unserialize 反序列化漏洞
第十三節(jié)
PHP代碼審計覆蓋變量漏洞
第十四節(jié)
PHP代碼審計文件管理漏洞
第十五節(jié)
PHP代碼審計文件上傳漏洞
第十六節(jié)
PHP代碼審計 實戰(zhàn)漏洞挖掘cms后臺登錄繞過漏洞
第十七節(jié)
PHP代碼審計 漏洞挖掘的思路
第十八節(jié)
PHP代碼審計實戰(zhàn)XDCMS 0day挖掘
第十九節(jié)
PHP代碼審計實戰(zhàn)phpmps XDAY漏洞挖掘
第二十節(jié)
PHP代碼審計實戰(zhàn)MetInfo CMS覆蓋變量漏洞挖掘
第二十一節(jié)
PHP代碼審計實戰(zhàn)phpcms2008通殺0day漏洞挖掘
第二十二節(jié)
PHP代碼審計實戰(zhàn)phpcms2008前臺代碼執(zhí)行漏洞挖掘
第二十三節(jié)
PHP代碼審計實戰(zhàn)齊博CMS通殺漏洞挖掘
第二十四節(jié)
PHP代碼審計實戰(zhàn)齊博CMS通殺XSS漏洞挖掘
第二十五節(jié)
PHP代碼審計實戰(zhàn)齊博CMS無限PUT漏洞挖掘
第二十六節(jié)
PHP代碼審計實戰(zhàn)EMLOG博客系統(tǒng) 某插件前臺無限GETSHELL漏洞挖掘
第二十七節(jié)
PHP代碼審計實戰(zhàn)MetInfo 變量未初始化繼續(xù)GETSHELL漏洞挖掘
第二十八節(jié)
PHP代碼審計實戰(zhàn) DEDECMS(織夢管理系統(tǒng))一個詭異漏洞挖掘
第二十九節(jié)
PHP代碼審計實戰(zhàn) CSDJCMS(程氏舞曲網(wǎng)站系統(tǒng)) 漏洞挖掘
第三十節(jié)
PHP代碼審計實戰(zhàn) CSDJCMS(程氏舞曲網(wǎng)站系統(tǒng))變量初始化GETSHELL漏洞挖掘
第三十一節(jié)
PHP代碼審計實戰(zhàn) CSDJCMS(程氏舞曲網(wǎng)站系統(tǒng))前臺任意GETSHELL漏洞挖掘
|
評分
-
查看全部評分
|