Eternal 8年前 (2016-07-29) 6547浏览 1评论

File Inclusion (LOW) 当代码等级为低时，我们可以实现本地文件包含。例如我在当前目录下创建个 phpinfo.php 文件，并带入访问。可以看到成功读取该文件！ 如果此时我们打开 PHP 配置文件内的 allow_url_incl...

Eternal 8年前 (2016-07-29) 5715浏览 0评论

Command Execution (LOW) 在低级别下，我们在命令执行漏洞提交框，直接输入命令：127.0.0.1&&dir?，显示如下内容!系统命令被正确执行。 我们来打开源代码进行查看。可以看到在接受用户提交数据时，没有进...

Eternal 8年前 (2016-07-16) 4986浏览 1评论

这是一个常见的误解— 企业需要购买复杂和昂贵的软件来发现应用程序中安全漏洞；而这些专门的软件应用程序，无论是黑盒或白盒，开源或商业，都能很快的发现安全漏洞。 事实是：所有这些专业的漏洞扫描工具都有其特定的优势和劣势。有些可能是ASP为中心的，而其他...