以下是基于php审计关键词审计技巧总结:
在搜索时要注意是否为整个单词,以及小写敏感这些设置
php审计
命令执行漏洞
system()、exec()、shell_exec()、passthru()、pcntl_exec()、popen()、proc_open()
代码执行漏洞
eval()、assert()、preg_replace()、call_user_func()、call_user_func_array()、array_map()
xss:常用的输出函数列表如下:
print、print_r、echo、printf、sprintf、die、var_dump、var_export,
文件读取函数列表如下:
file_get_contents()、highlight_file()、fopen()、readfile()、fread()、fgetss()、fgets()、parse_ini_file()、show_source()、file()
sql注入关键字:
select、insert、update、、POST、$REQUEST、
上传漏洞关键字:
$_FILES、move_uploaded_file
执行漏洞关键字:
shell_exec、exec、passthru system、popen
包含漏洞关键字:
include、include_once、require、require_once
变量覆盖关键字:$$
跨站漏洞关键字:
echo、print、print_r、var_dump、var_exprot,insert
阅读(702) | 评论(0) | 转发(0) |