[转]高级PHP应用程序漏洞审核技术

原文地址：http://code.google.com/p/pasc2at/wiki/SimplifiedChinese

?

高级PHP应用程序漏洞审核技术高级PHP应用程序漏洞审核技术前言传统的代码审计技术PHP版本与应用代码审计其他的因素与应用代码审计扩展我们的字典变量本身的key变量覆盖遍历初始化变量parse_str()变量覆盖漏洞import_request_variables()变量覆盖漏洞PHP5 Globalsmagic_quotes_gpc与代码安全什么是magic_quotes_gpc哪些地方没有魔术引号的保护变量的编码与解码二次攻击魔术引号带来的新的安全问题变量key与魔术引号代码注射PHP中可能导致代码注射的函数变量函数与双引号PHP自身函数漏洞及缺陷PHP函数的溢出漏洞PHP函数的其他漏洞session_destroy()删除文件漏洞随机函数特殊字符截断include截断数据截断文件操作里的特殊字符怎么进一步寻找新的字典DEMO后话附录