发现学了之后没有去复习,每天都要问自己学了什么,复习了吗,下次还能记住吗
一下内容来自【小迪安全2023】第62天:服务攻防-框架安全&CVE复现&Spring&Struts&Laravel&ThinkPHP_小迪安全文档2023-CSDN博客
一个网站的源码应用,比如:实现文件上传功能
1.源码采用框架开发的
完全依赖于框架自身的安全机制,安不安全完全取决于这个框架。
比较简单,方便2.源码采用原生态开发的
整个的文件上传功能都是自己写的,自己控制,自己过滤。
比较复杂,需要从0开始0x3 案例分析1、PHP-开发框架安全-Thinkphp&Laravelthinkphp3.2.x 代码执行ThinkPHP5 5.0.23laravel-cve_2021_31292、JAVAWEB-开发框架安全-Spring&Struts2strust2 CVE-2020-17530strust2 CVE_2021_318053、spring框架spring 代码执行 (CVE-2017-4971)
都是利用工具复现的,工具么装好,先记住吧,利用wappalyzer直接扫描框架,也可以在响应头找框架信息