文章標籤：PHP | DEVCORE 戴夫寇爾

資安新聞 #CVE #Advisory #RCE #PHP

資安通報：PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點

2024-06-06

PHP 程式語言在設計時忽略 Windows 作業系統內部對字元編碼轉換的 Best-Fit 特性，導致未認證的攻擊者可透過特定的字元序列繞過舊有 CVE-2012-1823 的保護；透過參數注入等攻擊在遠端 PHP 伺服器上執行任意程式碼。

技術專欄 #PHP #RCE

DEVCORE Wargame at HITCON 2020

cyku

2020-10-30

HITCON 2020 DEVCORE Wargame 其中一題 sqltest 解析。需要構造一個字串，同時為合法的 SQL 語句與 PHP 語句，讓 SQL 執行時有回傳值且 PHP 執行時能夠執行任意系統指令。

技術專欄 #HTTP Header #Defense #PHP

如何正確的取得使用者 IP？

allenown

2014-06-19

很多網站都有取得使用者 IP 的功能，但是到底有多少網站寫的是對的？網路上又有多少錯誤的教學？本文將介紹利用 HTTP Header 偽造 IP 的方式，以及如何安全、正確取得 IP 的教學。

技術專欄 #PHP #Hijack #Session #Cookie #Defense #XSS

HTTP Session 攻擊與防護

allenown

2014-06-03

Session 保護是網站防止使用者帳號被竊的決定要素之一。如果能做好防護，將能防止帳號遭竊，或是在第一時間強制登出網站保護帳號。本文將介紹 Session 攻擊的手法以及防禦的方式，提供給管理者、開發者參考。

技術專欄 #PHP #LFI

PHP 官網原始碼讀取案例

ding

2014-04-24

本次的案例剖析，我們來看看 PHP 官方網站。PHP 網站這幾天被揭露嚴重安全漏洞，導致攻擊者可直接讀取網站原始碼。雖說官方表示這是 feature 不是 bug，但對我們開發者而言是個非常好的借鏡！

紅隊演練

滲透測試

顧問服務

教育訓練

總覽概要

競賽與獎項

Bug Bounty

國際研討會

CVE 漏洞列表

公司簡介

團隊成員

成就與沿革

企業社會責任

工作機會

BLOG

媒體素材下載

搜尋

聯絡我們

中文

English

BLOG

標籤含有 #PHP 的所有文章

資安通報：PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點

DEVCORE Wargame at HITCON 2020

cyku

如何正確的取得使用者 IP？

allenown

HTTP Session 攻擊與防護

allenown

PHP 官網原始碼讀取案例

ding