白癜风的治疗 http://m.39.net/pf/a_4353562.html0x00前言
最近一直在学习php代码审计,入门过程比自己想象的慢很多,现在各个行业都在内卷,代码审计随着web开发技术的发展也会变得更加复杂。但不管现在技术多成熟,多复杂,基础知识一定要扎实。先记录下我目前学习php代码审计的过程:
php基础语法巩固-php特性-各漏洞挖掘方法-早期CMS程序代码审计实战-MVC模式程序代码审计实战
网上已经有很多讲解如何去审计各种php程序漏洞的博客,大家都讲的很好,但学完这些知识后去真正上手审计一个CMS时,会突然发现自己什么都不会,我总结原因是自己的web开发知识太少了,不理解程序的逻辑,导致在审计大量代码时会晕头转向,没有方向。
然后我边学最基础的web开发知识,边找最简单的CMS实战审计,然后逐渐增加难度,慢慢的找到了感觉。目前我认为自己还是一个菜鸡,确实也还是一个菜鸡,所以自己打算好好整理早期CMS程序代码审计实战-MVC模式程序代码审计实战的过程,并在博客上发表。
早期CMS程序代码审计实战我依次选择了BlueCMS,SeaCMS,DedeCMS,PhpCMS这4个CMS,难度逐渐提升。在对这几个系统的代码审计过程中,也能感受到web开发技术的发展和趋势,直到PhpCMS,发现已经实现了一个MVC模型的程序。相信完成这步后再审计非MVC模式程序的代码就会具有清晰的思路与十足的把握。
0x01BlueCMS简介
BlueCMS是一款应用于地方分类信息的门户系统,本文下载的源码为BlueCMSv1.6sp1版,可以追溯到年左右了,该系统确实很老,但审计该系统有一个好处是,即使现在web开发技术十分成熟了,但仍有人因为经验缺乏或时间原因会开发出类似BlueCMS这样简单的系统,甚至比BlueCMS更简单。通过对BlueCMS实战审计,能够熟悉这类简单CMS的程序逻辑。
BlueCMS被认为是练手代码审计的绝佳项目,以至于现在百度BlueCMS的关键词全是代码审计。那为什么BlueCMS都被审计烂了,我还要在发一篇BlueCMS的代码审计博客呢?首先BlueCMS确实经典,是一个入门的好项目;其次BlueCMS是无MVC架构时期最早流行的一批CMS,是早期CMS程序代码审计实战系列最标志的第一环。
BlueCMS源码也不太好找,这里推荐站长之家
(
