搜索中心

2024年6月6日，PHP官方发布新版本，修复 CVE-2024-4577 PHP CGI Windows平台远程代码执行漏洞。

今天帮朋友遇到一道CTF题目源码简化如下:<?phperror_reporting(0);show_sour

供应链攻击

反序列化不会代码审计？pop链不会编写？请看此文

预览

预览

预览

预览

290人阅读

2024-04-22

欢迎各位大佬入群交流，需要各种资料也可入群领取。二维码失效加好友进群！！！！！！！！！！！wx：kalith

序列化是开发语言中将某个对象转换为一串字节流的过程。但反序列化的过程却可能存在严重的安全漏洞，本文介绍PHP开发中的反序列化漏洞。

2024年6月6日，PHP官方发布了多个新版本，其中都包含对编号为CVE-2024-4577的安全漏洞的修复更新。该漏洞是PHP CGI的参数注入漏洞，是对CVE-2012-1823漏洞的修复绕过。

概述Sodium crypto library是一个现代化的，易于使用的软件库，用于加密，解密，签名，密码散列

预览

预览

212人阅读

2024-08-14

菜鸟学习通用代码审计思路

今天在DEVCORE的官方博客发布了一个漏洞通报，是存在于windows特殊场景下的PHP CGI远程代码执行漏洞（CVE-2024-4577）

序列化与反序列化机制本身并无问题，但应用程序对于用户输入数据（不可信数据）进行了反序列化处理，使反序列化生成了非预期的对象，在对象的生成过程中可能产生攻击行为。

代码审计的小白学习笔记

本文主要以php字符串强制转换引发的问题为例，阐述了建站CMS插件使用不当会导致站点存在高危风险

PSL是一个PHP标准库是一个为PHP程序员提供的一致性、集中化且类型良好的API集合。它受到hhvm/hsl的启发，旨在为PHP开发提供的一套现代化、一致性、集中化、良好类型化、非阻塞的 API 集合工具集

预览

205人阅读

2024-08-16

0x00 前言 入职以来好久没有写过文章了，入职的时间里也和师傅们学到了很多，认识了很多的新朋友。最近因为BlackHat 黑客大会的一个议题，PHP反序列化漏洞利用被挖掘出新的攻击面。这里本着记录学习的目的，有了这篇文章。 0x01 Phar 反序列化 你看到本文，我默认认为你已经对PHP反序列化

预览

预览

176人阅读

2024-07-19

2024年6月6日，奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577)，自该漏洞细节披露后出现多起以该漏洞为攻击向量的攻击事件。

产品

百川 WebShell 检测

长亭科技

2.2k

1

百川 WebShell 检测工具是长亭科技提供的在线 webshell 检测检测工具, 应用与长亭主机安全,容器安全,流量监测等产品. 一键提交检测

预览

靶场资料后台自行领取【靶场】image-20240726092307252Phpstudy小皮面板存在RCE漏

预览

预览

预览

预览

216人阅读

2024-07-26

潜伏了一年多的漏洞终于被大佬爆出来了~

戳我查看修复方案

关于PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）简要说明

Webshell 是一种恶意脚本或程序，攻击者通过将其上传到 web 服务器上，以此来获得对服务器的远程控制。Webshell 通常利用 web 应用程序的漏洞上传，它们可以是 PHP、ASP、JSP、Python 或其他服务器端脚本语言编写的脚本。

产品

代码审计服务

知道创宇

498

0

帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

产品

河马 SHELLPUB

微步在线

452

0

河马 SHELLPUB 是国内知名的免费 WebShell 查杀工具，便捷在线查杀，高效内存马专杀，支持API，查杀速度快、精度高、误报低。

产品

源代码审计平台

爱加密

369

0

爱加密的源代码审计平台是一款专业的安全分析工具，通过先进的安全漏洞检测规则，全面挖掘源代码中的安全漏洞、性能缺陷和编码问题。支持多种开发语言，能够检测约1000种漏洞，帮助开发人员提升代码安全性，减少安全风险。

产品

长亭代码审计服务

长亭科技

1.2k

0

挖掘代码中的不安全因素， 解决系统安全隐患。

产品

Elkeid

字节跳动

1.4k

0

Elkeid 是一款可以满足主机，容器与容器集群，Serverless 等多种工作负载安全需求的开源解决方案，源于字节跳动内部最佳实践。

预览

预览

预览

产品

murphysec

墨菲安全

368

0

墨菲安全专注于软件供应链安全，具备专业的软件成分分析（SCA）、漏洞检测、专业漏洞库。

预览

预览

预览

预览

产品

网页防篡改

启明星辰

1.4k

0

启明星辰的天清Web应用安全网关网页防篡改系统，采用先进的内核驱动保护技术，实时监控网页内容，防止非法篡改，确保网站安全。支持多虚拟目录，简化部署，兼容动态网页脚本，提供全方位安全自动增量发布功能，保护Web应用和网站内容不受侵害。

产品

OpenRASP

百度

299

0

OpenRASP 是百度安全推出的一款 免费、开源 的应用运行时自我保护产品

产品

代码审计服务

华顺信安

354

0

华顺信安的代码审计服务采用工具扫描与人工分析，深入挖掘源代码中的安全漏洞和编码问题。服务覆盖系统框架、源代码设计、错误处理、对象引用、资源滥用和API调用等方面，通过审计准备、实施、复测和成果汇报等流程，确保代码安全性，满足合规要求和企业安全建设需求。

产品

BunkerWeb

2.4k

0

基于 Nginx 的开源 WAF，让 Web 服务自带安全能力

预览

预览

预览

产品

Viper 炫彩蛇

529

0

互联网攻击面管理&红队模拟平台

预览

预览

预览

预览