本项目是记录自己在学习PHP代码审计过程中遇到的优秀内容,包括PHP代码审计技巧以及优秀的PHP代码审计案例。一个不会PHP代码审计的师傅不是一个好黑客!一个不会PHP代码审计的黑客不是一个好师傅!深入理解PHP代码审计,手握众多重点PHP应用高危0day!作者:0e0w
本项目创建于2021年7月8日,最近的一次更新时间为2021年12月23日。本项目会持续更新,直到海枯石烂。
一、书籍资料
二、基础教程
- https://github.com/hongriSec/PHP-Audit-Labs
- https://github.com/aleenzz/php_bug_wiki
- https://github.com/jiangsir404/Audit-Learning
- https://github.com/jiangsir404/PHP-code-audit
- https://github.com/SecWiki/CMS-Hunter
- https://github.com/yaofeifly/PHP_Code_Challenge
- https://github.com/ambionics/phpggc
- https://github.com/vimeo/psalm
- https://github.com/nikic/php-parser
- https://github.com/bowu678/php_bugs | PHP代码审计分段讲解
- https://github.com/Xyntax/1000php | 1000个PHP代码审计案例
- https://github.com/Jyny/pasc2at | 高级PHP应用程序漏洞审核技术
- https://github.com/SukaraLin/php_code_audit_project
- https://github.com/lightswitch05/php-version-audit
- https://github.com/marcocesarato/PHP-Antimalware-Scanner
- https://github.com/FriendsOfPHP/PHP-CS-Fixer
- https://github.com/kitezzzGrim/PHP-Audit-Learn
- 《PHP代码审计入门指南》@burpheart
- https://github.com/M0untainShley/PHP_CodeAudit
- https://www.freebuf.com/articles/web/252333.html
三、视频教程
四、培训演讲
五、专利文献
六、审计报告
七、其他资源
- https://github.com/xdebug/xdebug
- https://github.com/phpstan/phpstan
- https://github.com/ambionics/phpggc
- https://github.com/ripsscanner/rips
- https://github.com/robocoder/rips-scanner
- https://github.com/ecriminal/phpvuln
- https://github.com/meizjm3i/PHPVulFinder
- https://github.com/digininja/DVWA
- https://github.com/710leo/ZVulDrill
- https://github.com/Acmesec/DoraBox
- https://github.com/c0ny1/upload-labs
- https://github.com/s4n7h0/xvwa
- https://github.com/wgpsec/VulnRange
- https://github.com/zhuifengshaonianhanlu/pikachu
- https://github.com/Audi-1/sqli-labs
- https://github.com/sqlsec/xssgame
- https://github.com/c0ny1/upload-labs
- https://github.com/s4n7h0/xvwa
- https://github.com/710leo/ZVulDrill
- https://github.com/redBu1l/ZVulDrill
- https://github.com/0xs1riu5/vulawdhub
- https://github.com/bmdyy/tudo
- https://github.com/78778443/permeate
- https://github.com/admin360bug/PHP
本部分详细列举常见的PHP安全漏洞内容。
- 程序安装问题
- 业务逻辑漏洞
- SQL注入漏洞
- 变量覆盖漏洞
- 任意文件上传漏洞
- 任意文件写入漏洞
- 任意文件删除漏洞
- 任意文件包含漏洞
- 任意命令执行漏洞
- PHP反序列化漏洞
- XSS跨站脚本攻击
- XML外部实体攻击
- CSRF跨站请求伪造
- SSRF服务端请求伪造
