参考文章https://xz.aliyun.com/t/11553#toc-5 CMS结构├── admin 后台管理目录 ├── install 网站的安装目录 ├── api 接口文件目录 ├── data 系统处理数据相关目录 ├── include 用来包含的全局文件 └── template 模板 函数集文件，它的定义如下 这类文件通常命名中包含functions或者comm...

代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。就是找它这些代码中可能存在问题的地方，然后看它是否真的存在漏洞。 代码审计大致分为三种，白盒、黑盒和灰盒。 白盒：这种测试可以看到源代码，直接从代码中来看哪里可能出现问题，然后进行检测，此时是知道内部结构的，测试相对黑盒测试会比较容易一点 黑盒：只知道网页的大致结构，然后对各个功能开始检测，按自己的思路进行测试，比如看...

系统说明macOS M1，2020，Arm64架构，venture版本 环境搭建代码审计分为静态分析和动态分析。 静态分析：不运行PHP代码的情况下，对PHP源码进行查看分析，从中找出可能存在的缺陷和漏洞。 动态分析：将PHP代码运行起来，通过观察代码运行的状态，如变量内容、函数执行结果等，达到明确代码流程，分析函数逻辑等目的，并从中挖掘出漏洞。 下面的软件部署均为动态分析。 mamp pr...