用户93135600274

[TOC] Java反序列化漏洞 序列化和反序列化 序列化 拆分对象：你把Java对象（比如一个文物古宅的描述）分解成一种可以存储和传输的格式。这叫做序列化。序列化会把对象转换成一连串的字节。 打包对

[TOC] 分析方法 拿到一个项目，加入我们要找是否存在$ 拼接导致的sql注入，先搜关键字： 右下角的打开窗口可以显示全部 看不懂的可以问AI，排除掉低风险的日志文件，我们可以锁定到 jshERP-

靶场搭建 靶场地址： j3ers3/Hello-Java-Sec: ☕️ Java Security，安全编码和代码审计 搭建靶场的时候，可以删除db.sql文件第8行的DEFAULT (UUID()

[TOC] Thinkphp框架 PHP框架是许多代码的集合，这些代码是程序结构的代码，代码中有许多函数、类、功能类包。 相关框架 zendframework php语言公司zend发布的官方框架，有

PHP快捷切换版本 下载官网（全版本）：https://windows.php.net/downloads/releases/archives/ 下载对应的 php 版本到 phpstudy_pro\

[TOC] 代码审计工具 Fortify Fortify 是⼀个静态的、⽩盒的软件源代码安全测试⼯具。通过与软件安全漏洞规则集进⾏匹配、查找，从⽽将源代码中存在的安全漏洞扫描出来，并可导出报告。 ⽀持

[TOC] php代码审计实践环境搭建 win系统的皮卡丘靶场搭建 下载与安装 解压并用 phpstudy 搭建网站 访问 http://pikaqiu.com/install.php 进入安装界面

[TOC] 应急响应工具 QDoctor 下载 下载地址：https://github.com/QAX-Anti-Virus/QDoctor/releases/download/latest/QDoc

[TOC] php调试环境搭建 phpstudy （以往笔记有教程） vscode （以往笔记有教程） 中文语言包 Vscode默认是英⽂显示，不习惯的可以安装中⽂语⾔包进⾏汉化处理，安装完成之后，重