HITCON 101 - 從架構面探討網頁漏洞形成 / Linwz === Speaker：Linwz - Facebook vs 小網站 誰比較安全 ### 網頁開發 #### WHY PHP 易學習 錯誤資源和寫法很多 ##### 特性問題 - 錯誤使用函式 - == vs === PHP註冊名稱空白變底線 - 大小寫通吃 - 字串直接當 function用 ##### 強型別 vs 弱型別 - PHP hash magic #### Shellcode Excecuter - CVE2018-9022 #### 系統特性問題 - Windows NTFS lin.php::$Data - Windows API - Windows .... ### 配置問題 - php.ini open_basedir ### 編碼問題 - Web Server - Module - HTTP SERVER #### 編碼不等於加密 Cookie 用來驗證登入使用者 #### PHP - strlen #### Shell #### 資料庫編碼與連結編碼差異 - 寬字節注入 - 規則檢查 ###### tags: `HITCONCMT2019`,`HITCONCMT`,`HITCON`