颠末前两次审计，有点入门的觉得。 此次误打误撞选了emlog来审计。源码就不上传，，baidu直接找到官网。

后来才发明，emlog已是颁布N年深得承认的blog，所以就不指望找缝隙了。

通过读emlog的代码，算是初阶领略到专业架构。前真个路由分发算是抵拒了大部分缝隙，很强大，通篇对上传的参数进行整型校验，或者转义，只是在后台找到注入，然后没有啥意义。

同时也领略了里面的cookie验证，登陆暗码验证成果，比一般简单使用md5强太多。

整体给我一种很精简的觉得，很耐看，这种架构很值得学习。

搜了下emlog历史缝隙，有p神颁布的em相册缝隙，对照入门的上传缝隙。

https://www.leavesongs.com/PENETRATION/emlog-important-plugin-getshell.html

PHP-CMS代码审计 (3)