PHP代码审计学习过程:
花了两周的时间在B站上看完了一个老师讲的代码审计课程,主要是通过实战的方式对一个CMS系统里面的漏洞进行讲解,一步一步的审计找出漏洞,对新手来说确实困难,要上手的话还是自己找网上一些简单的CMS或是代码审计靶场来练手。代码审计入门确实挺难的,大部分原理都没有学会,后续也要继续加深学习。
进行代码审计必须要关注:
1.敏感的函数和变量
2.跟踪敏感函数和关键字参数传递过程。
3.查找可控变量,一步一步的跟踪变量测传递过程。
4.寻找敏感功能点,对功能点进行审计
PHP代码审计入门学习笔记:
敏感的命令执行函数
其他的敏感函数