《代码审计》,了解一下

最新推荐文章于 2024-05-15 14:15:00 发布
最新推荐文章于 2024-05-15 14:15:00 发布
阅读量2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_sparrow/article/details/81047535
版权

代码审计:企业级web代码安全架构

#代码审计
 对源代码进行检查,寻找代码中的bug,代码审计是企业安全运营以及安全从业者必备的基础能力

黑盒测试:功能测试,不接触代码的情况下测试系统的功能是否有bug,是否满足设计需求

白盒测试:

就是代码审计,以开放的形式从代码层面寻找bug

代码审计系统

seay源代码审计系统
RIPS基于php开封的针对php代码安全审计的软件

代码审计思路

检查敏感函数的参数,回溯变量,判断变量是否可控并且没有经过严格 的过滤,这是一个逆向追踪的过程

跟踪外部传入的参数,观察是否有变量传入到高危函数里面,或者传递 过程中有代码逻辑漏洞,这是一个正向追踪的方式

直接挖掘功能点漏洞,根据经验判断通常在哪些功能中会出现漏洞,直 接全篇阅读该功能代码

具备基础

编程语言的特性和基础(php)
web前端编程基础
漏洞形成原理
代码审计思路
不同系统、中间件之间的特性差异

环境搭建
phpstudy
php核心配置

Fortufy SCA 惠普白盒审计软件

分析引擎
数据流:可以检测涉及将被感染数据(用户输入)用于危险用途的潜在漏洞
控制流:检测潜在的危险操作的执行顺序
语义:在程序内部层面检测可能会引发潜在危险的函数和API的各种使用情况
结构:结构分析用于检测可能存在危险的机构缺陷或程序定义
配置:分析在应用程序的配置文件中搜索错误、缺陷、和违反规则的策略漏洞

Burp SUite基于java 语言开发的安全测试工具

主要模块
proxy代理:代理抓包功能,可以截获并修改从客户端到web服务器的请求数据
spider:分析网站目录结构
scanner:发现web程序漏洞,扫描sql注入、xss跨站、文件包含、http头注入、源码泄漏等多种漏洞
Intruder入侵:进行暴力破解和模糊测试
repeater中继器:用于数据修改测试
sequencer会话:统计、分析会话中随机字符串的出现概率,从而分析session、token等存在的安全风险
decoder:编码和解码
comparer比较文件的差异性

通用代码审计思路

根据敏感关键字回溯参数传递过程
查找可控变量,正向追踪变量传递过程
寻找敏感功能点,通读功能点代码
直接通读全文代码
    函数集文件
    配置文件
    安全过滤文件
    index文件

根据功能点定向审计
    文件上传功能
    文件管理功能
    登陆认证功能

常见漏洞
#sql注入漏洞
1、注入直接写入webshell,或者执行系统命令
2、注入获取管理员的密码信息
挖掘
一般经常出现在登录、获取http请求头、订单处理、业务相对复杂的地方
普通注入union查询数据库
编码注入、宽字节注入
二次urldecode注入

防范
通常数据污染的两种方式,一种是应用被动接受参数,一种是主动获取参数

xss漏洞跨站脚本攻击cross site scriptings
一种是通过外部输入然后直接在浏览器端触发,反射型xss
一种是先利用代码保存在数据库或文件中,存储型xss

只要是利用没有被过滤的参数,且这些参数传入到输出函数
经常出现在文章发表、评论回复、留言、资料设置等地方的存储型xss

一般的xss漏洞都是因为没有过滤特殊字符,
导致可以通过注入单双引号记忆尖括号等字符利用漏洞

csrf(cross-site request) forgery 跨站请求伪造

劫持其他用户进行一些请求

CSRF主要是用于越权操作,所有的漏洞自然在有权限控制的地方,管理后台、会员中心,论坛帖子以及交易管理

打开非静态操作的页面,抓包看有没有token,没有token的话,直接请求整个页面,不带referer,如果返回的数据还是一样的,就有可能有csrf漏洞

文件操作漏洞

文件包含漏洞大多出现在模块加载,以及cache调用的地方,比如传入的模块名参数

远程文件包含
可以包含远程文件的包含漏洞,远程文件包含需要设置allow_url_include = On

文件包含截断
大多数的文件包含漏洞都是需要截断的

先看功能点对应的文件,再去读文件,或者搜索文件读取的函数

防范:
采用白名单的方式过滤文件扩展名
保存上传的文件时,重命名文件md5timerand 方式

代码执行漏洞

应用程序本身过滤不严,用户可以通过请求将代码注入到应用中执行。

eval()和assert()函数导致的代码执行漏洞大多是因为载入缓存或者模版以及对变量的处理不严格导致

变量覆盖漏洞

可以自定义的参数值替换程序猿有的变量值,变量覆盖漏洞通常需要结合程序的其他功能来实现完整攻击

逻辑处理漏洞

程序的逻辑失误导致的

会话认证漏洞

一般的认证安全问题都会在服务端直接取用cookie的数据而没有校验,其次是cookie加密数据存在可预测的情况

通常没有使用session来认证,而是直接将用户信息保存在cookie中,程序使用的时候直接调用

二次漏洞审计

需要先构造号利用代码写入网站保存
在第二次或多次请求后调用攻击代码触发或者修改配置触发的漏洞

go_sparrow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码安全审计
AI
07-08 351
什么是代码安全审计代码安全审计是指有开发和安全经验的人员,通过阅读开发文档和源代码,以自动化分析工具或者人工分析为手段,对应用程序进行深入分析,高效全面的发现系统代码的编码缺陷以及开发人员不安全的编程习惯,并指导开发人员进行修复,保障应用系统的安全运行。ULULO代码审计重要场景。
网安工具系列:Seay源代码审计(静态代码审计工具)
最新发布
weixin_54626591的博客
05-24 703
Seay源代码审计(静态代码审计工具)
代码审计学习路线
qq_44005305的博客
07-27 225
1.前端语言html/javascript/dom元素使用,主要是为了挖掘xss漏洞,jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等2.后端语言基础语法要知道,例如 变量类型,常量,数组(python 是列表,元组,字典),对象,类的调用,引用等, MVC设计模式要清楚,因为大部分目标程序都是基于MVC写的,包括不限于php,python,java。
代码审计
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
10-04 6015
定向功能分析法 1.程序初始安装 2.站点信息泄露 3.文件上传 4.文件管理 5.登录认证 6.数据库备份恢复 注册一个用户,用户名是个一句话木马,然后将数据库导出备份,用户名 7.找回密码 8.验证码 找到加密的密码,偏移量,生成同样的token。或者找到cookie的生成规律,然后cookie登录 ...
3. 编程规范和编程安全指南--java
踟蹰横渡口,彳亍上滩舟。
03-27 7256
目录 1 安卓类 I. 代码实现 1.1 异常捕获处理 1.2 数据泄露 1.3 webview 组件安全 1.4 传输安全 II. 配置&环境 2.1 AndroidManifest.xml 配置 2 后台类 I. 代码实现 1.1 数据持久化 1.2 文件操作 1.3 文件操作 1.4 XML读写 1.5 响应输出 1.6 OS命令执行 1.7 会话管理 1.8 加解密 1.9 查询业务 1.10 操作业务 安卓类 I. 代码实现 1.1 异常捕获...
代码审计思路详解
Ciyaso的博客
04-30 6968
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
Seay源代码审计系统
08-23
Seay源代码审计系统是一款专为开发者和安全专家设计的工具,用于检查和评估软件源代码的安全性。这款系统能够帮助用户发现潜在的漏洞和不安全的编程实践,从而提高软件的安全性和可靠性。源代码审计是软件开发生命...
seay代码审计工具
10-06
**Seay代码审计工具** Seay代码审计工具是一款专门针对源代码进行安全审计的应用程序,旨在帮助开发者和安全专家在项目开发过程中发现潜在的安全漏洞和编程错误。它以自动化的方式扫描代码,提高了代码审查的效率,...
代码审计资料整理——新手学习
10-13
代码审计是确保软件安全的重要环节,尤其是在Web应用开发中,对于新手来说,了解并掌握代码审计的基本技巧至关重要。本文将围绕提供的文件名,探讨代码审计的相关知识点,主要聚焦于PHP和Web安全领域。 首先,"实例...
代码审计思路
01-27
代码审计是确保软件安全的重要环节,它涉及到对源代码的深度审查,以识别潜在的安全漏洞和不稳定因素。本文主要探讨了两种主要的代码审计方法,并结合具体的案例来说明如何进行有效的代码审计。 首先,审计方法之一...
认识代码审计,流程、方式、范围等一篇了解
m0_60571990的博客
02-22 3398
认识代码审计,流程、方式、范围等一篇了解
初识代码审计
爱国小白帽
04-15 2476
代码审计(Code Audit)是指安全代码评估者尽可能的通过阅读应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。 代码审计的技术手段,可以弥补黑盒渗透测试的未能完全覆盖的漏洞环节与安全隐患,是一种可靠性、安全性最高的修补漏洞的方法。 可以通过对常见的编程语言如ASP、ASP.NET、PHP、JAVA、C++等语言进行源代码审计,查找出代码中存在的安全问题。 PHP代码审计准备 代码审...
白盒测试之源代码审计
歪曌的博客
08-18 2840
白盒测试 白盒测试又称为结构测试,它需要了解程序内部的设计结构及具体的代码实现过程,并设计相应的测试用例对程序进行调试,程序是否有bug。与侧重于功能的黑盒测试相反,白盒测试方法的目标是对软件的内部结构、及其背后的逻辑进行分析。 源代码审计代码审计是指检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。 源代码审计常常作为一种白盒测试应用于网络安
网络安全之代码审计(小白速进)
qq_53218512的博客
10-31 3390
网络安全的小白学习代码审计的参考样例
[ 代码审计篇 ] Java web 代码审计 详解(一)
qq_51577576的博客
12-24 4018
Java web 的代码审计 第一篇 Java web 的代码审计 思路
代码审计】那些代码审计的思路
Z4400840的博客
05-15 1041
代码审计工具的实现都是基于代码审计经验开发出来用于优化工作效率的工具,我们要学好代码审计就必须要熟悉代码审计的思路。而且代码审计是基于PHP语言基础上学习的,学习代码审计最基本的要求就是能读懂代码。常见的代码审计思路有以下四种:根据敏感关键字回溯参数传递过程;查找可控变量,正向追踪变量传递过程;寻找敏感功能点,通读功能点代码;直接通读全文代码。敏感函数回溯参数过程 根据敏感函数来逆向追踪参数的传递过程,是目前使用的最多的一种方式,因为大多数漏洞是由于函数的使用不当造成的。
web渗透测试之代码审计
赤赤三的博客
03-21 2938
基本信息: 原理: 代码安全测试是从安全的角度对代码进行测试评估 结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件前将业务安全降到最低 方式: 人工+工具双重审核 人工审核: 既能解决内部问题也能解决外部问题,最有效率的解决方案,理论上人工审核最有效,但是效率不高,所以会采用自动化分析工具辅助人工的方式来提供效率 静态分析工具: 通过一组全面规则、测试机制和方针在软件开发过程、测试过

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值