代码审计入门指南：适合初学者的实战解析（含Fortify使用案例）

alva_2209

已于 2025-03-12 22:08:11 修改

阅读量2.3k

点赞数 31

文章标签：安全架构网络攻击模型安全威胁分析计算机网络 ddos

于 2025-03-12 22:02:50 首次发布

本文链接：https://blog.csdn.net/lmh_2209/article/details/146216183

版权

代码审计入门指南：适合初学者的实战解析（含Fortify使用案例）

前言

代码审计（Code Audit）是Web安全领域的核心技能之一，通过分析源代码发现潜在漏洞，帮助开发者提升系统安全性。对于初学者来说，代码审计看似门槛较高，但只要掌握基本方法和工具，就能快速入门。本文将从基础知识讲起，结合常见漏洞的挖掘方法、案例分析（包括Fortify工具的使用案例）以及实用技巧，带你走进代码审计的世界，特别适合零基础或初学安全的读者。

一、什么是代码审计？

1.1 定义

代码审计是通过阅读和分析源代码，寻找可能导致安全问题的代码片段（如SQL注入、XSS等）的过程。它属于白盒测试，与黑盒测试（直接攻击运行系统）不同，审计者能完全访问代码。

1.2 为什么需要代码审计？

漏洞预防：上线前发现问题，降低修复成本。
深入理解：揭示漏洞本质，而非依赖工具。
适用场景：开源项目、内部系统均需审计。

1.3 初学者常见误区

误区1：认为需要精通编程。
实际上，掌握基础语法（如PHP变量、函数）和漏洞模式即可。
误区2：工具能解决一切。
工具（如Fortify、RIPS）虽强大，但无法覆盖逻辑漏洞，手动审计不可或缺。

思维导图：

二、代码审计的基本流程

2.1 准备工作

环境搭建：安装目标语言环境（如PHP用XAMPP）。
获取代码：下载开源项目（如ThinkPHP）或自写测试代码。
工具支持：使用编辑器（如VS Code）+插件，或专业工具如Fortify Static Code Analyzer。

2.2 审计步骤

通读代码：了解项目结构（如配置文件、入口文件）。
定位输入点：寻找用户输入（如$_GET、$_POST）。
跟踪数据流：分析输入如何传递至危险函数。
检查过滤：确认是否存在安全校验。
验证漏洞：构造测试用例验证问题。

流程图

审计流程：
1. 通读代码 --> 熟悉目录结构
2. 定位输入 --> $_GET/$_POST
3. 跟踪数据 --> 是否进入危险函数（如mysql_query）
4. 检查过滤 --> 有无转义/验证
5. 验证漏洞 --> 构造Payload测试

三、常见漏洞与审计方法

3.1 SQL注入

3.1.1 原理

用户输入直接拼接进SQL语句，未过滤即执行。例如：

$id = $_GET['id'];
$sql = "SELECT * FROM users WHERE id = $id";
mysql_query($sql);

输入id=1 OR 1=1可绕过限制。

3.1.2 审计方法

搜索关键字：mysql_query、mysqli_query、SELECT。
检查输入：确认$id是否被intval()或转义函数处理。

3.2 XSS（跨站脚本）

3.2.1 原理

用户输入未经转义输出到HTML，导致脚本执行。例如：

echo $_GET['name'];

输入<script>alert(1)</script>触发弹窗。

3.2.2 审计方法

搜索关键字：echo、print、printf。
检查过滤：是否有htmlspecialchars()处理。

3.3 文件包含漏洞

3.3.1 原理

动态加载文件路径可控。例如：

include($_GET['file'] . '.php');

输入file=../config可包含敏感文件。

3.3.2 审计方法

搜索关键字：include、require。
检查路径：是否拼接用户输入。

四、案例分析：留言板审计与Fortify应用

4.1 简单留言板代码

假设我们审计一个PHP留言板：

<?php
// index.php
if (isset($_POST['submit'])) {
    $name = $_POST['name'];
    $message = $_POST['message'];
    $sql = "INSERT INTO messages (name, message) VALUES ('$name', '$message')";
    mysql_query($sql);
}

// 显示留言
$result = mysql_query("SELECT * FROM messages");
while ($row = mysql_fetch_array($result)) {
    echo "<p>" . $row['name'] . ": " . $row['message'] . "</p>";
}
?>
<form method="POST">
    姓名: <input type="text" name="name"><br>
    留言: <input type="text" name="message"><br>
    <input type="submit" name="submit" value="提交">
</form>

4.2 手动审计发现

SQL注入
- 位置：$sql = "INSERT INTO messages (name, message) VALUES ('$name', '$message')";
- 问题：$name和$message未过滤。
- 测试：输入name=admin' OR 1=1 -- ，插入恶意数据。
存储型XSS
- 位置：echo "<p>" . $row['name'] . ": " . $row['message'] . "</p>";
- 问题：输出未转义。
- 测试：输入message=<script>alert('XSS')</script>，刷新触发。

4.3 Fortify使用案例

Fortify Static Code Analyzer（SCA）是一款强大的静态分析工具，适合初学者结合手动审计使用。以下是如何用Fortify审计此留言板：

4.3.1 安装与配置

下载Fortify SCA（官网提供试用版），安装在本地。
配置项目：将留言板代码放入目录（如C:\audit\guestbook）。

4.3.2 扫描步骤

翻译代码：运行命令生成中间文件：

sourceanalyzer -b guestbook -php-version 5.6 "C:\audit\guestbook"

扫描分析：生成漏洞报告（.fpr文件）：

sourceanalyzer -b guestbook -scan -f guestbook.fpr

查看结果：用Fortify Audit Workbench打开guestbook.fpr，界面显示漏洞列表。

4.3.3 Fortify报告分析

SQL注入：Fortify标记$sql拼接处为“SQL Injection”，指出$name和$message未经过滤。
XSS：标记echo输出为“Cross-Site Scripting”，建议使用转义函数。
优点：Fortify自动定位问题行号，并提供修复建议（如“使用mysql_real_escape_string”）。

4.3.4 验证与修复

验证：手动测试确认Fortify报告准确。

修复代码：

$name = mysql_real_escape_string($_POST['name']);
$message = mysql_real_escape_string($_POST['message']);
$sql = "INSERT INTO messages (name, message) VALUES ('$name', '$message')";
while ($row = mysql_fetch_array($result)) {
    echo "<p>" . htmlspecialchars($row['name']) . ": " . htmlspecialchars($row['message']) . "</p>";
}