代码审计入门

已于 2022-01-28 15:04:13 修改
阅读量1.1k 收藏 2
点赞数 1
分类专栏: SRC挖掘 代码审计 文章标签: web安全 安全
于 2022-01-28 14:48:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qi_SJQ_/article/details/122728878
版权

在这里插入图片描述

代码审计

1.审计前提

我们首先要知道审计目标的程序名、版本、当前环境(系统,中间件,脚本语言等信息)、各种插件等等。

2.审计思路

1)关键字:搜索可控变量特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞。
2)定点分析:指定漏洞的常见地方,比如用户中心的上传、留言板等地的xss、登录框的sql injection等。
3)断点调试:对于代码的执行过程分析、追踪,是否执行sql语句(数据库监控)/调用外部应用api/包含外部网页等等。

3.知道常见漏洞产生的根本—函数/关键字:

漏洞函数/关键字
SQL注入:select insert update mysql_query mysqli等
文件上传: $FILES,type=“file”,上传,move_upload_file()等
XSS跨站:print print_r echo sprintf die var_dump var_export等
文件包含: Include include_once require require_once等
代码执行: eval assert preg replace call user func call user func array等
命令执行: system exec shell_exec `` passthru pcntl_exec popen proc_open等
变量覆盖: extract() parse_str() importrequestvariables() $$等
反序列化: serialize() unserialize() _construct _destruct等
通用关键字: $GET $POST $REQUEST $FILES $SEVER

4.判断有无类及框架,比如php的thinkphp、java的spring等,之后学习。

在这里插入图片描述

暮w光
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计入门指南
cdyunaq的博客
05-13 4778
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。现在主流的审计方式一般都是工具扫描加人工审计的方式,因此在着手Java代码之前我们必须具备一定的Java编程能力,漏洞分析能力,以及局部代码调试能力。本篇文章主要包括Java代码审计的学习路线、要学习的Java基础和框架、Java代码审计的checklist,使用比较得心应手的工具以及人工做审计时的一些方法总结。 根据 TIOBE 官方新发布了 8 月的编程语言榜单显示Java语言依旧还是稳居前三(排行榜如下),Java语言距今已有2
bluecms代码审计入门
qq_42307546的博客
06-27 661
php
代码审计的规范参考(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
06-14 1026
具体而言,通过审计发现源代码层面的安全弱点,但不包含软件分析、设计、测试、应用部署等层面的安全弱点。审计人员应检查代码是否将敏感数据存储在没有被锁定或被错误锁定的内存中,(将敏感数据存储于加锁不恰当的内存区域,可能会导致该内存通过虚拟内存管理器被写入到在磁盘上的交换文件中,从而使得数据更容易被外部获取),如果结果为肯定,则提示存在安全风险;审计实施结束后,组织现场审计结束会,将初始审计结果提供给被审计项目成员组,提供被审计项目组澄清误解的机会,并允许项目成员提供其他需要补充的信息(如审计员未考虑到的)。
PHP代码审计16—ThinkPHP代码审计入门
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-23 1643
thinkPHP框架入门与简单审计分析
java代码审计入门--01
划水的小白白
07-13 633
入门知识 总体目标方向 先熟悉一些基本的流程 安装配置对应环境与分析工具 常规漏洞代码审计分析 一些框架漏洞代码审计分析 代码审计流程 配置分析环境 没什么说的,没环境还分析个锤子 熟悉业务流程 功能总体分为多少块,每一块的功能代码是如何实现的 分析程序架构 比如说是MVC,每一层用了哪些第三方的架构,每一层用了哪些第三方的插件 工具自动化分析 先使用工具对代码扫描一遍 人工审计结果(分两种) 验证工具扫描结果,排除误报 时间充裕的情况下,从前端jsp页面
PHP代码审计入门
weixin_45871855的博客
09-19 354
一:代码审计的定义 通过阅读一些程序的源码去发现潜在的漏洞,比如代码不规范,算法性能不够,代码重用性不强以及其他的缺陷等等 从安全人员的角度来看是:查找代码中是否存在安全问题,推断用户在操作这个代码对应功能的时候,能否跳出开发人员设想的场景和逻辑,去给网站数据或者服务器造成危害。 其次代码审计可以发现一些扫描器难以发现的细节,比如某一个特定的功能场景,只有当你传入特定的参数值的时候,才会触发这个漏...
PHP代码审计入门笔记合集(共20篇)
热门推荐
11-20 4万+
早安,我的朋友们。今天是11月20号,离2021年只41天了,今年你的小目标完成了吗?跟大家分享件事情,其实这几个月来,我一直在准备一场考试,值得高兴的是,就在前两天终于顺利通过CISS...
java代码审计_Java代码审计入门
weixin_39923945的博客
02-12 756
本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 Java环境说明1. 安装Java环境安装完成后默认的安装目录:环境变量的配置,环境变量配置主要是告诉我们自己的电脑Java安装完后几个...
PHP代码审计入门-万能密码入门分析
身高两米不到的博客
10-23 1039
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有简单的html基础和php基础,跟随流沙前辈视频学习记录。常用手段是对于用户输入的字符串进行严格过滤,这里代码仅使用了addslashes()用于过滤,其实该函数也是存在绕过风险的,但我们的目的是学习,馒头得一口一口吃。-- 这时注释(要空格)个人已搭建好环境进行测试,这里仅演示代码,这里使用了phpstorm工具,具体下载及破解自行解决。本章开始,进入代码审计的世界。
代码审计入门之java-sec-code
MSB_WLAQ的博客
10-13 2500
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由java开发,使用的框架为springboot,下载到本地后直接使用IDEA导入项目。 选择maven工程选项。 导入项目..
PHP代码审计入门笔记.rar
04-03
这份“PHP代码审计入门笔记”正是为了帮助初学者进入这个领域而准备的。 PHP代码审计涉及对已编写或第三方提供的PHP代码进行深入检查,以识别潜在的安全漏洞、性能瓶颈、错误和不良编程习惯。以下是此笔记可能涵盖...
PHP代码审计入门笔记.zip
07-14
"PHP代码审计入门笔记"这本书或文档将提供更详细的操作步骤、实例分析和技巧,帮助你逐步掌握这个技能。通过学习和实践,你将能够对PHP代码进行有效的审计,提升代码质量,保障系统的安全稳定运行。
Java代码审计入门篇).pdf
10-21
本书《Java代码审计入门篇)》是一本系统、全面、实战的Java代码审计入门图书,旨在帮助Java开发人员快速掌握Java代码安全审计技巧。全书从浅入深地介绍了Java代码审计的流程、Java Web漏洞产生的原理,以及实战...
PHP代码审计入门指南1
08-04
【PHP代码审计入门指南1】是一本针对初学者的PHP代码审计教程,旨在帮助读者理解和掌握PHP代码审计的基础知识和技巧。本指南不仅涵盖了代码审计的要点,还讲解了漏洞产生的原理和防御方法,旨在提升读者对Web安全的...
PHP代码审计入门实战视频教程.rar
09-07
在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用。第三章着重实战演示...
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 757
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础完整教学上(超详细)
最新发布
weixin_60838266的博客
07-28 680
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1267
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
java代码审计 入门
08-24
对于Java代码审计入门篇的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见的安全编码规范,例如OWASP Top 10、CWE/SANS Top 25等。了解常见的安全漏洞类型,如跨站脚本攻击(XSS)、SQL注入、文件包含漏洞等。 3. 掌握代码审计工具:学习使用一些常见的代码审计工具,如FindBugs、PMD、Checkstyle等。这些工具可以帮助检测潜在的代码问题和安全漏洞。 4. 分析代码逻辑:深入理解代码的业务逻辑和实现细节。通过阅读源代码、调试程序等方式,了解代码的执行流程、数据处理过程,找出潜在的安全风险。 5. 学习常见漏洞的检测方法:掌握常见漏洞的检测方法,如SQL注入的检测、XSS攻击的检测等。了解常见漏洞的原理和利用方式,通过测试用例和代码分析来发现漏洞。 6. 学习安全修复和防御措施:了解常见的安全修复和防御措施,如输入验证、输出编码、参数化查询等。学习如何修复漏洞和提高代码的安全性。 以上是Java代码审计入门篇的一些重点,希望对你有帮助!如果有更具体的问题,欢迎继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值