生命在于学习——代码审计基础

已于 2022-09-19 14:05:06 修改
阅读量772 收藏 2
点赞数
分类专栏: 生命在于学习 # 代码审计学习 文章标签: 学习 安全 网络
于 2022-09-19 14:04:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15131581/article/details/126932061
版权

在这里插入图片描述
图片来源于安全客。
注意:本篇文章仅用于自我学习与交流,不会过多或不涉及具体操作,不得用于其他用途。

一、代码审计简介

顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。——来自百度百科
代码审计就是从安全角度对代码进行的安全测试评估,结合丰富的安全知识、编程经验、测试技术、利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件产品前将业务软件的安全风险降到最低。
实际上感觉就是真正的给你一个网站源码,从网站去找漏洞,而不是按照漏洞去找网站。

二、代码审计测试方法

代码审计采用人工审计和静态分析工具辅助的方式进行。
人工审计:既能解决内部问题也能解决外部问题,这也是目前最有效率的解决方案,并且在理论上手工代码审计是非常有效的,但人工审计的效率不高,所以我们会采用自动化分析工具辅助人工的方式来提高审计的效率。
静态分析工具(也可以叫代码审计工具):通过一组全面规则,测试机制(里面是已经编写好的程序)和方针在软件开发过程、测试中发现软件的安全缺陷。
人工审计和工具最好是结合使用。

三、代码审计的通用思路

1、逆向追踪

逆向追踪,或叫回溯变量,一般是检查敏感函数的参数,然后回溯变量,判断变量是否可控并且没有经过严格的过滤,这是一个逆向追踪的过程。
优点:只需要搜索相应敏感关键字,即可以快速的挖掘想要的漏洞,具有可定向挖掘和高效优点。
缺点:由于没有通读代码,对程序的整体框架了解不够深入,在挖掘漏洞时定位利用点会花费一点时间,另外对逻辑漏洞挖掘覆盖不到。

2、正向追踪

正向追踪,或叫跟踪变量
先找出那些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程中是否有代码逻辑漏洞,这是一种正向追踪的方式。
优点:挖掘方式比逆向挖掘更全。
缺点:可能没有逆向追踪快

3、直接挖掘功能点

根据自身的经验判断该类应用通常在哪些功能中会出现漏洞,直接阅读该部分功能代码。
优点:比较快速,准确
缺点:需要一定的经验,且可能会因为经验遗漏一点漏洞

4、通读全文

一般MVC设计的网站 , 或者一些框架 适合这种审计方法 , 可能还需要结合一下断点调试技术
index 文件, index是一个程序的入口文件, 所以通常我们只要读一读index文件就可以大致了解整个程序的架构, 运行的流程, 包含的文件, 建议最好先将几个核心目录的index文件都简单读一遍
函数集文件, 一般在index文件中都会包含函数集文件, 通常命名为functions, common等关键字, 这些文件里面都是一些公共的函数, 提供给其他文件统一调用。
配置文件, 通常命名中包括 config 关键字,里面包含一些功能性配置选项以及数据库配置信息, 还可以注意下参数值是用单引号还是双引号, 如果是双引号, 则很可能会存在代码执行漏洞; 还需要关注以下数据库编码。
安全过滤文件, 文件过滤文件对我们做代码审计至关重要, 关系到我们挖掘到的可疑点能不能利用, 通常命名中有 filter, safe, check 等关键字, 这类文件主要是对参数进行过滤。
优点:可以更好的了解程序的架构以及业务逻辑,能够挖掘到更多,更高质量的逻辑漏洞。
缺点:花费的时间比较多,如果程序比较大,读起来会比较累。
个人更喜欢通读一下,但前提是对基础代码运行和架构框架有一定的的基础。

四、漏洞产生的原因

1、配置不当,很多中间件框架都会有自己的配置文件,当配置文件中的某些设置配置不当时,很容易产生漏洞。
2、变量控制不严格 ,对前端传入的数据没有严格的过滤和限制。
3、变量到达有利用价值的函数,用户可以接触到这些变量并会被带入执行。

五、漏洞关键字

这就很多了。
SQL:简单的增删改查关键词。
文件上传漏洞:$_FILES 、move_uploaded_file
命令执行漏洞关键字: shell_exec、exec、passthru , system 、popen
包含漏洞关键字: include、include_once、require、require_once
xss漏洞关键字: echo、print、print_r、var_dump、var_export
ssrf漏洞关键字: curl_exec 、file_get_contents、fsockopen
代码执行:主要由 eval()、assert()、preg_replace()、call_user_func()、call_user_func_array()、array_map()等函数的参数过滤不严格导致
命令执行:shell_exec、exec、passthru , system 、popen

「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
代码审计系列篇一之代码审计学习思路
xiaoi123的博客
12-07 1009
学习代码审计要熟悉三种技术,分四部分走 一:编程语言   1:前端语言 html/javascript/dom元素使用 主要是为了挖掘xss漏洞 jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等 2:后端语言 基础语法要知道例如 变量类型,常量,数组(python 是列表,元组,字典),对象,类的调用,引用等, MVC设计模式要清楚,因为大部分目标程序都是基于MV...
Django 两张表的正向查找和反向查找
ayang818 's blog
03-22 2223
Django的多表查询 假设有模型 class Category(models.Model): id = models.CharField(primary_key = True,max_length = 255) type_name = models.CharField(max_length = 255) def __str__(self): return ...
《海盗派测试分析》笔记-02 测试覆盖大纲 TCO
Demilxj的博客
04-14 1619
第二章 02 测试覆盖大纲TCO–Test Coverage Outline 小结: TCO可以帮助达成3个目的:信息提炼、信息重组、心中有数。 内容重组包含两层意思:对信息源中提取的信息进行重新组织,以及对于信息源中没有的信息的添加。 TCO可以帮助我们快速地提取那些关键的信息,从而加快学习了解被测对象的时间。 TCO是开展预防性测试很好的一个手段。 Curation and Subtraction Heuristic(过滤与剔除启发式方法)包含两层意思:提取有价值的信息以及信息的结构化整理。 信息提取
01-软件需求规格说明书
热门推荐
不知方向的行走
04-18 1万+
1  范  围 1.1  标  识 本条应描述本文档所适用系统和软件的完整标识,适用时,包括其标识号、名称、缩略语、版本号和发布号。 1.2  系统概述 简述文档所适用的系统和软件的用途。应描述系统和软件的一般特性;概述系统开发、运行和维护的历史(若有);标识项目的需方、用户、开发方和保障机构;标识当前的和计划的运行现场;列出其它相关文档。 1.3  文档概述 概括本文档的用途(包括其
爆肝整理,最全单元测试-测试用例总结(全覆盖)及拿即用...
05-28 1783
单元测试用例单元测试是测试的等级,其中个别单元/组件(称为单元)的最小部分被测试以确定它们是否适合使用。单元测试用例的编写和执行是由开发人员(一般情况,当然也有二般情况)完成的,以确保各个单元都能按预期工作。各个组件的最小部分,测试对象如函数,过程,类,接口等。如果以函数为例,则在将输入参数传递给函数时,请检查函数是否应返回期望值。该测试的主要目的是检查单元是否按照设计工作,并更合理地处理错误和异常,并对各种正向、反向的情况进行兼容。单元测试被认为是白盒测试的一种。
自动化代码审计de一些思路与局限——基于静态分析的PHP代码审计技术探.pdf
08-08
展望未来,自动化代码审计将更加智能化,通过机器学习和深度学习等技术,实现更精准的代码行为预测和异常检测。同时,静态分析工具的易用性和可扩展性也将得到提升,使其更适应多样化的开发环境和编程语言。 总的来...
数据全生命周期威胁与脆弱性分析归纳.docx
12-17
数据全生命周期威胁与脆弱性分析归纳是对数据从创建、存储、处理、传输到废弃等各个阶段可能遇到的安全问题进行深入探讨的过程。数据全生命周期管理(Data Lifecycle Management,旨在确保数据在整个使用过程中的安全...
第二题点评及解题思路——变形金刚1
08-03
首先,关于Android应用基础,题目涉及到Activity生命周期的理解。在Android应用中,Activity的生命周期包括onCreate、onStart、onResume等关键方法。本题中,开发者重写了父类的onStart方法,并在其中覆盖了onCreate...
springboot通过面向接口编程对控制反转IOC的理解.docx
06-27
这样,底层框架保持了通用性和简洁性,而复杂性和特定逻辑被转移到了上层业务代码中,符合开闭原则——对扩展开放,对修改关闭。 在审计功能的示例中,`UserIdAuditorAware`接口继承自`AuditorAware<String>`,...
ASP.NET实例开发源码——We7CMS网站管理系统v3.032位安装包.zip
11-24
ASP.NET的优势在于其强大的服务器控件、自动处理页面生命周期的能力以及内置的安全特性。在这个实例中,We7CMS利用了ASP.NET的这些优点,为用户提供了稳定的后台管理和前端展示功能。 We7CMS网站管理系统的核心功能...
需求跟踪表实例
12-17
需求跟踪表实例,项目经理可以拿下来研究一下,很好的参考性资料。
需求跟踪矩阵表.rar 实例
03-11
软件测试需求是开发测试用例的依据,测试需求分解的越详细精准,表明对所测软件的了解越深,对所要进行的任务内容就越清晰,对测试用例的设计质量的帮助越大。详细的测试需求还是衡量测试覆盖率的重要指标,测试需求是计算测试覆盖的分母,没有详细的测试需求就无法有效的进行测试覆盖计算。 软件测试执行阶段是由一系列不同的测试类型的执行过程组成的,每种测试类型都有其具体的测试目标和支持技术,每种测试类型都只侧重于对测试目标的一个或多个特征或属性进行测试,准确的测试类型可以给软件测试带事半功倍的效果。 现有的软件测试分析技术不太成熟,对测试需求和测试类型的分析,所采用的方法主要是根据经验进行收集、整理,该方法依赖于测试设计人员的测试经验,由此方法得出的测试需求、测试类型往往导致测试用例设计不充分,测试覆盖度低,测试目的性不强,容易遗漏等缺陷。 可见,如何对测试需求进行细致的整理分析,明确测试执行时的测试类型,是一个亟待解决的问题。 有鉴于此,本方法的主要目的在于提供一种软件测试需求的分析方法,可以方便、详尽的获取测试需求,明确测试执行时需要实施的测试类型。 为实现上述目的,本方法提供了一种软件测试需求分析的方法,包括以下步骤: a)列出软件开发需求中具有可测试性的开发需求; b)对步骤a)列出的每一条开发需求,形成可测试的分层描述的测试需求; c)对步骤b)形成的每一条测试需求,从GB/T 16260.1-2006《软件工程 产品质量 第1部分:质量模型》中定义的软件内部/外部质量模型来确定软件产品的质量需求; d)对步骤c)所确定的质量需求,分析测试执行时需要实施的测试类型; e)建立测试需求跟踪矩阵,对测试需求进行管理。
软件测试基础—功能测试—软测入门教程day3
huang_zp123的博客
04-03 333
本章内容,主要是学会以下几点: 1.能够说出软件缺陷判定标准 2.能够说出项目中缺陷的管理流程 3.能够使用Excel对于缺陷进行管理 4.能够使用工具管理缺陷 5.会写缺陷标题 掌握的知识,主要是软件测试中,缺陷管理相关的内容。知道缺陷的生命周期是怎么样的,如果发现了缺陷,应该如何去使用禅道工具编写缺陷提交时的相关信息。
【系统架构】第五章-软件工程基础知识(需求工程和系统分析与设计)
最新发布
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
06-25 1459
软考-系统架构设计师知识点提炼-系统架构设计师教程(第2版)(需求工程和系统分析与设计)
JAVA审计学习笔记
ai_64的博客
04-24 743
前言: 代码审计涉及知识面较广,一方面要提高自身代码掌控的能力, 另一方面要多总结一些常用的高效审计技巧。 自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。 工具准备: IDEA、 Eclipse、 Sublime Text、 Fortify SCA(基于源代码)、 Findbugs(基于字节码) 工作环境: 1.甲方公司审计专岗, 一般项目数量都比较多,有自己定制的SDL规范扫描...
项目范围管理
!!!!!
07-01 491
项目范围管理
python项目篇-表查询方式ORM正向和反向
Twiss的博客
03-13 513
1、表结构 from django.db import models # Create your models here. class Publisher(models.Model): id = models.AutoField(primary_key=True) name = models.CharField(max_length=32) class Book(models...
最大流(dinic,正向表)模版
weixin_30681121的博客
09-23 75
喜欢dinic算法,清晰,简洁,高效,优雅。 uva820. #include <iostream> #include <cstdio> #include <string> #include <vector> #include <cstring> #include <utility> #include &l...
代码审计思路&案例
guanjian_ci的博客
02-23 2483
前言 代码审计(Code Audit)顾名思义就是通过阅读源代码,从中找出程序源代码中存在的 缺陷或安全隐患,提前发现并解决风险,这在甲方的SDL建设中是很重要的一环。而在渗透测试中,可以通过代码审计挖掘程序漏洞,快速利用漏洞进行攻击达成目标。 审计思路 常见的审计思路有: 1.寻找敏感功能点,通读功能点代码; 优点: 精准定向挖掘,利用程度高; 缺点:命名不规范的代码容易被忽略,导致失去先机。 2.根据敏感关键字回溯参数传递过程; 优点:通过搜索敏感关键字可快速定位...
Forfity代码审计:漏洞原理与修复策略
"本文主要介绍了代码审计工具Fortify在扫描代码时常见的两类安全漏洞——系统信息泄漏(System Information Leak)和不安全的随机数(Insecure Randomness),并详细阐述了这两类漏洞的原理、危害以及相应的修复建议。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

「已注销」

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值