操作系统:windows7 x64
前提:因为我们做审计的时候,很少去手工,用到工具是必须的。
本章内容:代码审计的工具:Seay源代码审计系统(使用步骤)、Fortify SCA
1.代码编辑器
Notepad、UltraEdit、Zend Studio(php官方开发的)
2.代码审计工具
做代码审计,类似于做白盒测试,看得到源码;黑盒测试就是看不到源码。
如果把源码给你,你一条一条的去看,然后再去找漏洞,是不现实的。
所以现在有很多代码审计工具。
第一个审计工具 :Seay源代码审计系统
针对php代码安全性审计的系统,主要运行于window系统上。
这个软件能够发现这个源码里面有没有存在sql注入、有没有存在代码执行、有没有存在命令执行等漏洞。
它能够一键自动化白盒审计。
审计工具使用步骤:
双击安装代码审计系统,安装成功,自动跳出如下界面;
等待甲方把他的源码给你,给了之后呢。
这里例如有DVWA的源码;
新建项目
然后找到DVWA,确定之后,