静态代码审计的发展

最新推荐文章于 2024-08-29 15:59:44 发布
最新推荐文章于 2024-08-29 15:59:44 发布
阅读量560 收藏
点赞数
分类专栏: PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/118964926
版权

文章目录

编译基础知识

0x01 编译系统的结构

  编译系统的结构:以人工英汉翻译举例,理解翻译过程。

	In the room, he broke a windows with hammer

  第1步:判断单词的词类/词性(词法分析)–> 根据词类识别句子短语,获取句子结构(语法分析)–> 根据句子结构分析短语充当成分,获取名词短语与核心谓语动词的关系(语义分析)。
  第2步,给出中间表示形式。基于AST的语法树就是代码的一种中间表现形式,通过统一中间表示形式,可以使代码自动化审计具有统一的数据源,可以使代码回归从而更好地检测Webshell。

第1步--分析源语言的语义
第2步生成目标语言
源语言句子
句子的语义
目标语言句子

  通过举例理解,我们再看编译器工作流程的前端front end分析部分:

1.词法分析器
2.语法分析器
3.语义分析器
4.中间代码生成器
字符流
词法单元流
语法树
语法树
中间表示形式
0x02 词法分析

  简单来说,就是对代码中的单词做标记分好类。

静态代码审计的发展-seebug1篇文章

0x01 关键字匹配

  高覆盖性-宁错杀不放过:正则匹配模式\beval\(\$,这类工具最经典的就是Seay,通过简单的关键字来匹配经可能多的目标。
  高可用性-宁放过不错杀:正则匹配模式\beval\b\(\$_(GET|POST),这类工具最经典的是Rips免费版,用更多的正则来约束,用更多的规则来覆盖多种情况。
  缺点:误报率或漏报率居高不下,依赖人工审计,工作量大。
  原因:审计工具的聚焦对象是应用层的代码,而应用层的代码随着开发人员的不同而不同,难以统一格式。代码对象的不统一,使问题的复杂性成为一种必然。

0x02 AST代码分析

  AST(Abstract Syntax Tree,抽象语法树)是编译原理中的概念,基于AST的静态代码分析工具,其可圈可点之处在于实现了代码对象的统一
  开发人员是不同的,但编译器是相同的。通过把代码转换成AST抽象语法树,我们实现了代码格式的统一,即代码分析工具数据源的统一。
  常见的语义分析项目:

	https://github.com/nikic/PHP-Parser
	https://github.com/viraptor/phply

  复习一波编译原理

ExploitCat-又称

  《PHP自动化白盒审计技术与实现》
https://exploitcat.blog.csdn.net/article/details/46271551

《浅谈PHP自动化代码审计技术》
https://blog.csdn.net/u011721501/article/details/44982111

《使用PHP-Parser生成AST抽象语法树》
https://exploitcat.blog.csdn.net/article/details/43031537

《PHP AST学习》-2018/07,从Webshell检测方面出发。
https://blog.csdn.net/angaoux03775/article/details/101710866?utm_medium=distribute.pc_relevant.none-task-blog-2defaultBlogCommendFromBaidudefault-8.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2defaultBlogCommendFromBaidudefault-8.control

《新抽象语法树(AST)给 PHP7 带来的变化》,讲到了php的编译过程。https://blog.csdn.net/weixin_43814458/article/details/106122078?utm_medium=distribute.pc_relevant.none-task-blog-2defaultBlogCommendFromBaidudefault-5.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2defaultBlogCommendFromBaidudefault-5.control

《深入理解PHP原理之opcodes》,写的很详细很好,https://www.cnblogs.com/feixiablog/articles/8297163.html

不懂的地方还有很多,比如compose、PHP新特性……不要总是想着从基础去学,诚实地讲那是一种对困难的逃避方式,那样很蠢。

PHP-Parse

  看到的文章更多是关于把PHP代码解析成AST。

  比如《PHP-Parse 简介以及在 Hyperf 中的应用》,
PHP-Parse 的主要作用是修改原有代码(比如插入自定义的代码片段),生成新的代理类 。框架内生成代理类,处理注入有用到,比如 Hyperf 的 DI 组件利用反射和 PHP-Parse 实现了注入。

  比如《PHP Parser 简介和应用 - 为你的代码自动补全单元测试》,
PHP Parser 是由 nikic 开发的一款 php 抽象语法树(AST)解析工具。PHP Parser 同时兼顾接口易用,结构简洁,工具链完善等诸多优点。在工程上,普遍使用 PHP Paser 生成模板代码,或使用其生成的抽象语法树进行静态分析。

  比如用于减少语法错误的,
这里介绍一款PHP代码静态分析工具:PHPStan,不需要运行代码,也可以对代码进行严格的语法检测,尽量将代码运行错误率降到最低。

参考

  《从0开始聊聊自动化静态代码审计工具》,https://paper.seebug.org/1339/

区块链市场观察家
关注
专栏目录
代码审计PPT.pdf
06-15
### 代码审计PPT知识点详述 #### 一、引言 随着互联网技术的迅猛发展,Web应用成为了信息交流与业务处理的重要平台。然而,这也带来了越来越多的安全问题。因此,对于Web应用及其所依赖的框架进行细致的代码审计变...
实验一 静态代码编码规范审计实验
qq_59611876的博客
04-01 602
DVWA在不同环境下的搭建,代码审计工具RIPS的介绍
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4773
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
软件测试学习笔记丨静态测试与代码审计 SonarQube
最新发布
ceshiren_com的博客
08-29 1418
Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具、代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。
PHP网站常见安全漏洞及防御方法
weixin_34296641的博客
08-01 331
目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、sessio...
静态代码审计-大牛师长篇
soldi_er的博客
07-29 479
文章目录LoRexxar师傅个人地址和文章 LoRexxar师傅   第一次知道LoRexxar师傅从文章《从0开始聊聊自动化静态代码审计工具》开始,也开启了静态代码审计学习之旅。   刚刚收录LoRexxar师傅的资料时,不小心看了师傅今年5月份写的万字长文《创宇四年》,还得知师傅是隔壁杭电的。 个人地址和文章 githun地址:https://github.com/LoRexxar 博客地址:https://lorexxar.cn/ 《从0开始聊聊自动化静态代码审计工具》,paper地址https://
静态代码审查
qq_36828822的博客
10-06 3376
接下来,我们来探讨如何自定义Lint的检查范围。在Android Studio中,已经预设了很多检查范围供我们选择,为方便扩展和自定义检查需求,还开放了自定义Lint检查范围,主要通过广泛使用的Scope窗口实现。使用预置的检查范围从图中可以看到,由多个菜单项可以选择,我们先了解下它们都是些什么含义。Project Files: 当前工程的所有文件。Proiect Source Files: 当前工程的所有源代码文件。
seay代码审计工具
10-06
Seay代码审计工具的开发团队持续更新维护,以应对新的安全威胁和编程语言的发展。用户可以通过官方文档、社区论坛或者开源项目页面获取最新的信息和技术支持。 总之,Seay代码审计工具是提升软件安全性、保障项目...
自动化代码审计de一些思路与局限——基于静态分析的PHP代码审计技术探.pdf
08-08
近年来,开源静态分析工具的发展代码审计带来了新的可能性,使得开发者可以更有效地检测和修复代码中的安全缺陷。 进行自动化分析的关键在于构建有效的SourceCodeModel,这包括提取资源、分析结果,并将其嵌入到...
Seay PHP代码审计工具
11-11
Seay PHP代码审计工具通过自动分析和静态检查,能够快速识别出可能导致安全风险的代码片段,如SQL注入、XSS跨站脚本、命令注入等常见漏洞。它还具备了对代码逻辑错误的检测能力,有助于提高整体代码质量。 该工具的...
代码审计综述1
08-04
代码审计工具如静态分析工具,可以在不执行代码的情况下自动检测潜在的安全问题。这些工具可以快速扫描大量代码,提高审计效率,但可能无法完全替代人工审查,因为复杂的逻辑和特定的业务场景可能需要人工理解和...
PHP_Source_Audit_Tools:PHP 白盒分析工具,结合AST 和数据流跟踪分析代码,达到自动化白盒审计功能
05-19
PHP_Source_Audit_Tools Just for Fun . 去年写的白盒自动化审计工具,原理是定位到敏感函数之后,再对函数所使用的参数进行回溯,跟踪到$_GET $_REQUEST 这些可以控制的输入点,但是由于PHP 语法糖和代码的问题,导致分析结果会有所出入,测试效果不错,但是实战效果不佳,故开源它的源码,有机会的话写一篇文章来说说自动化源码漏洞挖掘分析 原理 Example
三大代码审计工具对比
SourceBrella的博客
01-21 4436
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
python项目代码审计_Python 安全 -代码审计
weixin_39997696的博客
11-29 345
Python 安全 -代码审计杀戮 (有事请 at 大号园长) | 2014-12-02 12:23这次来讲关于自动化审计方面的。OpenStack 团队出品过一个Python代码审计工具叫bandit,思路很牛逼,通过AST模块将源代码转换为Python语法树,由用户自定义对语法树的节点进行测试。这就需要大致讲下编译器是如何解析源代码的,编译器会先将源代码通过词法分析进行分割,就是说什么算一个词...
代码静态检查实践
阅读之后,对你有帮助,那就点个赞再走吧
09-20 2284
在分享和你分享代码静态检查实践这个主题时,我分享了近五年国内的大型互联网公司在持续交付实践中摸爬滚打的经验。从这五年的发展实践中,我们可以清楚地看到,越来越多的研发团队把静态检查作为了一个不可或缺的环节,这也确实帮助研发团队提升了代码质量。当然,机器是死的,人是活的,我们千万不要过分迷信静态检查的结果,还要时刻擦亮眼睛,看看是否存在误报等问题。
从0开始聊聊自动化静态代码审计工具
weixin_46236101的博客
10-14 1149
前言 自从人类发明了工具开始,人类就在不断为探索如何更方便快捷的任何事情,在科技发展的过程中,人类不断地试错,不断地思考,于是才有了现代伟大的科技时代。在安全领域里,每个安全研究人员在研究的过程中,也同样的不断地探索着如何能够自动化的解决各个领域的安全问题。其中自动化代码审计就是安全自动化绕不过去的坎。 这一次我们就一起聊聊自动化代码审计发展史,也顺便聊聊如何完成一个自动化静态代码审计的关键。 自动化代码审计 在聊自动化代码审计工具之前,首先我们必须要清楚两个概念,漏报率和误报率。 漏报率是指没有发现的
网络安全通识全解|第4期 SAST静态代码检测工具发展研究及工具探析
Tianqi_Wukong的博客
09-29 428
01 软件代码安全发展历程 2005年 •美国信息技术咨询委员会关于信息安全的年度报告提出政府和军队的软件产品需要代码安全检测。 2006年 •CWE(Common Weakness Enumeration)成立。 2008年 •美国加州大选软件由于未通过代码安全审查而被取消。 •美国食品药品管理局器械和辐射健康中心开始使用代码检测工具对发生问题和事故的医疗设备进行检测。 2012年 •Gartner提出DevSecOps(安全开发周期)概念。 2017年 •GB/T 34943和34944 C/C++/J
通信运营商代码审计:保障系统安全的关键
具体代码审计方法包括静态代码分析和动态代码分析。静态分析是在不执行代码的情况下,通过扫描源代码来检测潜在问题,如不安全的函数调用、缓冲区溢出、SQL注入等。动态分析则是在程序运行时监测其行为,发现异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值