代码审计步骤
漏洞产生的原因
1、变量控制不严,一切输入都是有害的
2、变量到达有利用价值的函数(一切进入函数的变量都是有害的),漏洞的利用效果取决于最终函数的功能
步骤
1、通读代码
-
2、利用工具查找漏洞关键字
-
3、审查追踪代码,确认漏洞
- 4、黑白灰盒测试
-
工具
xseach
- 关键字搜索
seay
- 关键字搜索
fortify
- 漏洞扫描、追踪
工具的优势
速度快,自动化,
fortify可以追踪代码给出漏洞提示
2、利用工具查找漏洞关键字
3、审查追踪代码,确认漏洞
fortify可以追踪代码给出漏洞提示