36-4 PHP 代码审计基础

本文介绍了PHP代码审计的基础知识,包括正向查找和反向查找两种思路。正向查找从功能点和入口文件开始,逐行审查代码;反向查找则从危险函数入手,回溯分析潜在安全漏洞。同时提到了seay这一审计工具,用于辅助代码审计,提供了下载和安装指南。
摘要由CSDN通过智能技术生成

一、 代码审计思路

1. 正向查找:

在进行正向查找时,通常按照以下步骤进行:

  1. 功能点了解: 首先,了解网站的功能点和业务逻辑,明确可能存在的漏洞类型。

  2. 入口文件检查: 查看网站的入口文件,通常是 index.php,逐行分析其代码,关注可能存在漏洞的代码段。

  3. 逐行审查: 对入口文件以及相关的控制器、模型等文件进行逐行审查,特别关注用户输入的处理和安全过滤措施。

2. 反向查找:

在进行反向查找时,可以从危险函数入手,进行回溯,查找可能的安全漏洞点。

  1. 危险函数入口: 找到可能引发安全问题的危险函数,比如 eval()system()exec()等,作为审计的入口点。

  2. 回溯分析: 从危险函数开始,向上回溯代码执行路径,查找与可控变量相关的处理过程,分析在传递过程

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值