网站由网页构成,各个网页都有它自己的脚本文件(php文件)
入口文件:index.php admin.php ,这些文件一般是整个程序的入口,详细读一下index文件就可以知道程序的架构、运行流程、包含哪些配置、包含哪些过滤文件以及包含哪些安全过滤文件、了解程序的业务逻辑
配置文件:config.php
一般都保存一些数据库的相关信息,程序的一些信息。数据库编码,如果是gbk则可能存在宽字节注入,如果变量的值用双引号。则可能存在双引号解析代码执行的问题。
过滤功能
通过详读公共函数文件和安全过滤文件等文件,清晰掌握永恒输入的数据,哪些被过滤,哪些无过滤,在哪里过滤,过滤的方式是什么,
config.php:
php-config 是一个简单的命令行脚本用于获取所安装的 PHP 配置的信息。
在编译扩展时,如果安装有多个 PHP 版本,可以在配置时用 --with-php-config 选项来指定使用哪一个版本编译,该选项指定了相对应的 php-config 脚本的路径。
审计方法:
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序