代码审计学习路线

最新推荐文章于 2023-08-28 15:30:00 发布
VIP文章 最新推荐文章于 2023-08-28 15:30:00 发布
阅读量2.3k 收藏 18
点赞数 1
文章标签: python 网络安全 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44861409/article/details/120082886
版权

学习代码审计分以下四部分


一.编程语言 

1.前端语言 

html/javascript/dom元素使用,主要是为了挖掘xss漏洞,jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等

2.后端语言 

基础语法要知道,例如 变量类型,常量,数组(python 是列表,元组,字典),对象,类的调用,引用等, MVC设计模式要清楚,因为大部分目标程序都是基于MVC写的,包括不限于php,python,java。

不用会写,但是一定能看懂,而且要看懂逻辑,知道哪些功能点会用什么方式去写,可能会出现什么类型漏洞,方便挖掘常规类型漏洞,更方便挖掘逻辑漏洞

二.渗透技巧 

1:工具渗透 

例如sqlmap,awvs,burpsuite等 

为什么使用工具

能用工具挖掘到你还人工审计干什么及辅助调试

2: 手工渗透

3: 原因

为什么要懂渗透技巧 

其一在于你找到漏洞的时候,通常的开发功底是不足以构造PAYLOAD的,需要一些特殊的PADYLOAD构造方式。

其二你在找漏洞时,可以辅助你更快的去挖掘漏洞

三.辅助技术

1.协议 

例如HTTP传输方式,dict:// file://等,懂得Header

最低0.47元/天 解锁文章
白帽子技术分享
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP代码审计文档.zip
11-02
目录:网盘文件永久链接 第27课:漏洞实战之越权漏洞mp4 第26课:漏润实战之任意文件删除漏洞mp4 第25课:漏洞实战之任意文件写入漏洞mp4 第24课:漏洞实战之CSRF漏洞mp4 第23课:漏洞实战之代码执行漏洞mp4 第22课:漏洞实战之存储型 XSS. mp4 第21课:漏洞实战之系统SQL注入漏洞mp4 第20课:漏洞实战之系统重装漏洞mp4 第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课:PHP代码审计之目录穿越及文件包含漏洞mp4 第12课:PHP代码审计之文件上传漏洞mp4 第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计之代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5课:审计涉及的超全局变量mp4 第4课:代码调试及 Xdebug的配置使用mp4 第3课:PHP核心配置详解mp4 第2课:代码审计的思路及流程mp4 第1课:环境配置及审计工具介绍mp4
Seay源代码审计工具
08-10
Seay官方版是一款专业的Seay源代码审计工具。Seay源代码审计系统最新版支持一键自动审计、函数查询、代码高亮编辑器等功能,可以帮助用户随时审查源代码,及时发现问题。通过Seay源代码审计系统用户可以自定义审计规则,自定义设置参数,提高代码审计师的工作效率。适用于网络安全
Java代码审计案例及修复
12-22
Java代码审计案例及修复
玩转CodeQLpy之代码审计实战案例
A_991128a的博客
08-28 292
CodeQLpy是一款半自动化的代码审计工具,能有效提高代码审计的效率,目前项目仍处于测试阶段。项目地址https://github.com/webraybtl/CodeQLpy,在github主页有对应的安装和使用介绍,如图1.1所示。-t: 指定待扫描的源码路径。支持文件夹,jar包和war包,如果是文件夹,则必须是网站跟目录。-d: 指定待扫描的CodeQL数据库。-c: 指定待扫描的源码是编译前源码还是编译后源码。
代码审计入门
mingyqf的博客
01-16 2203
代码审计入门 前言 最近在看php代码审计,学习下代码审计,看了不少师傅的博客,写的很好,下面不少是借鉴师傅们的,好记性不如烂笔头,记下,以后可以方便查看。 php代码审计需要比较强的代码能力和足够的耐心。这篇文章是写给我这样的刚刚开始审计的菜鸟,下面如果写的哪里有错误的话,还望提出,不吝赐教。 在这里也立个flag:一周至少审计一种CMS(大小不分),希望自己能够坚持下去,任重而道远。 代码审计–准备 1,先放一张大图,php代码审计的几个方向,也是容易出问题的地方,没事的时候可以多看看。 2,代码审计
代码审计基础知识
PICACHU+++的博客
09-08 5719
代码审计就是检查源代码汇总的安全缺陷,检查程序源代码是否存在安全隐患和代码不规范的地方。可以通过自动化检测或者人工审查的方式进行。
Java代码审计入门指南
cdyunaq的博客
05-13 4534
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。现在主流的审计方式一般都是工具扫描加人工审计的方式,因此在着手Java代码之前我们必须具备一定的Java编程能力,漏洞分析能力,以及局部代码调试能力。本篇文章主要包括Java代码审计学习路线、要学习的Java基础和框架、Java代码审计的checklist,使用比较得心应手的工具以及人工做审计时的一些方法总结。 根据 TIOBE 官方新发布了 8 月的编程语言榜单显示Java语言依旧还是稳居前三(排行榜如下),Java语言距今已有2
Java代码审计前置知识学习
weixin_43272406的博客
02-05 297
Java代码审计学习路线,学习平台推荐
代码审计资料整理——新手学习
10-13
适用于新手学习代码审计
Seay源代码审计.exe
12-16
Seay源代码审计.exe
Seay源代码审计系统
08-23
Seay源代码审计系统
2019代码审计实战 ppt
最新发布
01-01
2019代码审计实战
seay代码审计工具
10-06
seay代码审计工具 亲测可用 seay代码审计工具 亲测可用 寻找漏洞 亲测可用
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
seay源代码审计系统
03-13
seay源代码审计系统,可以代码审计,awd必备
代码审计思路
02-24
1.跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。2.根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点...
java代码审计常规思路和方法
12-22
java代码审计常规思路和方法
代码审计工具学习之RIPS
04-02
RIPS是一款开源的PHP代码审计工具,可以帮助开发人员和安全测试人员快速发现PHP应用程序中的漏洞和安全问题。RIPS支持多种漏洞类型,包括SQL注入、跨站脚本、文件包含、命令执行等。 RIPS的使用非常简单,只需要将待审计的PHP代码上传到服务器上,然后选择要扫描的漏洞类型和扫描选项,即可开始扫描。扫描完成后,RIPS会生成一个漏洞报告,其中包含所有发现的漏洞和安全问题,以及相应的建议和修复建议。 除了基本的代码审计功能之外,RIPS还提供了一些高级功能,例如自定义规则、漏洞利用演示、代码跟踪和调试等。这些功能可以帮助开发人员更深入地了解代码的运行情况,更精准地发现漏洞和安全问题。 总的来说,RIPS是一款非常实用的PHP代码审计工具,对于开发人员和安全测试人员来说都非常有用。如果您需要对PHP应用程序进行安全审计,不妨试试RIPS。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值