代码审计入门

最新推荐文章于 2024-06-14 10:20:59 发布
最新推荐文章于 2024-06-14 10:20:59 发布
阅读量103 收藏
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45752509/article/details/118269108
版权

审计方法

定位敏感关键字,回溯参数传递过程

不要通读代码,使用工具快速定位
缺点:无法挖掘到逻辑漏洞

定位敏感功能点,通读功能点代码

黑盒测试+白盒测试
常见功能点:
系统重装
文件上传
文件管理功能
登陆认证
密码找回
订单支付

全文代码通读审计

不得已的时候
使用xdebug进行跟踪调试

常见过滤函数

htmlspecialchars()

可以转义类似于<>,主要用来过滤xss

addslashes()

可以转义 ’ 等,主要用来防止sql注入

技巧总结

字符串处理函数,报错,导致信息泄露

trim()
addslashes()
md5()
……

fuzz测试

即模糊测试

不严谨的正则表达式

常见漏洞分析

Windows的文件爆破

FindFristFile
<<

需要提高的能力

1、抓住重点的能力,能够忽略无效信息
(毕竟不是开发)
2、开发能力
3、联想能力
4、毅力

小结

1、分析函数可得
判断真假,返回值,函数作用
2、注意交互点(能控制)

0xsu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计基础知识
PICACHU+++的博客
09-08 6006
代码审计就是检查源代码汇总的安全缺陷,检查程序源代码是否存在安全隐患和代码不规范的地方。可以通过自动化检测或者人工审查的方式进行。
Java代码审计入门
xiaoi123的博客
06-28 8022
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 J...
代码审计的规范参考(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
06-14 1433
具体而言,通过审计发现源代码层面的安全弱点,但不包含软件分析、设计、测试、应用部署等层面的安全弱点。审计人员应检查代码是否将敏感数据存储在没有被锁定或被错误锁定的内存中,(将敏感数据存储于加锁不恰当的内存区域,可能会导致该内存通过虚拟内存管理器被写入到在磁盘上的交换文件中,从而使得数据更容易被外部获取),如果结果为肯定,则提示存在安全风险;审计实施结束后,组织现场审计结束会,将初始审计结果提供给被审计项目成员组,提供被审计项目组澄清误解的机会,并允许项目成员提供其他需要补充的信息(如审计员未考虑到的)。
初识代码审计
m0_57379855的博客
03-21 1017
初识代码审计代码审计是什么代码审计的意义代码审计的常用思路接口排查危险方法溯源功能点定向审计第三方组件、中间件版本比对补丁比对“黑盒测试”+“白盒测试”“代码静态扫描工具”+“人工研判”开发框架安全审计黑盒测试和白盒测试黑盒测试白盒测试代码审计和渗透测试的关系渗透测试优点:两者之间的关系:代码审计的优势代码审计的工作流程 代码审计是什么 代码审计(Code Audit)是一种以发现安全漏洞、程序错误和程序违规为目标的源代码分析技能。 在实践过程中,可通过人工审查或者自动化工具的方式,对程序源代码进行检查和分
PHP代码审计入门笔记.rar
04-03
这份“PHP代码审计入门笔记”正是为了帮助初学者进入这个领域而准备的。 PHP代码审计涉及对已编写或第三方提供的PHP代码进行深入检查,以识别潜在的安全漏洞、性能瓶颈、错误和不良编程习惯。以下是此笔记可能涵盖...
Java代码审计入门篇).pdf
10-21
本书《Java代码审计入门篇)》是一本系统、全面、实战的Java代码审计入门图书,旨在帮助Java开发人员快速掌握Java代码安全审计技巧。全书从浅入深地介绍了Java代码审计的流程、Java Web漏洞产生的原理,以及实战...
PHP代码审计入门笔记.zip
07-14
"PHP代码审计入门笔记"这本书或文档将提供更详细的操作步骤、实例分析和技巧,帮助你逐步掌握这个技能。通过学习和实践,你将能够对PHP代码进行有效的审计,提升代码质量,保障系统的安全稳定运行。
PHP代码审计入门指南1
08-04
【PHP代码审计入门指南1】是一本针对初学者的PHP代码审计教程,旨在帮助读者理解和掌握PHP代码审计的基础知识和技巧。本指南不仅涵盖了代码审计的要点,还讲解了漏洞产生的原理和防御方法,旨在提升读者对Web安全的...
Java代码审计入门指南
cdyunaq的博客
05-13 4851
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。现在主流的审计方式一般都是工具扫描加人工审计的方式,因此在着手Java代码之前我们必须具备一定的Java编程能力,漏洞分析能力,以及局部代码调试能力。本篇文章主要包括Java代码审计的学习路线、要学习的Java基础和框架、Java代码审计的checklist,使用比较得心应手的工具以及人工做审计时的一些方法总结。 根据 TIOBE 官方新发布了 8 月的编程语言榜单显示Java语言依旧还是稳居前三(排行榜如下),Java语言距今已有2
代码审计入门篇)-- 牛马留言板代码审计
weixin_47515220的博客
06-30 897
本文主要展示了本人在代码审计初学阶段的笔记和心得。
代码审计入门:MiniCMS详细分析
systemino的博客
07-24 621
写在之前 MiniCMS体积小,代码短小易读,可以详细分析其执行流程。通过学习可以大致熟悉MVC框架的构造,对Web server的后台处理有一个基本了解。 简介 MiniCMS是由达达设计编写的一个针对个人网站设计的微型内容管理系统。它的特点是: 1.不需要数据库在支持,只需要一个可以运行PHP的Web环境。 2.只针对个人网站设计,没有复杂的成员管理和权限设置。 3.没有分类...
代码审计基础
weixin_30770783的博客
03-12 261
工欲善其事必先利其器 环境推荐安装phpstudy. 他集成了php各种版本.一键切换.还有非常便捷的数据库管理等功能. 代码审计工具推荐Seay源码审计系统 RIPS汉化版: 关于这两款工具,.后续用到的时候我在仔细说. 审计方法 通读全文法 敏感函数参数回溯法 定向功能分析法 通读全文法 顾名思义,就是把所有代码都读一遍.这种方法是最麻烦的方法...
代码审计入门实战
蚁景网安学院
03-31 787
前段时间在整理一个PHP函数代码审计的项目,所以文章也是围绕PHP的代码审计来写,如果有写的不对的地方,还请大佬们指正。文章开始前,我们先来了解一下PHP是什么。 目录 0x01 PHP是什么 0x02 代码审计又是什么 0x03 PHP函数的代码审计 0x04 总结 0x01 PHP是什么 根据百度百科的描述,PHP是一种在服务器端执行的通用开源脚本语言,主要适用于We...
java代码审计 入门
08-24
对于Java代码审计入门篇的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、...以上是Java代码审计入门篇的一些重点,希望对你有帮助!如果有更具体的问题,欢迎继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值