https://www.cnblogs.com/nongchaoer/p/13324114.html
有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。
这里的报错,看报错信息,进行更改就好。
使用低版本的phpsyudy 搭建
代码审计——白盒测试
1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。
2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:Netsparker
漏洞产生:函数、可控变量 (函数决定是什么漏洞 )
准备工作:
(正向思路:定点漏洞挖掘)
eg:挖sql注入漏洞——1、分析漏洞产生条件——2、找漏洞关键字——3、分析文件名进行判断筛选
——4、对文件进行代码分析,跟踪变量——5、确定是否存在漏洞。
sql漏洞产生条件:存在数据库的查询,变量的接受
函数关键字:select、数据库的操作函数:mysql_connect、mysql_select_db 、mysql_query 等等
可控变量关键字:$_ GET、$_POST 、$_REQUEST、$_SERVER 等等
监听当前数据库 所执行的语句
1、文本批量查找工具,eg:tomm闪电文件搜索、pyCharm 、 等工具
2、
1、指定文件 2、指定关键字 3、指定搜索范围
conn.php 这个名字,通常是数据库配置文件。因此这个文件,不太可能存在sql注入漏洞
(举例:搜索sql注入漏洞,jpg格式的文件,肯定不会存在sql注入漏洞,因此在查看代码的时候,也是需要注意 搜索范围的 ,节省时间 )
(反向思路:随缘漏洞挖掘)