实验一: 代码审计

已于 2023-04-01 10:41:28 修改
阅读量381 收藏 3
点赞数
文章标签: php 开发语言
于 2023-04-01 10:37:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53150482/article/details/129893846
版权

实验一 :静态代码编码安全审计实验
实验目的:了解代码编码安全的基本知识,练习代码编码安全规范审计的方法
实验原理:按照代码语句和算法审计
实验设备:计算机、审计工具
实验安排:教师介绍代码审计工具的基本使用方法和要求,进行操作演示;学生以一人一组,对事先准备好的源代码进行编码规范审计和分析。
主要实验内容:基于RIPS的PHP代码安全审计
实验报告要求:(1)按照规定模板撰写;(2)简述代码审计过程;(3)记录审计的测试条件,将实验数据及结果以表格列出;(4)写出审计的结果;(5)写出实验的体会与疑问。

1. 安装

现在本地搭建号 DVWA 环境并开启 phpstudy
我们先下载群里发的 rips 软件,然后解压后移动到 phpstudy 的 www 目录下:
在这里插入图片描述
开启 apache 服务以及 mysql 服务,访问 127.0.0.1/rips 查看网页显示内容:
在这里插入图片描述
显示如上内容表明已经安装成功:

2. 开始审计

设置源代码位置:
在这里插入图片描述
在这里插入图片描述
然后点击开始扫描即可:
等待一会后扫描结果就会显示出来:
在这里插入图片描述
我们可以在中间看到扫描的结果,并且我们也可以查看源代码进行分析

3. 审计结果

PHP代码执行: 2
命令执行: 8
文件读取: 9
文件包含: 1
文件操作: 5
SQL注入: 6
XSS: 3
HTTP header注入: 3
会话固定: 1
共计: 38

4. 总结

该工具可以作为代码审计作为辅助,可以帮助我们提高效率但是工具始终是工具,依旧需要我们进行人工复查审计才可以更好的进行代码审计

1qazcse
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 代码审计学习靶场.zip
01-16
首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面...
代码审计及示例
arissa666的博客
10-26 526
代码安全测试是从安全的角度对代码进行的安全测试评估。结合丰富的安全知识、、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全,在代码形成软件产品前将业务软件的安全风险降到最低。方法:人工审核:代码在框架上的缺陷。既能解决内部问题也能解决外部问题。这也是目前最有效率的解决方案,并且在理论上手工代码审核是非常有效的,但人工审核的效率不高,所以我们会采用自动化分析工具辅助人工的方式来提高审核效率。静态分析:通过一组全面规则、测试机制和方针在软件开发过程、测试中发现软件的安全缺陷。
静态代码检查报告
dew2145的博客
12-17 1794
今天在下面刊载一篇小王同学写的静态代码检查报告,图文并茂,条理清晰。 1. 工具说明   FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式。Findbugs可以...
实验静态代码编码规范审计实验
qq_59611876的博客
04-01 486
DVWA在不同环境下的搭建,代码审计工具RIPS的介绍
PHP网站常见安全漏洞及防御方法
weixin_34296641的博客
08-01 292
目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、sessio...
代码审计利器-RIPS实践
热门推荐
Yale的博客
05-31 1万+
什么是RIPS? RIPS是最流行的静态代码分析工具,可自动检测PHP应用程序中的漏洞。 通过对所有源代码文件进行标记化和解析,RIPS能够将PHP代码转换为程序模型,并检测在程序流程中可能被用户输入(受恶意用户影响)污染的敏感接收器(可能易受攻击的功能)。 除了发现漏洞的结构化输出外,RIPS还提供了一个集成的代码审计框架。 目前最新版本为0.55 作为审计工具,自然需要有源码供其审计,这里以...
PHP代码审计18—PHP代码审计小结
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-25 2631
阶段性小结
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
代码审计工具Findbugs是一个应用比较广泛的开源代码审计工具,如果开发团队利用好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是Free。 其中介绍内容包括: Malicious code vulnerability 恶意代码 ...
1140320206-霍峻杰-实验二2
08-08
3.漏洞利用结果实验分析与总结 这次实验让我们亲身经历了一次代码审计及缓冲区漏洞利用的过程,实验很有意思,学到的知识也非常的多,通过代码审计,在脑中便利可能的漏
ModelDB:用于跟踪、版本控制和审计机器学习模型的端到端系统-python
06-18
快速入门 · 工作流 · 示例 · 贡献 · 支持 (Slack) ModelDB 是一个开源系统,用于版本机器学习模型,包括其成分代码、数据、配置和环境,并在模型生命周期中跟踪 ML 元数据。 使用 ModelDB 以: 使您的 ML 模型...
keras-ncp:《神经电路策略》论文的代码存储库,《自然机器智能》中发表了实现可审计自治的神经电路策略
02-06
启用可审计自主性的神经回路政策神经回路策略(NCPs)是基于LTC神经元和突触模型设计的稀疏循环神经网络,受到神经的神经系统的启发。 本页描述了NCP的Keras(TensorFlow 2.0软件包)参考实现。 有关论文的再现性...
字符画生成网站 ascii字符画
wow_awsl_qwq的博客
05-12 148
_____ / ___/__ ___ / /__/ _ \/ _ \ \___/ .__/ .__/ /_/ /_/
Linux网站服务
c5zm51zjr的博客
05-08 806
注:Discuz软件包安装2.5版本的,若没有需要去官网论坛上寻找,找到之后复制链接下载即可。网站架构:LAMP: Linux+Apache+MYSQL+PHP(系统+服务器程序+数据管理软件+中间软件)主配置文件:/etc/httpd/conf/httpd.conf。主目录:/var/www/html (源代码默认位置)子配置文件:/etc/httpd/conf.d/*注:网站a.org无需授权,b.org需要授权。网站:多个网页组合而成的一台网站服务器。URL:统一资源定位符,访问网站的地址。
picoCTF-Web Exploitation-Web Gauntlet
huckers的博客
05-12 382
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
Service 和 Ingress
go|Python的个人博客
05-08 1295
Yaml 文件案例metadata:labels:app: nginx-svc # service 自己的标签spec:ports:- name: http # service 端口配置的名称protocol: TCP # 端口绑定的协议,支持 TCP、UDP、SCTP,默认为 TCPport: 1080 # service 自己的端口targetPort: 80 # 目标 pod 的端口type: NodePort # 默认是ClusterIP 类型,只能在集群内部使用。
WordPress如何判断当前页是否属于文章页或页面?
boke112的博客
05-08 293
我想在WordPress站点的文章页和页面中输出一些内容,其他页面不输出,那么我应该怎么判断当前页是否为文章页或页面呢?下面boke112百科就跟大家简单介绍一下。
防火墙技术基础篇:什么是包过滤技术
qq_39241682的博客
05-08 952
当数据在网络中传输时,它们被分割成小的单元,称为数据包。防火墙的包过滤是一种基本的网络安全技术,用于检查这些数据包并根据预定义的规则决定是否允许它们通过防火墙。防火墙包过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络的数据包。通过检查每个数据包的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),包过滤防火墙能够决定哪些数据包被允许通过,哪些被阻止或丢弃。
[muduo网络库]——muduo库TcpConnection类,万字总结(剖析muduo网络库核心部分、设计思想)
最新发布
m0_73537205的博客
05-13 756
muduo 是由陈硕大佬个人开发的 TCP 网络库,本专栏使用c++11重构了Muduo库中核心的Multi-Reactor架构,剖析大佬核心的代码设计思想,希望能够理清自己的思路,也希望能够帮助到大家。
代码执行权限控制和特定用户的代码审计进行实验数据分析
03-31
抱歉,作为一个AI语言模型,我没有能力执行实验数据分析任务,但我可以提供一些关于代码执行权限控制和代码审计的信息: 代码执行权限控制是指对代码的执行进行限制和监控,以确保只有授权的用户或程序可以运行代码,从而保护系统的安全和稳定。常见的代码执行权限控制方法包括操作系统的用户和组权限设置、应用程序的访问控制、代码签名和验证等。 代码审计是指对代码进行全面的安全和质量审查,以发现潜在的漏洞、错误和不规范的编码实践,并提供修复建议。代码审计可以通过手动审查、自动化工具、静态分析和动态测试等方式进行。 在实验数据分析方面,可以使用数据可视化、统计分析、机器学习等技术来分析代码执行权限控制和代码审计的数据。例如,可以使用Python的数据分析库如Pandas、NumPy和Matplotlib来进行数据处理和可视化,使用机器学习算法如决策树、逻辑回归和支持向量机来构建代码审计模型和预测代码质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值