原创工具:Seay PHP代码审计工具2012终结版+源码发

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

 

软件名: Seay PHP代码审计工具
软件版本: Version 2012终结版
作者: Seay
博客: http://www.cnseay.com/
联系方式: QQ10118157 邮箱:[email protected]
文档编写时间: 2012年11月13日

程序下载地址:http://www.cnseay.com/2951/

 

PHP代码审计资料打包:http://www.cnseay.com/archives/661 感谢:“好好学习,天天向上”,“是我。花香”提交的bug。感谢xxser开发自定义编辑器功能。目前2.2版本已经相对稳定,正在着手开发新功能,欢迎提交BUG和功能建议。工具正在增加正则规则,目前版本小升级只是在优化当中,等相对稳定后,着手开发新功能,打算把动态跟静态测试结合起来,也就是运行起网站,审计工具能自动从动态网站探测漏洞,同时静态白盒测试,就能更精确的发现更多漏洞,期待新版本 2012年11月13日晚: 2012终结版改动比较小,只是改了几个地方,增强用户体验。修复了一个小BUG。本来想开发黑盒(动态扫描SQL注入+XSS等)模块,但由于作者自己的一些原因,黑盒模块没有时间开发完成,只能留到年后再继续开发这个模块。感谢支持的好朋友们。   版本说明: —————————————————————————————————————— 版本:V1.0 发布时间:2012年10月9号功能说明:只支持单个关键字扫描 —————————————————————————————————————— 版本:V2.0 发布时间:2012年10月13号功能说明:支持单个关键字、批量函数、批量正则表达式扫描、支持审计文档、函数、正则表达式管理 —————————————————————————————————————— 版本:V2.0.3 发布时间:2012年10月14号功能说明:在2.0版本的基础上修复3个逻辑BUG —————————————————————————————————————— 版本:V2.0.4 发布时间:2012年10月14号功能说明:在2.0.3版本的基础上修复1个逻辑BUG —————————————————————————————————————— 版本:V2.0.5 发布时间:2012年10月15号功能说明:在2.0.4版本的基础上修复1个BUG,改变代码显示方式,优化正则模式扫描结果,结果更直观 —————————————————————————————————————— 版本:V2.0.6 发布时间:2012年10月17号功能说明:在2.0.5版本的基础上增加自定义编辑器功能,增加一点扫描正则表达式规则 —————————————————————————————————————— 版本:V2.0.7 发布时间:20121027号  功能说明:在2.0.6版本的基础上修复两个BUG,增加最新版本检测功能,优化扫描速度,增加源码读取停止功能,目前2.0.7版本较稳定,动态黑盒漏洞扫描功能正在开发中。 —————————————————————————————————————— 版本:V2.0.8 发布时间:201211月5号  功能说明:在2.0.7版本的基础上修复一个BUG,大大优化扫描速度,增加扫描速度选择,优化代码,增加几个危险函数。 —————————————————————————————————————— 版本:V2.0.9 发布时间:2012116号  功能说明:在2.0.8版本的基础上增加区分大小写功能,增加函数导入导出功能,改变函数储存方式,修复审计文档错误问题。 —————————————————————————————————————— 版本:V2.1 发布时间:20121112号  功能说明:在2.0.9版本的基础上大大优化源码读取速度,改用线程池,大大优化扫描速度,增加一些类似写字板的功能。可直接在本工具上编辑代码,打开、保存文件。 —————————————————————————————————————— 版本:V2.2(2012终结版) 发布时间:20121113号  功能说明:这次更改比较小,只是改了几个地方,增强用户体验。修复了一个小BUG。这也是2012的终结版。本来想开发黑盒(动态扫描SQL注入+XSS)模块,但由于作者自己的一些原因,黑盒模块没有时间开发完成,只能留到年后再继续开发这个模块。 —————————————————————————————————————— 下个版本将推出更多新功能,敬请期待,愿更多朋友来一起完善它。程序使用C#编写,若运行提示错误,请安装.NET环境,提供两个下载地址,任选一个下载安装即可运行  1、  http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0&linkPage=1.html  2、  http://www.crsky.com/soft/4818.html  

Seay PHP代码审计工具说明

 


 

本人目前就读重庆某软件学院软件测试专业,将于2013年1月底毕业,为了扎实基础,于是有时间就会找一些源码研究,有时候想走走捷径,提高下效率,于是开始找一些代码审计的工具,但是目前国内貌似没有发现专业的这类工具,于是就萌发了编写这个PHP代码审计工具的想法,并付足于行动。

 

那为什么写PHP的呢?从目前主流的四大动态网页编程(ASP/ASPX/PHP/JSP)语言来分析,目前最火的是PHP,很多CMS等很大一部分是PHP,安全性最难控制的也是PHP,怎么难控制就不说了,既然都开始玩代码审计了,应该懂得。

 

该版本目前支持单个关键字扫描、批量函数扫描、批量正则匹配,其中正则表达式扫描精确度最高,效率最高。

 

其他功能:

 

源码浏览:载入程序源码后,可以在最左边的程序文件列表里面点击浏览源码,扫描出包含关键字的源码,也可以在下边的列表点击直接浏览。代码可以直接复制,或者选择用记事本打开。

 

漏洞库:每次做代码审计可以在漏洞库建立一个审计文档,方便以后查阅、管理。

 

扫描配置:自定义扫描函数和正则表达式规则,针对要扫描的程序可以建立不同的规则,其中正则表达式扫描精确度更高。

 

审计技巧:收集了一下PHP代码审计的资料,提供给新手学习。

 

程序帮助:一些程序信息和作者信息

 

 

 

程序界面

 

效果图:

 

 

使用方法

 

一、载入源码:三个地方可以载入源码,分别在主界面的“浏览按钮”,左边文件列表框的右键“新建扫描”和菜单栏的文件系统里面的“新建扫描”。

 

图:

 

 

 

 

二、开始扫描:

 

载入程序后,我们可以输入关键字点击主界面“扫描”按钮即可,如果选择的是综合扫描,将自动调用综合模式里面选择的模式进行扫描,如函数模式、正则模式。

 

我们可以选择用记事本打开源码:

 

 

 

 

 

 

三、漏洞仓库:在这可以对审计文档进行管理。包括新建、打开、修改、删除操作。

 

图:

 

 

 

 

四、扫描配置:可以对综合扫描要用到的函数、正则表达式进行管理。包括查看、新增、修改、删除。

 

图:函数管理

 

 

 

图:正则表达式管理

 

 

五、审计技巧:提供大量代码审计技巧资料,审计实例,供新手借鉴。

 

图:

 

 

六、软件帮助:一些帮助信息,版本信息,有俩可爱的牛牛在动哦。

 

 

结束

 

好了,现在可以开始你的代码审计工作了,请关注俺的博客http://www.cnseay.com/ 获取最新版本。欢迎提交程序BUG和提出功能建议,本人联系方式:QQ10118157 邮箱:[email protected]

 

By:Seay

Tags:

PHP代码审计工具,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
原创工具:Seay PHP代码审计工具2012终结版+源码发