web代码审计需要哪些基础知识

  • A+
所属分类:WEB安全

别告诉我说只要会用一个文本编辑器和会打字就行!比如php审计一定要熟悉php各种函数? 

比如代码审计工具,容易帮助对审计上手的,半自动工具! 


各位审计牛以前是怎么过来的?说一说心路历程,指点一下小学生吧!

1#淡漠天空 | 2014-08-22 01:31

常见的seay

 

2#komas | 2014-08-22 01:43

seay看看就好,那个工具误报太多太多,多看看别人审计的文章,还有各种函数的理解就PHP手册

 

3#小学猹 | 2014-08-22 06:57

求审计文章

 

4#clzzy | 2014-08-22 08:58

重要的大概有:

1、你要熟悉你要审计的脚本,比如php,各种的漏洞的代码原型,比如上传漏洞,SQL注入。有针对的查找。

2、熟悉常见的有可能出安全问题函数,有针对地找。

3、熟悉你要审计的脚本,比如php,在各种应用场合的代码规范,比如Dz怎么的写的,thiknphp怎么写的。

4、工具的作用很小,对框架更是没啥大的作用。

5、Rips这个工具审计php对变量跟踪做的不错,不是基于关键字查找的seay能比的。

6、结合数据库监视工具来审计,mssql有跟踪器,mysql有access_log,对看SQL语句的原型很有帮助。

7、审计先看全局的文件,再看输入点。

8、个人觉得代码审计是个经验活儿。

 

5#clzzy | 2014-08-22 09:02

随性而写,不要在意细节


  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: