- A+
所属分类:WEB安全
别告诉我说只要会用一个文本编辑器和会打字就行!比如php审计一定要熟悉php各种函数?
比如代码审计工具,容易帮助对审计上手的,半自动工具!
各位审计牛以前是怎么过来的?说一说心路历程,指点一下小学生吧!
1#淡漠天空 | 2014-08-22 01:31
常见的seay
2#komas | 2014-08-22 01:43
seay看看就好,那个工具误报太多太多,多看看别人审计的文章,还有各种函数的理解就PHP手册
3#小学猹 | 2014-08-22 06:57
求审计文章
4#clzzy | 2014-08-22 08:58
重要的大概有:
1、你要熟悉你要审计的脚本,比如php,各种的漏洞的代码原型,比如上传漏洞,SQL注入。有针对的查找。
2、熟悉常见的有可能出安全问题函数,有针对地找。
3、熟悉你要审计的脚本,比如php,在各种应用场合的代码规范,比如Dz怎么的写的,thiknphp怎么写的。
4、工具的作用很小,对框架更是没啥大的作用。
5、Rips这个工具审计php对变量跟踪做的不错,不是基于关键字查找的seay能比的。
6、结合数据库监视工具来审计,mssql有跟踪器,mysql有access_log,对看SQL语句的原型很有帮助。
7、审计先看全局的文件,再看输入点。
8、个人觉得代码审计是个经验活儿。
5#clzzy | 2014-08-22 09:02
随性而写,不要在意细节
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
