代码审计系列第一节(代码审计工具)

作者:宋鲲
围观群众:41
更新于
代码审计系列第一节(代码审计工具)

咱们选用的是window集成环境,关于php集成环境,咱们能够自行挑选,我这儿演示只给咱们演示wamp。网上有许多这样的集成环境,google一下就出来许多,比较简略,就不给咱们逐个演示了。直接进入咱们课题。

①rips,在静态代码审计中,比较有用。

上面有一个path,只需把你电脑代码相对应的途径放到里边,即可进行检测。比较便利简略,有时候其他东西,和手艺检测不出来什么问题时,能够用rips来简略审计下,有意想不到的效果。

代码审计系列第一节(代码审计工具)

这个是咱们相对应的缝隙代码,效果和视觉都是不错的了。当单击sql注入时,它会界说到相关代码方位。

只需剖析相关代码,就会发现sql注入了,在结合全体代码进行剖析。

②第二个东西,咱们简略介绍一下CodeXploiter.exe,这个东西是绿色版的,比较小,用起来也比较简略。

这个是东西的截图,大约分为四个点,调用文件、缝隙类型、自界说、以及变量设置。咱们能够依据实践需求,来更改设置。首要是两个过程,榜首调用你php代码,别的直接点击扫描按钮即可。

现在只检测单逐个个文件,进行危险点检测。

代码审计系列第一节(代码审计工具)

会检测出来注入点在哪一行,那个函数以及变量,相对来说,辅佐效果适当不错。假如咱们有爱好,能够自行下载。有时候,有一些小伙伴也会挑选seay法师写出来的那个代码审计东西,来进行扫描,在这儿,小编也只能说,任何一个东西也不是十分完美的,只能起一个辅佐效果。真实的仍是静下心来,渐渐看代码,剖析代码,查找问题。这样才会提高会一些。

③咱们在介绍一个seay的那个,需求留意哪些,要点怎样剖析,大约的界面是这个姿态。

只需把源码拉到,源码列表就能够进行剖析了。

首要看下面文件途径和灵敏函数。依据下面的提示,咱们一个一个找吧,说不准会有惊喜。

其实在东西菜单里边,有一个扫描装备,里边有很多php函数,咱们能够把里边函数整理成一个表格,回忆一下,这样对咱们阅览要害代码有事半功倍的成效。

东西介绍介绍完今后,给咱们简略介绍一下,怎么选一款编辑器。现在有几款供咱们挑选,不过小编经常用notepad++这个编辑器,用起来功用和审计比较好,假如你有editplus和subline也不错哈,依据个人自己习气,来进行挑选。

这个是咱们的界面,看起来是不是也比较清新呢。咱们常用到的功用是在整个文件夹里边查找灵敏变量或许函数,比方$_GET、$_post等操控量比较大的函数。

别的还有一个不错的功用是,双屏比照,感觉想过适当好。只需在选项卡里边下拉就能够完成。

这样剖析起来比较快也比较好。

④最终给咱们介绍一个商业代码审计东西,checkmax,这个东西功用也十分强壮。能够审计各种类型代码,一般只要大公司或许才会花费大的价钱来购买此产品,进行安全保护。

Checkmarx CxEnterprise(CheckmarxCxSuite)是一个共同的源代码剖析解决方案,该东西可用于辨认、盯梢和修正源代码中技术上和逻辑上的缺点,比方软件安全缝隙、质量缺点问题和事务逻辑问题等。

[1] [2]  黑客接单网

代码审计系列第一节(代码审计工具)

非特殊说明,本文版权归 科普观察网 所有,转载请注明出处.

本文分类: 话题

本文标题: 代码审计系列第一节(代码审计工具)

本文网址: http://jskepuxin.com/huati/6413.html

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

网站分类
搜索
最新留言
    标签列表