0x00. 代码审计目的
0x01. 代码审计基础
0x02. 代码审计思路
0x03. PHP核心配置
0x04. 代码审计环境
0x05. 手动调试代码
0x06. PHP的弱类型
0x07. 学习"漏洞"函数
0x08. 代码审计总结
0x00. 代码审计目的代码审计指的是对源代码进行检查,寻找代码中的bug以及安全缺陷(漏洞)。代码审计这是一个需要多方面技能的技术,也是需要一定的知识储备。我们需要掌握编程,安全工具的使用、漏洞原理、漏洞的修复方式、函数的缺陷等等,如果再高级一些,我们需要学习不同的设计模式,编程思想、MVC框架以及常见的框架。
那么对于小白应该是需要一个路线,一个流程。
先记住一句话"一切存在用户输入的地方都有可能存在漏洞"。
0x01. 代码审计基础代码审计入门基础:html/js基础语法、PHP基础语法 ,面向对象思想,PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等),Web漏洞挖掘及利用,Web安全工具基本使用(burpsuite、sqlmap等),代码审计工具(seay审计系统、zend studio+xdebug等)
代码审计两种基本方式:
通读全文源码:通读全文发作为一种最麻烦的方法也是最全面的审计方法。特别是针对大型程序,源码成千上万行。当然了解整个Web应用的业务逻辑,才能挖掘到