什么是代码审计?一般来说,通过阅读一个源代码,挖掘各种漏洞,这个过程统称为审计。
在审计中,你不仅需要了解各种漏洞的原理,还需要一个良好的审计环境。面对大型开源程序
,信息量往往是巨大的,所以工具的分析和检索是必不可少的。本章将以PHP代码为例,讨论
代码审计的相关知识。PHP作为一种流行的脚本语言,特别适合Web开发。由于其跨平台、易
用、功能强大等特点,现在得到了广泛的应用。然而,随着网站对PHP的使用越来越多,PHP
带来的安全问题也变得炙手可热。 常用审计工具。好的工具可以带来高效率。首先,我们来看看常用的审计工具。1.记事本.记事
本虽然界面简单,但由于效率低,并没有被很多人使用。2.SeayPHP。PHP的SeayPodcodec
ture工具支持单关键词扫描,批量功能扫描,批量规则匹配。与纯文本相比,它提高了很多效
率。3.代码扩展.这是一个国外的代码审计工具,其特点是能够初步确定有问题的代码的位置和
问题,然后结合人工查看来确定是否存在问题,非常方便。 4.抓包并更换数据包的内容。这些工具应该是有穿透经验的读者所熟悉的。Burp和Fiddler是目
前大家在用的。5.字符转换工具。本文作者推荐了一种多功能的字符转换工具,它支持将常用
代码转换为URL/SQL_en/hex/ASC/MD5_32/MD5_16/base64格式,它非常实用。6.常见的Fir
efox插件。 有些读者可能不知道Firefox浏览器的价值。Firefox浏览器及其扩展插件是渗透中不可缺少的工
具,也是PHP审计中的有力助手。这里就不阐述Firefox浏览器的安装了。下面介绍几个常用的
插件。Firefox插件的安装非常简单。单击菜单中的“管理您的插件”按钮,然后在搜索框中搜索
要安装的插件的名称。向日葵多功能转换工具。安装和管理Firefox插件。(1)Firebug可以作为
一个开发工具,在浏览网页时功能丰富。用户可以实时编辑、调试和监控任意网页的CSS、H
TML和JavaScript。LiveHTTPheaders.这个工具是用来捕获数据包的。(3)Hackbar包含一些常
用的工具,比如SQL、XSS、POST请求、加密等。利用好这些插件可以大大提高效率。当你
开始使用它们时,读者可以花更多的时间来熟悉它们。毕竟磨刀不误砍柴。
还没有评论,来说两句吧...