天涯论坛

 找回密码
 立即注册
搜索
查看: 88|回复: 1

技术专题-PHP代码审计

[复制链接]

3121

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99108633
发表于 2024-7-11 18:12:04 | 显示全部楼层 |阅读模式

本文原创作者:小戮

内容源自i春秋社区未经许可禁止转载

注:以下举荐文案对手机版阅读支持欠好意见经过PC端浏览!

1、前言

php代码审计如字面意思,对php源代码进行审查,理解代码的规律发掘其中的安全漏洞。如审计代码中是不是存在sql注入,则检测代码中sql语句到数据库的传输 和调用过程。

入门php代码审计实质什么门槛需求,只必须理解基本的php语法规则,以及理解各样类型漏洞的显现原由能够起始尝试审计php源代码。一般的漏洞演示中sql语句会直接传入php自带的函数传入数据库执行,但在实质的软件项目中,一般以面向对象的思想进行编程,则会触及各样形式的封装,调用,以及区别风格的框架,在这个要求下,只必须保持耐心跟踪其调用过程就可

另一关于代码审计的思路而言,一种是通读代码逐行分析规律另一一种是经过正则快速定位有些问题函数,再反向定位调用过程。这两种方式对应代码审计的工具主流的实现思路,一种是经过语法分析的过程发掘漏洞,另一者是定位问题函数实现。

不管什么方式,重点还是实战阅读代码,累积经验。

以上为个人观点,小心吸收。

2、基本知识需求

PHP语法

主流漏洞原理

3、入门阅读 & 参考

代码审计入门总结

PHP: PHP 手册 - Manual

代码审计:公司级Web代码安全架构

4、审计实战

基本系列

基本系列中的4篇文案基本是经过有些直观的小案例来让人理解从用户的交互到代码的执行这个过程中漏洞是以什么形式存在的,又是怎样被利用的,初学者阅读这几篇文案能够让人更加快速的理解代码审计的过程,以及基本的审计思路。

【代码审计】平常WEB漏洞原理分析及利用方式--SQL注入篇

【代码审计】平常WEB漏洞代码层原理分析及利用方式--文件操作漏洞篇

代码审计平常WEB漏洞代码层原理分析及利用方式之Php代码执行篇

【代码审计】平常WEB漏洞代码层原理分析及利用方式--文件操作

高级系列

高级系列的几篇其实就代码审计的全部大的行业来讲并不算高级,然则都有其特殊,并且大部分是从真实的软件项目起始讲解,能够让初学者理解实战中可能会遇到的有些问题,以及实战中的思考过程。

代码审计之绕过后台权限限制,继续sql注

代码审计之突破路径限制删除文件

代码审计之任意用户暗码找回漏洞

代码审计之伪全局机制运用欠妥引起的致命后果

代码审计之绕过addslashes总结

mel 和 bees系列都指的是定了对某个实质软件项目的审计,初学者能够跟随作者的脚步进行挖掘,联系,其他的类型则是有些杂乱的文案

Melcms分析集合

[送0day]代码审计就该这么来 Mlecms Getshell

[送0day]代码审计就该这么来2 Mlecms 注入

{代码审计思路} (通读+审计) Mlecms(中危漏洞/不简单)

beescms分析集合

【代码审计初探】beescms v4.0_R SQL

【代码审计】对Beescms SQL注入漏洞的进一步思考

送0day】代码审计就该这么来3 beescms getshell

【Beecms代码审计篇】Beecms任意文件删除其他

PHP代码审计:Null 字符问题

一个CMS案例实战讲解PHP代码审计入门

PHP代码审计储存XSS形成防御加利用篇

ZZCMS的代码审计另一要提的一点是,区别语言编写的web应用其实都有类似性,当你熟悉认识一门语言的代码审计过程后其实便能够进一步扩展到别的语言。你会发掘基本原理是类似的,当然区别还是存在的,例如其中的addslashes和null的文案便是如此,它是php这门语言独有的问题,其他还有的有些差异在这儿不细说明。

5、课程举荐

PHP代码审计实战:

http://www.ichunqiu.com/course/54473

6、代码审计工具举荐

RIPS

它能检测出XSS ,sql注入,敏锐信息泄漏,文件包括平常漏洞;能够采用正则方式扫描代码发掘漏洞;能够采用自定义的语法扫描代码发掘问题。

下载链接:http://rips-scanner.sourcef




上一篇:代码审计思路之PHP代码审计
下一篇:深入探索:主流低代码研发平台的应用场景及研发流程
回复

使用道具 举报

8

主题

592

回帖

-19

积分

限制会员

积分
-19
发表于 2024-9-5 11:38:36 | 显示全部楼层
在遇到你之前,我对人世间是否有真正的圣人是怀疑的。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 18:30 , Processed in 0.133518 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.