1.PHP代码审计入门
PHP代码审计入门
代码审计目的码暴旨在发现源代码中的bug与安全缺陷,需要掌握编程、码暴安全工具使用、码暴漏洞原理、码暴修复方式与函数缺陷。码暴小白应遵循从基础开始,码暴feign原理和源码逐步深入的码暴学习路线。了解代码审计的码暴基础知识,如HTML、码暴JS与PHP语法、码暴面向对象思想、码暴项目开发与Web漏洞挖掘。码暴
代码审计基础包括HTML、码暴JS与PHP基础语法、码暴面向对象编程、码暴项目开发与Web安全工具的基本使用。掌握代码审计两种基本方式,flash垃圾源码即从开发者角度出发,利用面向对象编程与面向过程编程提升代码理解能力,独立挖掘与理解漏洞危害。
从个人角度出发,先做开发者,再转向代码审计。通过学习面向对象编程、编写项目、商会网源码深入理解各种漏洞挖掘利用与PHP源码审计。审计思路应从代码理解、漏洞挖掘、修复策略等多维度进行。
PHP核心配置涉及文档存取限制、环境变量控制、外部程序执行限制、安全配置选项、ubuntu core 源码敏感函数禁用、COM函数使用限制、全局变量注册、特殊字符处理、远程文件包含、错误显示控制等。
部署环境推荐使用PHPstudy ,集成开发环境选择Zend Studio/Phpstorm,qrcode c 源码数据库管理工具使用Navicat for MySQL ,MySQL实时监控工具为MySQLMonitor,文本编辑工具使用Sublime_Text3,辅助工具包括Seay源代码审计系统、Search and Replace、Rips 0.与渗透版火狐、BurpSuite、Sqlmap等。
手动调试代码、PHP的弱类型、学习漏洞函数、审计入门总结等内容覆盖了代码审计的实践与理论。弱类型特性、比较符号、数组函数、类型比较与转换等是理解PHP关键点。漏洞函数学习,包括全局变量/超全局变量、SQL注入、代码执行、命令执行、XSS攻击、文件上传、包含漏洞、任意文件操作、变量覆盖与反序列化等。
审计路线建议从简单开始,逐步深入:Demo-综合漏洞靶场-网上审计过的CMS-多入口CMS-单入口CMS-框架-函数缺陷。推荐Demo资源,了解实践与理论结合的重要性。