顧名思義就是檢查原始程式碼中的安全缺陷,檢查程式原始碼是否存在安全隱患,或者有編碼不規範的地方,透過自動化工具或手動審查的方式,對程式原始碼逐條進行檢查和分析,發現這些原始碼缺陷引發的安全漏洞,並提供程式碼修訂措施和建議。
Rips 是使用PHP語言開發的審計工具,所以只要有可以運行PHP的環境就可以輕鬆實現PHP的程式碼審計
Seay原始碼審計系統 (建議學習:PHP視訊教學)
這是一款基於C#語言開發的一個針對PHP程式碼安全性審計的系統,主要運行於Windows系統上。這款軟體能夠發現SQL注入、程式碼執行、指令執行、檔案包含、檔案上傳、繞過轉義防護、拒絕服務、XSS跨站、資訊外洩、任意URL跳轉等漏洞。
其實個人認為就兩種,由點破面,由面破點。當然還有
由點破面
根據經驗和工具找漏洞關鍵字,來溯源調用過程,看是否可控,可控後看調用的輸入入口。如果單一可控條件符合我們的要求,但是無法實施漏洞觸發,再全域看下哪裡有符合我們條件的地方,組合起來觸發。其中用到我們的工具Seay原始碼審計工具
由面破點
#通讀全文,理清大意,再根據問題關鍵詞,勾勒對應位置
深入理解一套CMS源碼就是這樣
如果追求速度,那麼無疑第一種最好,也是入門首選,暫時只專注於問題地方(作者目前也是用的第一種)
以上是php代碼審計需要會php嗎的詳細內容。更多資訊請關注PHP中文網其他相關文章!