求教代码审计如何提高效率

2021-05-13 19:42:17 32 7170
大佬们,想问下你们的代码审都是怎么高效率完成任务的?
比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。
但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?

关于作者

xiafine6篇文章67篇回复

评论32次

要评论?请先  登录  或  注册
  • TOP1
    2021-5-20 16:48

    黑白盒配合审计,可以先把站搭起来,找可疑点再审计会快点,再就是全局查找找危险函数

  • TOP2
    2021-5-13 22:26

    除了fortify经常用一些

  • TOP3
    2021-5-16 17:57

    我一般是先尝试一下黑盒测试,测试经常出现漏洞的点,任意文件删除,xss,文件上传之类高危漏洞,都可以直接黑盒测试出来,然后再去看关键功能点的代码,分析代码流程,当然如果时间够,就直接从index开始,分析

  • TOP4
    2021-5-17 22:15

    先用扫描器扫一遍,再把xi统运行起来结合渗透测试挖漏洞。如果是成熟的产品可以写CodeQL搜索规则来找漏洞。

  • TOP5
    2021-5-20 18:21

    黑盒找容易出漏洞的点,记下参数,去代码里搜索

  • 32楼
    2021-6-4 16:12

    环境搭建起来,黑盒、白盒、灰盒iast全稿起来

  • 31楼
    2021-6-4 11:28

    搭环境运行梳理出功能点,根据功能和输入点猜测可能存在问题的地方,然后回去跟对应的代码 再有就是找关键函数了。

  • 30楼
    2021-6-4 08:22

    学xi学xi

  • 29楼
    2021-6-4 07:53

    直接当成目标站 使出看家本领 看看能不能拿下@

  • 28楼
    2021-6-3 22:26

    SQL的话,现在很多用的MyBaits,直接找有没有$就好了,有的话再看参数哪里传过来的,越权也可以从看sql语句,很多根据id越权查询啥的,文件上传下载找关键字,这个是最简单了,XSS如果是存储的就比较难搞了,结合黑盒快一点,csrf可以看filter

  • 27楼
    2021-5-30 23:24

    静态+动态,以前是用f静态跑,然后手工做规则用自己写的筛,然后虚拟机跑动态测,还是比较快的,还有一个是常跟源码,只叮补丁下手,嘿嘿。

  • 26楼
    2021-5-30 15:53

    搭建起来找抓包找走的文件然后针对下手,或者直接全文$_GET,$_POST类似的

  • 25楼
    2021-5-30 11:27

    白加黑,漏洞扫描,法师的审计工具,监测SQL语句。

  • 24楼
    2021-5-20 18:21

    黑盒找容易出漏洞的点,记下参数,去代码里搜索

  • 23楼
    2021-5-20 16:48

    黑白盒配合审计,可以先把站搭起来,找可疑点再审计会快点,再就是全局查找找危险函数

  • 22楼
    2021-5-20 15:09

    黑白盒结合

  • 21楼
    2021-5-19 15:15

    有环境的话,结合着功能看代码

  • 20楼
    2021-5-19 14:15

    先上扫描器AWVS的IAST式,扫描一次; 再人工分析

  • 19楼
    2021-5-18 20:06

    从能执行特定功能的函数开始搜,看看有没有可控的参数

  • 18楼
    2021-5-18 08:32

    无他,唯手熟尔

  • 17楼
    2021-5-17 22:15

    先用扫描器扫一遍,再把xi统运行起来结合渗透测试挖漏洞。如果是成熟的产品可以写CodeQL搜索规则来找漏洞。

  • 16楼
    2021-5-17 18:46

    fortify+人工审计

  • 15楼
    2021-5-17 14:27

    求同解,好用的

  • 14楼
    2021-5-17 14:11

    从功能点着手,先看不需要认证的功能

  • 13楼
    2021-5-17 09:46

    代码审计:企业级Web代码安全架构 这本书就够了,学xi一下思路