求教代码审计如何提高效率
大佬们,想问下你们的代码审都是怎么高效率完成任务的?
比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。
但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?
比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。
但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?
在http://msdn.itellyou.cn/下载了一个windows server 2012 (64) ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2024 T00ls All Rights Reserved.
评论32次
黑白盒配合审计,可以先把站搭起来,找可疑点再审计会快点,再就是全局查找找危险函数
除了fortify经常用一些
我一般是先尝试一下黑盒测试,测试经常出现漏洞的点,任意文件删除,xss,文件上传之类高危漏洞,都可以直接黑盒测试出来,然后再去看关键功能点的代码,分析代码流程,当然如果时间够,就直接从index开始,分析
先用扫描器扫一遍,再把xi统运行起来结合渗透测试挖漏洞。如果是成熟的产品可以写CodeQL搜索规则来找漏洞。
黑盒找容易出漏洞的点,记下参数,去代码里搜索
环境搭建起来,黑盒、白盒、灰盒iast全稿起来
搭环境运行梳理出功能点,根据功能和输入点猜测可能存在问题的地方,然后回去跟对应的代码 再有就是找关键函数了。
学xi学xi
直接当成目标站 使出看家本领 看看能不能拿下@
SQL的话,现在很多用的MyBaits,直接找有没有$就好了,有的话再看参数哪里传过来的,越权也可以从看sql语句,很多根据id越权查询啥的,文件上传下载找关键字,这个是最简单了,XSS如果是存储的就比较难搞了,结合黑盒快一点,csrf可以看filter
静态+动态,以前是用f静态跑,然后手工做规则用自己写的筛,然后虚拟机跑动态测,还是比较快的,还有一个是常跟源码,只叮补丁下手,嘿嘿。
搭建起来找抓包找走的文件然后针对下手,或者直接全文$_GET,$_POST类似的
白加黑,漏洞扫描,法师的审计工具,监测SQL语句。
黑盒找容易出漏洞的点,记下参数,去代码里搜索
黑白盒配合审计,可以先把站搭起来,找可疑点再审计会快点,再就是全局查找找危险函数
黑白盒结合
有环境的话,结合着功能看代码
先上扫描器AWVS的IAST式,扫描一次; 再人工分析
从能执行特定功能的函数开始搜,看看有没有可控的参数
无他,唯手熟尔
先用扫描器扫一遍,再把xi统运行起来结合渗透测试挖漏洞。如果是成熟的产品可以写CodeQL搜索规则来找漏洞。
fortify+人工审计
求同解,好用的
从功能点着手,先看不需要认证的功能
代码审计:企业级Web代码安全架构 这本书就够了,学xi一下思路