首页 > 代码库 > 代码审计入门后审计技巧

代码审计入门后审计技巧

很多朋友读了《PHP代码审计》,书的确很好。

根据书中内容总结大概如下:

https://www.waitalone.cn/introduction-to-code-auditing.html

 

当你面对100行代码,你可以轻松找到漏洞。但当面对1W行以至于整个项目的代码时候,你还能轻松的找到么?

这时候想到第一个问题,可能是应该怎么下手?从哪里下手?

程序可以理解为树,树根是数据库,树干是支撑框架、容器,树叶是Web程序,等等。

当数据从Web程序通过时候,一定会有数据到达数据库。我想数据库的调用文件,会是你迫切需要知道的。

你需要记下这些文件名称,并且记下程序处理流程,在流程中找分支。这样你会很快的熟悉程序的逻辑,最快速度定位漏洞。

个人理解,欢迎交流。

代码审计入门后审计技巧