请问谁知道PHP代码审计怎么学习呢 20
- 你的回答被采纳后将获得:
- 系统奖励15(财富值+成长值)+难题奖励10(财富值+成长值)+提问者悬赏20(财富值+成长值)
1个回答
展开全部
1、工具什么的没用过,不好回答。
2、跟踪函数?应该是指对一些容易被利用的函数的前后代码流程进行审计吧。这种方式应该是较为常用的,需要你平时多积累危险函数的『字典』,但随着 PHP 应用程序安全性的整体提升,常用的危险函数引起的漏洞越来越少了,也越来越难找了。『安全性敏感』这个,需要自己多学习多积累多思考,多读代码,多分析代码,多看漏洞分析,看不懂别人的漏洞分析,就多利用google搜索、查阅手册等手段努力把分析看明白。然后可以找一些不太知名的小程序来练练手,一点一点积累,循序渐进,慢慢应该会形成一定的『安全性敏感』吧。比如说你在看一个程序前,对应这种类型的应用程序,哪些流程容易出现漏洞,哪些功能容易出现漏洞,哪些危险函数会较多用到,应该先从哪入手看源码等等,在自己的头脑里有一个较为清晰的思路,不知道这个是不是你所说的『安全敏感性』。
3、国内这方面的资料挺多的,多上 wooyun、80vul、wolvez 等这些网站上看看。还有就是多看 PHP 手册,如果有能力的话可以看看 PHP 内核源码,推荐去 github 上看 PHP 内核源码,快捷方便,各个分支的源码都有,方便查阅对比。
2、跟踪函数?应该是指对一些容易被利用的函数的前后代码流程进行审计吧。这种方式应该是较为常用的,需要你平时多积累危险函数的『字典』,但随着 PHP 应用程序安全性的整体提升,常用的危险函数引起的漏洞越来越少了,也越来越难找了。『安全性敏感』这个,需要自己多学习多积累多思考,多读代码,多分析代码,多看漏洞分析,看不懂别人的漏洞分析,就多利用google搜索、查阅手册等手段努力把分析看明白。然后可以找一些不太知名的小程序来练练手,一点一点积累,循序渐进,慢慢应该会形成一定的『安全性敏感』吧。比如说你在看一个程序前,对应这种类型的应用程序,哪些流程容易出现漏洞,哪些功能容易出现漏洞,哪些危险函数会较多用到,应该先从哪入手看源码等等,在自己的头脑里有一个较为清晰的思路,不知道这个是不是你所说的『安全敏感性』。
3、国内这方面的资料挺多的,多上 wooyun、80vul、wolvez 等这些网站上看看。还有就是多看 PHP 手册,如果有能力的话可以看看 PHP 内核源码,推荐去 github 上看 PHP 内核源码,快捷方便,各个分支的源码都有,方便查阅对比。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
