代码审计相关知识与资料分享

  • A+
所属分类:代码审计

公司越来越大,开发人员也越来越多。每个研发人员的安全素质都不一样,虽然在公司核心项目上可以采取框架层安全防护,但各类新项目太多,无法做到每个项目都使用相同框架,都去集成安全组件。

所以对于公司所有的项目必须有一道防护来保障基本安全,代码安全审计即可作为这一道安全手段。

软件代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。它是防御性程序设计范例,它试图在软件发布之前减少错误。C、C++、php源代码是最常见的审计代码,因为许多高级语言,如Python,具有较少的潜在易受攻击的函数(例如,不检查边界的函数)


代码检查是审计工作中最常用的技术手段,实际应用中,采用“自动分析+人工验证”的方式进行。通常检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等,通常能够识别如下代码中的风险点:
跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权下载、授权绕过漏洞。

代码审计相关知识与资料分享

 

个人认为,作为一个要入门代码审计的人,审计流程应该从简单到困难,逐步提升。因此我建议大家的审计流程为——DVWA——blueCMS——其他小众CMS——框架。同时做总结,搞清楚漏洞原理。
入门可参考:https://www.freebuf.com/articles/web/166602.htmlhttps://cloud.tencent.com/developer/article/1450536https://blog.csdn.net/bylfsj/article/details/10273195https://blog.csdn.net/m0_37711941/article/details/97954734?utm_term=%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E9%A1%B9%E7%9B%AE%E6%80%BB%E7%BB%93&utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2~all~sobaiduweb~default-3-97954734&spm=3001.4430

 

1、常见的代码审计工具

1)、Fortify SCA

2)、Checkmarx CxSuite

3)、360代码卫士

4)、PHP代码审计工具——Rips

参考:https://www.jianshu.com/p/cd1cb66e4d7d

5)、seay代码审计(常用)

参考:https://www.oschina.net/p/seay

6)、SonarQube

参考:https://www.cnblogs.com/qiumingcheng/p/7253917.html

7)、Cobra

参考:https://zhuanlan.zhihu.com/p/32363880

8)、kiwi

参考:https://github.com/alpha1e0/kiwi

 

分享一波在学习过程中收集的资料

代码审计相关知识与资料分享

代码审计相关知识与资料分享

代码审计相关知识与资料分享


公众号后台发送“代码审计”即可获取资料包。希望对各位大佬有用,一起学习哈。 


每日坚持分享好工具好资源,麻烦各位师傅文章底部给点个再看”,感激不尽

 

欢迎关注 系统安全运维 

觉得不错点个“赞”、“在看”哦

本文始发于微信公众号(系统安全运维):代码审计相关知识与资料分享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: