代码审计☞工具的准备工作

最近在做一些PHP代码审计的工作，在进行正式的代码审计之前，我推荐一套PHP代码审计全家桶：火狐浏览器 + sublime text + PHPstudy + Navicat premium + K8-WEB编码工具 + burp suite代理工具。

    火狐浏览器：免费开源（有点搞笑啦，浏览器都是免费的），重点是火狐浏览器存在很多有利的插件，不然我是不会放弃Chrome的。火狐插件：Foxyproxy、Hackbar、Modify Headers、User Agent Switcher、FireBug等。

    编辑器sublime：编辑器看个人喜好吧，我喜欢用VIM，也喜欢用sublime text，主要是好看，有丰富的插件、轻量化。sublime text插件：CTags、PHPTidy、Alignment、ConvertToUtf-8等。

    PHPstudy：PHP的平台不太熟悉，作为新手觉得phpstudy还是特别良心的，我喜欢用。

    Navicat premium：这是一个SQL集中管理的平台，很方便尤其是对需要切换使用不同的SQL数据库的安全人员，破解方法网上一大堆，自己找就行了。

    K8-WEB编码工具：K8是最近听大牛推荐的，还没有使用，但是，光是看功能就知道这也是一个款让安全人员爱不释手的编码工具，各种编码一应俱全，可谓全能编码，值得拥有。

    burp suite代理工具：可以进行半自动漏洞检测、爬站点目录、修改HTTP等操作，功能异常强大，如果你还没听说过，那就赶快进传送门看一看吧：burp传送门

---

    上面是个人代码审计平台的一些情况，接下来，我要写我刚接触到这些东西时的心路历程。

---

    CTags插件：我听到这个插件之后便在sublime上安装了一下，然后我就想使用（太急于求成了），网上查资料然后学习使用，使用之后又是一脸茫然，于是我想知道这个插件是干嘛的，我做代码审计为什么要用这款插件。于是，查某度，发现一篇质量很高CTags介绍文章：ctags使用说明详解。关于ctags，那篇博客介绍的很清楚。

    PHPTidy插件：PHPtidy是一款格式化PHP代码的插件，除了可以格式化代码外，还有纠错、过滤的功能。关于PHPtidy也推荐一篇文章：PHP+Tidy－完美的XHTML纠错+过滤

    Alignment插件：这是一个用户自动对齐代码的插件，对于有强迫症的我，这是一个福利哦。具体使用方法自行查找。

    ConverToUtf-8插件：用于将非UTF-8编码的字符转码为UTF-8，如果你的代码在sublime中乱码了，可以用这个插件转码试试哦。

    Hackbar插件：可以用来手工检测SQL注入、XSS等漏洞的插件，插件中有编码模块，很实用。

    Modify Headers插件：这个插件用于操作HTTP头部，改个cookie、host什么的很方便。

    User Agent Switcher插件：用于切换User-Agent头部的插件，有大量的头部可以使用，表面上看跟代码审计没有什么联系，但是，大牛给了推荐一定有他的理由，这个带我学习之后再来补充。

    FireBug插件：增强版的开发人员工具，查HTTP、调试JS、看DOM等等，只能用强大两个字形容。

    FoxyProxy插件：一款代理插件，可以用来翻墙、设置工具的代理，而且，很简单、存包。暂时想不到有别的什么用。

本文始发于微信公众号（飓风网络安全）：代码审计☞工具的准备工作