代碼審計-工具介紹及簡單思路

工具篇之開發環境-----僅供參考

 

0x01.PhpStorm

PhpStorm 是 JetBrains 公司開發的一款商業的 PHP 集成開發工具，旨在提高用戶效率，可深刻理解用戶的編碼，提供智能代碼補全，快速導航以及即時錯誤檢查，是一個非常不錯的開發環境。

主要特點:

1. 跨平臺。

2. 對PHP支持refactor功能。

3. 自動生成phpdoc的註釋，非常方便進行大型編程。

4. 內置支持Zencode。

5. 生成類的繼承關係圖，如果有一個類，多次繼承之後，可以通過這個功能查看他所有的父級關係。

6. 支持代碼重構，方便修改代碼。

7. 擁有本地歷史記錄功能（local history功能）。

8. 方便的部署，可以直接將代碼直接upload到服務器。

下載鏈接:

https://www.jetbrains.com/zh-cn/phpstorm/promo/?utm_source=baidu&utm_medium=cpc&utm_campaign=cn-bai-pro-phpstorm-ph-pc&utm_content=phpstorm-php-software&utm_term=php%e8%bd%af%e4%bb%b6

 

0x02.PhpStudy

phpStudy是一個PHP調試環境的程序集成包。該程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安裝，無須配置即可使用，是非常方便、好用的PHP調試環境。該程序不僅包括PHP調試環境，還包括了開發工具、開發手冊等。

主要特點:

集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安裝,無須配置即可使用,是非常方便、好用的PHP調試環境.該程序不僅包括PHP調試環境,還包括了開發工具、開發手冊等。

下載鏈接:

https://www.xp.cn/download.html

 

工具篇之審計工具(個人推薦，排名不分先後)

0x01.RIPS

Rips 是使用PHP語言開發的一個審計工具，所以只要有可以運行PHP的環境就可以輕鬆實現PHP的代碼審計，它現在的最新免費開源版本是0.55版本。

主要特點:

1. 能夠檢測XSS、SQL注入、文件泄露、本地/遠程文件包含、遠程命令執行以及更多種類型的漏洞。

2. 有5種級別選項用於顯示以及輔助調試掃描結果。

3. 詳細列出每個漏洞的描述、舉例、PoC、補丁和安全函數。

4. 7種不同的語法高亮顯示模式。

5. 使用自頂向下或者自底向上的方式追溯顯示掃描結果。

6. 一個支持PHP的本地服務器和瀏覽器即可滿足使用需求。

7. 正則搜索功能。

下載鏈接:

https://sourceforge.net/projects/rips-scanner/files/

 

0X02.VCG

VCG是一個基於字典的自動化源代碼掃描工具，可以由用戶自定義需要掃描的數據。它可以對源代碼中所有可能存在風險的函數和文本做一個快速的定位。

主要特點:

1. 除了執行一些更復雜的檢查外，它還爲每種語言提供了一個配置文件，基本上允許您添加任何要搜索的錯誤函數（或其他文本）。

2. 以餅圖的形式顯示掃描後結果。

下載連接:

https://sourceforge.net/projects/visualcodegrepp/?source=directory

 

0x03.Seay源代碼審計系統

這是一款基於C#語言開發的一款針對PHP代碼安全性審計的系統，主要運行於Windows系統上。這款軟件能夠發現SQL注入、代碼執行、命令執行、文件包含、文件上傳、繞過轉義防護、拒絕服務、XSS跨站、信息泄露、任意URL跳轉等漏洞。

主要特點:

1. 一鍵自動化白盒審計

2. 代碼調試

3. 正則編碼

4. 自定義插件及規則

下載連接:

https://download.csdn.net/download/aiwennba/10130771

 

審計思路篇(小白方法，大佬勿噴)

 

說到思路大家想到的就是找可控變量，功能函數等等。

但是呢，對於初學者來說這種思路很費時間。下面說一下個人的思路。

首先看源碼的目錄結構，對源碼進行初步的瞭解，再去本地搭建此套源碼,針對部分漏洞先進行一次簡單的灰盒測試。查找前臺，後臺的一些關鍵性功能部分,比如:

0x01.SQL注入

  前臺:新聞，xx介紹，搜索框，登錄，後臺:登錄,查詢用戶(新聞....)，數據庫管理等。

0x02.跨站腳本漏洞(XSS)

  前臺：搜索框(很多環境下一般是反射性XSS),留言板，招聘等類似功能處，                       個人資料等。

0x03.文件上傳

  前臺：個人資料處上傳頭像,招聘等類似功能處上傳文件，後臺:發佈新聞附件上傳，網站logo上傳，新建模板,插入第三方js腳本等。

 

  再到源碼查找以上測試部分功能處的正則，waf的特點，再去考慮漏洞的產生和利用。

 

0x04.邏輯漏洞和未授權訪問

   前臺:個人資料修改，購買商品，網站部分插件(上傳...);後臺:附件刪除等。

  充分利用burp suite,wireshark等工具進行流量分析，仔細觀察，並記錄每次傳參的變量，再到源碼查找此變量，並判斷傳入參數是對普通用戶的身份驗證。