借助自动化程序分析工具，进行动静结合的审计，静态自动化审计存在误报率高的问题，动态审计需要借助于code coverage，建议二者结合，人工辅助进行分析。比较推荐的主流工具：xray，可用作切入，加以人工分析辅助

1.由点破面

根据经验和工具找漏洞关键词，来溯源调用过程

看是否可控，可控后看调用的输入入口

如果单个可控条件满足我们的要求，但是无法实施漏洞触发，再全局看下哪里有满足我们条件的地方，组合起来触发

2.由面破点

通读全文，理清大意，再根据问题关键词，勾画对应位置 

深入理解一套CMS源码就是这样

人工代码安全审计的时长取决于代码量的多少。随着代码和业务复杂度的提升，完整实施代码安全审计所需的时间成本也同步增加。因此自动化和人工审计两种方法并不是相互对立的，而是互为补充，二者并用才是业界代码安全审计的最佳实践。

可以使用一键化自动审计的这种基本上误报挺多的

可以先拿一些小型的cms练练手熟悉了常见的漏洞出现点和关键字

拿到网站了就可以直接从这些方面先检查

看那种框架把，可以看看楼兰师傅写的文章。白盒测试+黑盒测试效果更好。

好的工具事半功倍，推荐如下三款自动化工具：

RIPS是一款开源的，具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的，用于静态审计PHP代码的安全性。VCG（VisualCodeGrepper），是一款支持C/C++、C#、VB、PHP、Java和PL/SQL的免费代码安全审计工具。它是一款基于字典的检测工具，功能简洁，易于使用。Fortify SCA（Static Code Analyzer）是由Fortify软件公司（已被惠普收购）开发的一款商业版源代码审计工具。它使用独特的数据流分析技术，跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言。

先大概了解框架，在黑白结合进行审计，工具可以进行参考，但是一般误报很多