如何更高效的进行代码审计

请先 登录 后评论

9 个回答

弦外之音

借助自动化程序分析工具,进行动静结合的审计,静态自动化审计存在误报率高的问题,动态审计需要借助于code coverage,建议二者结合,人工辅助进行分析。比较推荐的主流工具:xray,可用作切入,加以人工分析辅助

请先 登录 后评论
萬種

1.由点破面

根据经验和工具找漏洞关键词,来溯源调用过程

看是否可控,可控后看调用的输入入口

如果单个可控条件满足我们的要求,但是无法实施漏洞触发,再全局看下哪里有满足我们条件的地方,组合起来触发

2.由面破点

通读全文,理清大意,再根据问题关键词,勾画对应位置 

深入理解一套CMS源码就是这样


请先 登录 后评论
L-1-q
个人感觉工具的误报还是太高了,有些误报反而提高了成本,个人感觉还是从流程出发去动态调试或许可以更快一些
请先 登录 后评论
K0u_az
根据自己的经验的话,如果从0接触一个小众Cms,还是通读比较好。
如果是存历史漏洞的一些框架CMS的话,可以通过历史漏洞入手,来尝试绕过补丁或者找寻一些新的链子。
个人建议呢,在黑白盒结合的基础上,从功能模块下手,理清基础启动逻辑,然后分功能模块去挖
请先 登录 后评论
Admininstrator

人工代码安全审计的时长取决于代码量的多少。随着代码和业务复杂度的提升,完整实施代码安全审计所需的时间成本也同步增加。因此自动化和人工审计两种方法并不是相互对立的,而是互为补充,二者并用才是业界代码安全审计的最佳实践。

请先 登录 后评论
这个夏天计划

可以使用一键化自动审计的这种基本上误报挺多的

可以先拿一些小型的cms练练手熟悉了常见的漏洞出现点和关键字

拿到网站了就可以直接从这些方面先检查

请先 登录 后评论
Arthur

看那种框架把,可以看看楼兰师傅写的文章。白盒测试+黑盒测试效果更好。

请先 登录 后评论
平生有你0212 - CISSP

好的工具事半功倍,推荐如下三款自动化工具:

RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的,用于静态审计PHP代码的安全性。VCG(VisualCodeGrepper),是一款支持C/C++、C#、VB、PHP、Java和PL/SQL的免费代码安全审计工具。它是一款基于字典的检测工具,功能简洁,易于使用。Fortify SCA(Static Code Analyzer)是由Fortify软件公司(已被惠普收购)开发的一款商业版源代码审计工具。它使用独特的数据流分析技术,跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言。

请先 登录 后评论
zjy

先大概了解框架,在黑白结合进行审计,工具可以进行参考,但是一般误报很多

请先 登录 后评论
  • 6 关注
  • 0 收藏,8868 浏览
  • 退休之后 提出于 2021-05-24 11:02

相似问题