可以找一些cms先用工具跑一下,如果有效果针对性对跑出的代码逻辑可以分析,如果能力好可以上手直接看代码逻辑进行分析,工具吧java你搞个fortify跑跑代码
6 个回答
公司企业内部会有扫描器,个人一般还是人肉扫描,github上有开源的扫描工具可以用来辅助一下。php就seay扫一下快速定位,然后就是用phpstorm去看定位到的点,慢慢调试,用什么倒是无所谓,vscode也行,用着顺手就行。java直接丢到idea,而且idea能逆字节码,基本都是黑盒配白盒,找可能存在漏洞的功能点,然后看它实现得有没有问题。我个人觉得jb全家桶还可以的,主要用惯了,打ctf碰到java、php、go、nodejs的审计,jb全家桶都能应付了。
一般我都用seay源代码审计 先扫扫 然后自己再对着代码可以看看哪里有洞。本地搭建复现
个人用:
1、seay做php代码审计
2、fortify破解版做代码审计(语言就比较多了)
公司用:
1、checkmarx(公认的比较好用)
2、coverity
3、fortify商用版
4、还有奇安信代码卫士等国内安全厂商的扫描器
推荐如下三款代码审计工具
RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的,用于静态审计PHP代码的安全性。
VCG(VisualCodeGrepper),是一款支持C/C++、C#、VB、PHP、Java和PL/SQL的免费代码安全审计工具。它是一款基于字典的检测工具,功能简洁,易于使用。
Fortify SCA(Static Code Analyzer)是由Fortify软件公司(已被惠普收购)开发的一款商业版源代码审计工具。它使用独特的数据流分析技术,跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言。