文件名称:代码审计思路
文件大小:508KB
文件格式:PDF
更新时间:2024-02-17 07:38:57
代码审计思路
1.跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。2.根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点找出来,在分析函数调用时的参数,如果参数是用户可控,就很有可能引发安全漏洞理解现在的cms大致可分为两种,单入口模式和多入口模式.多入口模式cms:每一个功能都需要访问不同的文件。单入口模式的cms:MVC的开发出来的So,挖掘漏洞方式1、搜索一些获取用户输入数据的函数,来找到用户输入数据的源头,之后我们从这里为起点,跟踪数据的流向,分析在这整个过程中数据的处理情况,进而定位可能触发漏洞