内容简介:【OTHERS】php代码审计前的准备
所谓“工欲善其事,必先利其器”,在代码审计前,我们需要准备提高我们审计效率的工具。
环境
- Mac
- xampp(可以用phpstudy或者是其他集成环境代替)
- Navicat Premium(个人认为Mac下最好的数据库管理工具,学生党只能用**,有能力尽量支持正版)
- phpstorm(这里的IDE用的是我自己比较习惯的,也可以使用其他你比较熟悉的)
- xdebug(用来动态调试)
- 终端
- 浏览器(firefox、chrome,这里使用firefox,hackbar是个好东西)
安装上述的软件之类的就不说了,下文主要是动态调试环境搭建。
动态调试环境
php添加xdebug配置
xampp的php.ini位于 /install/path/etc/php.ini
,在配置文件最后添加上
[xdebug] zend_extension=/Applications/XAMPP/xamppfiles/lib/php/extensions/no-debug-non-zts-20131226/xdebug.so xdebug.remote_autostart=on xdebug.remote_enable=on xdebug.remote_enable=1 xdebug.remote_mode="req" xdebug.remote_log="/var/log/xdebug.log" xdebug.remote_host=localhost/127.0.0.1 xdebug.remote_port=9000 xdebug.remote_handler="dbgp" xdebug.idekey="PhpStorm"
so文件是xampp自带的,mac下的配置可以直接copy我的
保存后重启apache
firefox安装xdebug扩展
配置phpstorm
打开Preferences->Languages&Framework->php
如图设置servers,接着设置debug下的DBGp Proxy
设置完成后在工具栏处找到edit Configurations
新增php web application
接下来就可以愉快的下断点,动态调试了
mysql执行审计监控
在navicat或终端中运行以下2句
set global general_log=on; set global log_output=’table’;
查看mysql.general_log表可以看到运行过的 sql 语句,方便我们查询
win下可以用seay的代码审计工具,带了 mysql 的sql监控
终端
终端主要用到了grep这个工具,网上有很多相关的教材。
主要匹配输入输出点,危险函数等等
具体的以后有空了再补充
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 代码审计--源代码审计思路
- Java代码审计丨某开源系统源码审计
- 【代码审计】PHP代码审计之CTF系列(1)
- 【JSP代码审计】某商城几处漏洞审计分析
- 【JSP代码审计】从代码审计的角度看系统接口的安全性
- php – Laravel:一般错误:1615准备好的声明需要重新准备
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
HTTPS权威指南
[英] Ivan Risti? / 杨洋、李振宇、蒋锷、周辉、陈传文 / 人民邮电出版社 / 2016-9 / 99.00元
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。一起来看看 《HTTPS权威指南》 这本书的介绍吧!