【OTHERS】php代码审计前的准备

栏目: PHP · 发布时间: 6年前

内容简介:【OTHERS】php代码审计前的准备

所谓“工欲善其事,必先利其器”,在代码审计前,我们需要准备提高我们审计效率的工具。

环境

  1. Mac
  2. xampp(可以用phpstudy或者是其他集成环境代替)
  3. Navicat Premium(个人认为Mac下最好的数据库管理工具,学生党只能用**,有能力尽量支持正版)
  4. phpstorm(这里的IDE用的是我自己比较习惯的,也可以使用其他你比较熟悉的)
  5. xdebug(用来动态调试)
  6. 终端
  7. 浏览器(firefox、chrome,这里使用firefox,hackbar是个好东西)

安装上述的软件之类的就不说了,下文主要是动态调试环境搭建。

动态调试环境

php添加xdebug配置

xampp的php.ini位于 /install/path/etc/php.ini ,在配置文件最后添加上

[xdebug]
zend_extension=/Applications/XAMPP/xamppfiles/lib/php/extensions/no-debug-non-zts-20131226/xdebug.so
xdebug.remote_autostart=on
xdebug.remote_enable=on
xdebug.remote_enable=1
xdebug.remote_mode="req"
xdebug.remote_log="/var/log/xdebug.log"
xdebug.remote_host=localhost/127.0.0.1
xdebug.remote_port=9000
xdebug.remote_handler="dbgp"
xdebug.idekey="PhpStorm"

so文件是xampp自带的,mac下的配置可以直接copy我的

保存后重启apache

firefox安装xdebug扩展

firefox下的xdebug扩展叫 the easiest xdebug,搜索一下安装

安装完成后点亮 工具 栏上的甲虫,开启调试

【OTHERS】php代码审计前的准备

设置key,更 php 配置文件中相同

【OTHERS】php代码审计前的准备

配置phpstorm

打开Preferences->Languages&Framework->php

【OTHERS】php代码审计前的准备

如图设置servers,接着设置debug下的DBGp Proxy

【OTHERS】php代码审计前的准备

设置完成后在工具栏处找到edit Configurations

【OTHERS】php代码审计前的准备

新增php web application

【OTHERS】php代码审计前的准备

接下来就可以愉快的下断点,动态调试了

mysql执行审计监控

在navicat或终端中运行以下2句

set global general_log=on; set global log_output=’table’;

查看mysql.general_log表可以看到运行过的 sql 语句,方便我们查询

win下可以用seay的代码审计工具,带了 mysql 的sql监控

终端

终端主要用到了grep这个工具,网上有很多相关的教材。

主要匹配输入输出点,危险函数等等

具体的以后有空了再补充


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

HTTPS权威指南

HTTPS权威指南

[英] Ivan Risti? / 杨洋、李振宇、蒋锷、周辉、陈传文 / 人民邮电出版社 / 2016-9 / 99.00元

本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。一起来看看 《HTTPS权威指南》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器