美文网首页IT课程分享信息安全web
通过代码审计学习Web安全

通过代码审计学习Web安全

作者: 蓝桥云课 | 来源:发表于2017-09-14 17:05 被阅读244次

代码审计

代码审计,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应 用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。

审计代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。

代码审计就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。而我们则可以通过代码审计,深入理解常见Web漏洞的产生原因和防御方法。

看看你的代码审计等级

小伙伴儿可以看着这些知识点和问题,看看你是否能够回答上来,如果回答不上来,那么点击教程【通过代码审计学习Web安全】学习吧;

如果这些知识点你都知道,问题也能给出相应的答案,那么恭喜你,你代码审计这个方向就算正式入门了,这个副本你就通关了。

  • 什么是代码执行漏洞?

  • 代码执行漏洞的相关函数有:eval() assert() call_user_func_array() preg_replace() call_user_func()等常规函数和动态函数$a($b) (比如$_GET($_POST["xxx"]),这些函数在什么情况下会有代码执行漏洞的危险?

  • PHP代码执行漏洞和 Sql注入、PHP命令注入漏洞的区别是什么?

  • 针对这个漏洞,应该如何防范?

  • 什么是命令注入漏洞?

  • 相关函数有:system()、exec()、passthru()、shell_exec()、popen()、proc_open()、pcntl_exec()一共7个函数。这些函数被分为三类,分别在什么情况下会有命令注入漏洞的危险?

  • PHP代码执行漏洞和 Sql注入、PHP命令注入漏洞的区别是什么?

  • 针对这个漏洞,应该如何防范?

  • 什么是 XSS 攻击 ?

  • XSS 攻击被分为两种类型:反射性XSS和存储型XSS,他们之间的区别是什么?

  • XSS 漏洞和PHP输出函数密切相关,常见的输出函数有: echo printf print print_r sprintf die var-dump var_export

  • 针对这个漏洞,应该如何防范?

  • 什么是 CSRF 攻击 ?

  • CSRF 常和 XSS 混为一谈,其实他们的攻击原理完全不一样,他们之间的区别是什么?(比如XSS必须用到javascript,而CSRF不一定需要)

  • 针对这个漏洞,应该如何防范?

  • 什么是 SQL注入漏洞 ?

  • SQL注入攻击的分类?常见的有哪几种类型?

  • 针对这个漏洞,应该如何防范?

  • 什么是文件包含漏洞?

  • 文件包含漏洞的分类?它们之间的区别是什么?

  • 文件包含相关函数有: include() require() include_once() require_once(),它们之间的区别是什么?

  • 针对这个漏洞,应该如何防范?

  • 什么是文件上传漏洞?

  • 文件包含相关函数只有:move_uploaded_file(),在什么情况下会出现文件上传漏洞?

  • 针对这个漏洞,应该如何防范?

  • 什么是变量覆盖漏洞?应该怎么利用?

  • 变量覆盖漏洞相关函数有: :extract(), parse_str()和import_request_variables(),他们在什么情况下会有变量覆盖的危险?

  • 针对这个漏洞,应该如何防范?

  • 什么是身份认证漏洞?

  • 身份认证最常用的是cookie·session,他们之间的区别是什么?分别对应什么漏洞?

  • 针对这个漏洞,应该如何防范?

  • Rips 你学会使用了吗?

上面的问题能够正确回答出来么?如果不能的话,接着看……

课程简介:

实验楼训练营课程【通过代码审计学习Web安全】就属于PHP安全审计的入门课程,从这门课程中你可以通过代码层面理解常见Web漏洞,如Sql注入、XSS、CSRF、文件上传等,近十种安全漏洞的产生原因和初步的防御方法。

该训练营将分为四个部分,第一部分介绍了代码审计思路以及几个比较基础的Web漏洞审计实例,比如Sql注入、XSS、CSRF。第二部份更进一步介绍了Web相关漏洞,比如文件类的Web漏洞。第三部分介绍一些比较深入的Web漏洞,比如会话认证漏洞。第四部则介绍了代码审计工具的使用以及对课程的总结。

课程列表:

第一部分 代码审计入门漏洞

  • 第一节:课程介绍与准备;
  • 第二节:XSS 漏洞审计;
  • 第三节:CSRF 漏洞审计;
  • 第四节:Sql注入漏洞审计;

第二部分 代码审计进阶漏洞

  • 第五节:文件包含漏洞审计
  • 第六节:文件上传漏洞审计
  • 第七节:代码执行漏洞审计
  • 第八节:命令注入漏洞审计

第三部分 代码审计深入漏洞

  • 第九节:变量覆盖漏洞审计
  • 第十节:身份认证漏洞审计

第四部分 工具使用和课程总结

  • 第十一节:代码审计工具使用
  • 第十二节:代码审计课程总结

最后:

训练营是实验楼推出的专注实战应用的、有老师指导的实验教程,一般课程选题来自优秀的开源技术或仿知名网站,非常适合已学基础技术却迷茫不知道如何运用的同学。

相关文章

  • 通过代码审计学习Web安全

    代码审计 代码审计,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应 用程序在开发阶段存在的一...

  • 代码审计:企业级web代码安全架构

    《代码审计:企业级web代码安全架构》 【代码审计是企业安全运营的基础,是安全从业者必备的基本技能。本书详细...

  • 小猿圈WEB安全小白入门

    最近总有一些网友问我web渗透应该怎么学习,web代码审计应该怎么做?针对这样的问题小猿圈web安全讲师今天就为你...

  • 代码安全审计(一)基本介绍

    什么是代码安全审计?   代码安全审计是指有开发和安全经验的人员,通过阅读开发文档和源代码,以自动化分析工具或者人...

  • Java Web 安全之代码审计

    信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 小编整理了一...

  • 关于自动化web安全测试动态fuzz的思路与实践分析

    什么叫自动化web安全测试?这其实是一个很大的概念,因为web安全包含很多方面,比如代码审计,比如黑盒测试,甚至还...

  • 2019-06-22 Java学习笔记之Java基础

    最近在Web安全中的代码审计方面决定转行做Java Web了,因为自己实在是不喜欢PHP这门语言,不喜欢那种混乱的...

  • w3af-gui的使用方法

    现在再给大家介绍一款GUI版WEB安全工具,W3AF是一个web应用安全的攻击、审计平台,通过增加插件来对功能进行...

  • 2021-12-06-java代码审计初步认知

    一、代码审计的定义代码审计是一种以发现安全漏洞,程序错误和程序违规为目标的源代码分析技能。 二、代码审计需要的能力...

  • 代码审计浅析

    一、《Web攻防》总结 常见的代码审计工具:RIPS、Fortify SCA、Seay源码审计工具、FindBug...

网友评论

    本文标题:通过代码审计学习Web安全

    本文链接:https://www.haomeiwen.com/subject/ybddsxtx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    IT课程分享

    信息安全

    web

    Web前端之路

    计算机微刊

    前端程序员干货

    Web 前端开发

    关于我们|服务条款|联系我们|通过代码审计学习Web安全|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!