首发于

代码审计之路

代码审计方法记录

R17a

努力学习的菜菜。

(1)正向审计:找出从外部接口接收的参数,并跟踪其传传递过程,观察是否有参数校验不严的变量传入高危方法中,或者在传递的过程中是有代码逻辑漏洞

(2)逆向追踪:查找危险或者敏感方法或者关键字,并查看参数的传逆与处理,判断变量是否可控并且已经过严格的过滤。

(3)补丁比对:通过diff补丁逆推漏洞,最常用在跟踪新通告的漏洞。

(4)灰盒审计:白盒审计结合黑盒测试,以白盒审计为主,黑盒测试为辅分析代码。

(5)代码静态扫描工具结合人工研判:使用自动化代码审计工具扫描,然后人工进行分析研判。

发布于2021-09-18 15:34:10
0赞
0条评论
收藏
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66