开发者俱乐部

标题: 代码审计系列第一节 [打印本页]
作者: ismeng    时间: 2016-5-17 11:34
标题: 代码审计系列第一节
作者 redBu11           WhiteCellClub
主要给大家介绍几款,代码审计常用到的工具,来进行辅助分析和代码挖掘。首先我们介绍的是第一款。
我们采用的是window集成环境,对于php集成环境,大家可以自行选择,我这里演示只给大家演示wamp。网上有很多这样的集成环境,google一下就出来很多,比较简单,就不给大家一一演示了。直接进入我们课题。
rips,在静态代码审计中,比较实用。




上面有一个path,只要把你电脑代码相对应的路径放到里面,即可进行检测。比较方便简单,有时候别的工具,和手工检测不出来什么问题时,可以用rips来简单审计下,有意想不到的效果。




这个是我们相对应的漏洞代码,效果和视觉都是不错的了。当单击sql注入时,它会定义到相关代码位置。



只要分析相关代码,就会发现sql注入了,在结合整体代码进行分析。
②第二个工具,我们简单介绍一下CodeXploiter.exe,这个工具是绿色版的,比较小,用起来也比较简单。






这个是工具的截图,大概分为四个点,调用文件、漏洞类型、自定义、以及变量设置。大家可以根据实际需求,来更改设置。主要是两个步骤,第一调用你php代码,另外直接点击扫描按钮即可。




目前只检测单一一个文件,进行风险点检测。





会检测出来注入点在哪一行,那个函数以及变量,相对来说,辅助效果相当不错。如果大家有兴趣,可以自行下载。有时候,有一些小伙伴也会选择seay法师写出来的那个代码审计工具,来进行扫描,在这里,小编也只能说,任何一个工具也不是十分完美的,只能起一个辅助作用。真正的还是静下心来,慢慢看代码,分析代码,查找问题。这样才会提高会一些。
③我们在介绍一个seay的那个,需要注意哪些,重点怎么分析,大概的界面是这个样子。




只要把源码拉到,源码列表就可以进行分析了。





主要看下面文件路径和敏感函数。根据下面的提示,大家一个一个找吧,说不准会有惊喜。
其实在工具菜单里面,有一个扫描配置,里面有大量php函数,大家可以把里面函数整理成一个表格,记忆一下,这样对大家阅读关键代码有事半功倍的功效。




工具介绍介绍完以后,给大家简单介绍一下,如何选一款编辑器。目前有几款供大家选择,不过小编经常用notepad++这个编辑器,用起来功能和审计比较好,如果你有editplussubline也不错哈,根据个人自己习惯,来进行选择。




这个是我们的界面,看起来是不是也比较清爽呢。我们常用到的功能是在整个文件夹里面查找敏感变量或者函数,比如$_GET$_post等控制量比较大的函数。




另外还有一个不错的功能是,双屏对比,感觉想过相当好。只要在选项卡里面下拉就可以实现。





这样分析起来比较快也比较好。
④最后给大家介绍一个商业代码审计工具,checkmax,这个工具功能也非常强大。可以审计各种类型代码,一般只有大公司可能才会花费大的价钱来购买此产品,进行安全维护。
Checkmarx CxEnterpriseCheckmarxCxSuite)是一个独特的源代码分析解决方案,该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。
毋须构建或编译软件项目的源代码,Checkmarx CxEnterprise通过虚拟编译器自动对软件源代码分析,并直接建立了代码元素及代码元素之间关系的逻辑图。然后Checkmarx CxEnterprise对这个内部代码图进行查询。Checkmarx CxEnterprise包含针对所有编程语言已知数百个安全漏洞和质量缺陷问题预先设定好的查询(query)列表。可以查询全面而又广泛的代码安全和质量缺陷,同时使用Checkmarx CxEnterprise CxAudit 审计工具,您可以根据您自己的软件安全、质量保证和业务逻辑需要配置并自定义的查询(Query),以满足公司或者个人特定的代码安全策略及代码安全基线标准要求。
Checkmarx CxEnterprise的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪的代码缺陷的全过程,同时还可以提供对安全漏洞和质量缺陷进行修复提供指导建议。也可以对结果进行审计,从而消除误报。
简单介绍抄袭了一下百度百科。只要大家认识、了解即可,下次去到大公司,别人问起来,知道此产品,怎么操作就可以了。




用起来比较简单,和前几个工具用法差不多,把源代码放到相应位置,点击扫描就可以自动化分析了。





这个是扫描出来的报告,相对来说比较详细。而且还有漂亮的模块。





但是分析和前面是一样的缺点,就是不能自动化,需要大家手工来进行分析。需要去对参数进行传参以及利用进行综合性的对比。
第一节代码审计工具就给大家介绍这么多,第二节会简单给大家介绍一些关于sql注入审计,以及如何挖掘sql注入。



本文作者:whitecell-club.org  redBu11




























作者: zmr123456    时间: 2016-5-26 16:31
看到着密密麻麻的代码就想到了当年吐的血,顶一下,不简单啊




欢迎光临 开发者俱乐部 (http://xodn.com/) Powered by Discuz! X3.2