滲透測(cè)試工具基礎(chǔ)方法篇

1、這幾天整理了下網(wǎng)站滲透測(cè)試中基礎(chǔ)部分的第三節(jié)我們SINE安全滲透工程師對(duì)代碼安全審計(jì)手工滲透測(cè)試檢查代碼的危險(xiǎn)漏洞方法找出安全問(wèn)題重點(diǎn)配合工具掃描來(lái)達(dá)到測(cè)試漏洞的目的本測(cè)試重點(diǎn)僅限于客戶授權(quán)才能操作切記忽非法嘗試入侵！以下方法只是提供網(wǎng)站安全檢測(cè)的具體參考意見(jiàn)。1.5.代碼審計(jì)1.5.1.簡(jiǎn)介代碼審計(jì)是找到應(yīng)用缺陷的過(guò)程。其通常有白盒、黑盒、灰盒等方式。白盒指通過(guò)對(duì)源代碼的分析找到應(yīng)用缺陷，黑盒通常不涉及到源代碼，多使用模糊測(cè)試的方式，

2、而灰盒則是黑白結(jié)合的方式。1.5.2.常用概念1.5.2.1.輸入應(yīng)用的輸入，可以是請(qǐng)求的參數(shù)（GET、POST等）、上傳的文件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等用戶可控或者間接可控的地方。而后，DahseJ等人設(shè)計(jì)了RIPS，該工具進(jìn)行數(shù)據(jù)流與控制流分析，結(jié)合過(guò)程內(nèi)與過(guò)程間的分析得到審計(jì)結(jié)果，相對(duì)危險(xiǎn)函數(shù)匹配的方式來(lái)說(shuō)誤報(bào)率少了很多，但是同樣的也增加了開(kāi)銷。1.5.3.3.灰盒分析國(guó)內(nèi)安全研究員fate0提出了基于運(yùn)行時(shí)的分析方式，解決了控制流分析實(shí)現(xiàn)