代码审计 企业级Web代码安全架构 可惜php 没那么熟了,正好从逆向角度复习,开始看代码审计
作者:互联网
使用phpstudy
这么多漏洞。。。
常见的代码审计思路:
就是寻找功能边界吧,做好边界,特别是敏感边界(内外交互)的审查00000000000000000
不相信 任何输入,特别是表达能力强的输入,比如sql,反序列化,缓存对应的指令,浏览器执行的js
跨站脚本攻击
csrf 跨站请问伪造
文件操作漏洞
执行流程跑到了 用户想到的地方,比如包含,上传代码,删除,下载,exec指令,
变量覆盖
认证错误
没实际的需求,看不下去啊,改天找找java 和node 的代码审计,还有.net和python
,
标签:审计,跨站,边界,代码,企业级,漏洞,指令 来源: https://www.cnblogs.com/sphere498/p/16616358.html