代码审计☞工具的准备工作

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了代码审计☞工具的准备工作相关的知识,希望对你有一定的参考价值。

    最近在做一些php代码审计的工作,在进行正式的代码审计之前,我推荐一套PHP代码审计全家桶:火狐浏览器 + sublime text + PHPstudy + Navicat premium + K8-WEB编码工具 + burp suite代理工具。

    火狐浏览器:免费开源(有点搞笑啦,浏览器都是免费的),重点是火狐浏览器存在很多有利的插件,不然我是不会放弃Chrome的。火狐插件:Foxyproxy、Hackbar、Modify Headers、User Agent Switcher、FireBug等。

    编辑器sublime:编辑器看个人喜好吧,我喜欢用VIM,也喜欢用sublime text,主要是好看,有丰富的插件、轻量化。sublime text插件:CTags、PHPTidy、Alignment、ConvertToUtf-8等。

    PHPstudy:PHP的平台不太熟悉,作为新手觉得phpstudy还是特别良心的,我喜欢用。

    Navicat premium:这是一个SQL集中管理的平台,很方便尤其是对需要切换使用不同的SQL数据库的安全人员,破解方法网上一大堆,自己找就行了。

    K8-WEB编码工具:K8是最近听大牛推荐的,还没有使用,但是,光是看功能就知道这也是一个款让安全人员爱不释手的编码工具,各种编码一应俱全,可谓全能编码,值得拥有。

    burp suite代理工具:可以进行半自动漏洞检测、爬站点目录、修改HTTP等操作,功能异常强大,如果你还没听说过,那就赶快进传送门看一看吧:burp传送门


    上面是个人代码审计平台的一些情况,接下来,我要写我刚接触到这些东西时的心路历程。


    CTags插件:我听到这个插件之后便在sublime上安装了一下,然后我就想使用(太急于求成了),网上查资料然后学习使用,使用之后又是一脸茫然,于是我想知道这个插件是干嘛的,我做代码审计为什么要用这款插件。于是,查某度,发现一篇质量很高CTags介绍文章:ctags使用说明详解。关于ctags,那篇博客介绍的很清楚。

    PHPTidy插件:PHPtidy是一款格式化PHP代码的插件,除了可以格式化代码外,还有纠错、过滤的功能。关于PHPtidy也推荐一篇文章:PHP+Tidy-完美的XHTML纠错+过滤

    Alignment插件:这是一个用户自动对齐代码的插件,对于有强迫症的我,这是一个福利哦。具体使用方法自行查找。

    ConverToUtf-8插件:用于将非UTF-8编码的字符转码为UTF-8,如果你的代码在sublime中乱码了,可以用这个插件转码试试哦。

    Hackbar插件:可以用来手工检测SQL注入、XSS等漏洞的插件,插件中有编码模块,很实用。

    Modify Headers插件:这个插件用于操作HTTP头部,改个cookie、host什么的很方便。

    User Agent Switcher插件:用于切换User-Agent头部的插件,有大量的头部可以使用,表面上看跟代码审计没有什么联系,但是,大牛给了推荐一定有他的理由,这个带我学习之后再来补充。

    FireBug插件:增强版的开发人员工具,查HTTP、调试JS、看DOM等等,只能用强大两个字形容。

    FoxyProxy插件:一款代理插件,可以用来翻墙、设置工具的代理,而且,很简单、存包。暂时想不到有别的什么用。

    

本文出自 “execute” 博客,请务必保留此出处http://executer.blog.51cto.com/10404661/1905455

以上是关于代码审计☞工具的准备工作的主要内容,如果未能解决你的问题,请参考以下文章

0-PHP代码审计——通用代码审计的思路

PHP代码审计18—PHP代码审计小结

实验一: 代码审计

Java代码审计入门篇

代码审计那些代码审计的思路

代码审计思路之PHP代码审计