团队代码审计小记|代码审计|其他

1.1 审计tricks

  • 至少对常见的漏洞要熟悉,这样才能快速定位到敏感点。
  • 使用自动化审计工具辅助审计,快速寻找常规漏洞,并进行验证分析。
  • 使用常见安全工具来验证漏洞,如BurpSuite、sqlmap、python程序。
  • 状态不好,一定要暂停审计。因为没效率,而且还可能审计不出来,这样会削减你对审计的热情。
  • 审计初期,可以找一些小型的cms来审计,因为小型cms程序结构比较简单,漏洞点可能比较多,能够给自己信心
  • 跟进别人的审计文章,需要动手操作而不是看。在审计的过程中才能发现问题,审计经验是一点点积累出来的,审计的过程中也要注意漏洞发生的位置
阅读更多