PHP代码审计初识-----------前期准备

代码审计   -------  源代码审查

对代码进行安全性分析

        输入/输出的验证 

                sql注入、跨站脚本、文件上传等，大部分基础漏洞

        安全功能

                请求的参数，没有限制范围，导致信息泄露，权限控制，域控制，日志审计等

        程序异常处理

                错误定位等，

 环境搭建

        PHPStudy    小皮，好使就完了

官网：小皮面板(phpstudy) - 让天下没有难配的服务器环境！

windows 下载连接:  https://public.xp.cn/upgrades/phpStudy_64.zip

有需要的，可以下载php手册，自行搜索把

审计辅助工具

就是写编译器 。。。。。   我这里推荐sublime,之后会用sublime来学习

 notepad++   小巧的编译器 

        相关链接:https://notepad-plus-plus.org/

        下载地址Ihttps://notepad-plus-plus.org/download/v7.5.2.html

Phpstorm
相关链接:https://www.jetbrains.com/

下载地址: Thank you for downloading PhpStorm!

 我这下载的是2018 的  

接下来下一步，下一步就行

自行激活

Sublime

        相关网址:Sublime Text - Text Editing, Done Right

代码审计工具

        seay源代码审计工具

网上自己下载吧

        有函数查询，全局搜索   代码调试  等

        扫描

        RIPS

相关网址:       RIPS - free PHP security scanner using static code analysis (sourceforge.net)

 跳转点击下载

         RIPS 是  静态扫描的，基于php运行的，所以我们安装在phpstudy的www下

 这样访问，但是，这个工具，对于面向对象，不是很好

验证辅助工具

Burpsuit   ----安全行业的神器

        浏览器插件

                hackbar 、Firebug 、FoxProxy 、HTTP Header Live

        数据库监控工具

                                看数据库的执行语句

                    vMysqlMonitoring.exe

                    seay 中的 审计插件 里   mysql监控   工具  ，

        编码转换工具

                小葵等，也不是很需要下载 ,,用到的时候自己可以网上找一些，

PHP代码审计靶场

                VAuditDemo

                网上的安装包，需要把里面的文件拖到根目录上，

 搭建完成，

       至此，前期环境准备完成，开始学习吧~~~