一、課程介紹
這門課程是結合工作所需要設計出來的,比較適合代碼審計入門指導。在本課程中,前兩個部分系統的講解代碼審計入門的一些基礎知識:代碼審計環境的準備、代碼審計的一般步驟、INI文件的安全配置、一些常見的危險函數、常用Web的漏洞類型、掌握相關審計工具的使用。第三部分重點實戰演示常用Web漏洞類型的代碼審計過程。
大部分人雖然能基本看懂一般的PHP代碼,但是對PHP代碼安全審計還是找不找北,看不太懂別人的漏洞分析,不知道該怎么入手,那么學習這門課程之后可以認知對代碼審計有一個清晰的認知。
二、課程大綱
1、環境準備
2、審計方法與步驟
3、常見的INI配置
4、常見危險函數及特殊函數(一)
5、常見危險函數及特殊函數(二)
6、XDebug的配置和使用
7、命令注入
8、安裝問題的審計
9、SQL數字型注入
10、XSS后臺敏感操作
11、文件包含漏洞的審計
12、任意文件讀取
13、越權操作
14、登錄密碼爆破
