源代码审计有哪些分类
源代码审计有哪些分类
网络安全学习中,源代码审计是较为重要的一项。代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。网络安全越来越重要,学习网络安全技术的人也越来越多。那么网络安全学习中,源代码审计有哪些分类?审计方法有什么?
源代码审计分为白盒、黑盒、灰盒
白盒:拥有源代码进行审计
黑盒:不知道源代码的情况下进行渗透审计
灰盒:介于黑盒与白盒之间
审计方法总结
主要代码审计156方法是跟踪用户6991输入数据和敏感函数3780参数回溯:
跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是,常用的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
提前做好代码审计工作,非常大的好处就是将先于发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起挑战,进一步巩固客户对项目及平台的信赖。
网络安全学习中,源代码审计是较为重要的一项。代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。网络安全越来越重要,学习网络安全技术的人也越来越多。那么网络安全学习中,源代码审计有哪些分类?审计方法有什么?
源代码审计分为白盒、黑盒、灰盒
白盒:拥有源代码进行审计
黑盒:不知道源代码的情况下进行渗透审计
灰盒:介于黑盒与白盒之间
审计方法总结
主要代码审计156方法是跟踪用户6991输入数据和敏感函数3780参数回溯:
跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是,常用的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
提前做好代码审计工作,非常大的好处就是将先于发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起挑战,进一步巩固客户对项目及平台的信赖。
