代码审计

一、基础

代码审计工作流程 配置分析环境→熟悉业务流程→分析程序架构→工具自动化分析→人工审计结果→报告

JSP生命周期 客户端请求→web服务器→JSP容器→JSP网页→JSP网页实现类(.java)→JSP网页实现类(.class)→HTML→客户端请求

JAVA内置对象 无需声明直接使用: request,response,pageContent,session,application,out,config,page,exception

JAVA中危险函数: 常用的高危函数: getParameter(),getcookies(),getQueryString(),getheaders(),Runtime.exec(),logger.info 可能存在危险的方法: password,upload,download

二、工具——Fortify

简介:

  1. Fortify Manager 软件安全信息综合管理平台

  2. 集中化管理

  3. 有洞察力的报告

支持语言: ABAP,ASP.NET,C,C++,C#,Classic ASP,COBOL,ColdFusion,Flex/ActionScript,Java,JavaScript/AJAX,JSP,Objective C,PL/SQL,PHP,Python,T-SQL,VB.NET,VBScript,VB6,XML/HTML

上一页Tomcat 内存马检测下一页代码审计指南

最后更新于