網站程式碼漏洞審計挖掘與修復方法

國內學習漏洞挖掘的習慣所謂奠定基礎，學習各種程式設計書籍，然後學習漏洞挖掘，問題是不可能控制學習程式設計的程度。其次，外國學生通常必須學習這一過程，初學者最好不要上手就去搞漏洞挖掘，因為漏洞挖掘需要很多的系統基礎知識和一些理論知識做鋪墊，而且難度較大，較合理的途徑應該從漏洞利用入手，不妨分析一些公開的CVE漏洞。很多漏洞都有比較好的資料，分析研究的多了，對漏洞的認識自然就不同了，然後再去搞挖掘就會易上手一點！俗話說：“磨刀不誤砍柴工”，就是這麼個理兒。對於有一些基礎知識的初學者，應該怎樣進行漏洞挖掘呢？

因為我們不會深入研究程式設計技術，所以我們主要學習漏洞挖掘。我想從掌握語言基本語法的概念開始，使用函式，編寫一些演示。用底部檢視前面的漏洞分析文章，過程中會發現勞動點，從而使目的遵循相關的程式設計點。而不是小吃程式設計書。

例如，學習php漏洞挖掘：首先掌握php的基本語法，並經常使用php函式編寫一些演示常用的php函式。然後開始檢視以前的php應用程式漏洞分析文章，從基本漏洞開始，比如簡單的get、post，由於強制轉換而沒有intval或sql注入，比如沒有html特殊char引起的簡單xss。看看這些基本的東西，我們已經受夠了。

然後我們研究了一些更高階的漏洞的使用，比如覆蓋漏洞的各種變數，比如由unserialize引起的程式碼執行，我們可能首先會發現這些漏洞很困難。您需要回頭看看函式的確切使用情況，例如匯出、變數生成$re請求的過程以及unserialize函式的執行過程。然後去看看以前的技術文章會開啟。這只是一個基本的php漏洞挖掘，然後嘗試檢視框架中的一些漏洞分析，例如涉及oop知識的thinkphp，然後回去學習phpoop程式設計，然後繼續。在這樣一個迴圈中，在學習利用漏洞而學習程式設計的同時，這種效率和效果要比第一次簡單的學習程式設計要好得多。這也是國內外技術人員研究的一大差異，國內喜歡研究的理論基礎，而國外關注的應用第一，在應用過程中遇到的困難學習的理論基礎。更多想要對網站程式碼進行漏洞挖掘以及滲透測試安全的朋友可以到網站安全公司去尋找服務，國內做的很不錯的如SINESAFE,綠盟，鷹盾安全，啟明星辰等都是對網站安全以及APP安全精通的。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2711339/，如需轉載，請註明出處，否則將追究法律責任。