上面我写的是“熟悉”,这只是对刚入行的同学说的,作为代码审计来说,熟练编写代码程序是必须的,要想深度化发展,精通一门语言是必经之路。
创新互联公司是一家集网站建设,于都企业网站建设,于都品牌网站建设,网站定制,于都网站建设报价,网络营销,网络优化,于都网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
知识一-变量逆向跟踪
在代码审计中,按业务流程审计当然是必须的,人工的流程审计的优点是能够更加全面的发现漏洞,但是缺点是查找漏洞效率低下。如果要定向的查找漏洞,逆向跟踪变量技术就显得更加突出,如查找XSS、SQL注入、命令执行……等等,逆向查找变量能够快速定位漏洞是否存在,本次已SQL注入为例。
什么是逆向跟踪
顾名思义,逆向跟踪就是对变量的逆向查找,开始全局查找出可能存在漏洞的触发点,然后回溯参数到前端,查看参数来源已经参数传递过程中的处理过程。
代码审计:顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
第一阶段基础理论学习篇安全理论知识安全法律法规操作系统应用计算机网络HTMLJSPHP编程Python编程Docker基础知识
第二阶段web安全知识学习web安全基础知识web安全漏洞及防御企业web安全防护策略
第三阶段渗透测试方法学习渗透测试基础知识渗透测试环境搭建渗透测试工具使用信息收集与社工技巧web渗透中间件渗透内网渗透
第四阶段代码审计代码审计基础知识python代码审计Java代码审计c/c++代码审计代码审计实战
第五阶段安全知识深入加固网络协议安全密码学及应用操作系统安全配置
第六阶段企业安全知识企业安全建设知识学习
主要是需要持之以恒的学习。
可以按照以下五部分来一个一个学习,这些知识可以在B站、相应的大学的公开课可以学得到。
第①部分:包括安全导论、安全法律法规、操作系统应用、计算机网络、HTMLJS、PHP编程、Python编程和Docker基础知识。让初级入门的人员对网络安全基础有所了解。
第②部分:关于Web安全。包含Web安全概述、Web安全基础、Web安全漏洞及防御和企业Web安全防护策略方面的安全知识。让初学者入门学习Web安全知识。
第③部分:关于渗透测试。这个阶段包括的内容有,渗透测试概述、渗透测试环境搭建、渗透测试工具使用、信息收集与社工技巧、Web渗透、中间件渗透和内网渗透等知识。
第④部分:关于代码审计。包括了代码审计概述、PHP代码审计、Python代码审计、Java代码审计、C/C++代码审计和代码审计实战的知识,深入学习各类代码审计的知识。
第⑤部分:关于安全加固。这个阶段的学习,可以深入学习网络协议安全、密码学及应用、操作系统安全配置等方面的重要知识点。