代码审计是企业安全运营以及安全从业者必备的基本技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了漏洞挖掘方法,而且在代码层和功能设计层剖析了各种安全漏洞的成因与预防策略。对应用开发人员和安全技术人员都有参考价值。
主要内容
·代码审计前的准备,包括代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法。
·代码审计需要的工具,以及这些工具的详细使用方法。
·PHP代码审计中漏洞挖掘的思路与防范方法。
·常见漏洞的审计方法,涵盖SQL注入、XSS、CSRF、文件操作、代码/命令执行、变量覆盖、会话认证以及逻辑处理等等漏洞。
·二次漏洞的挖掘方法,以及代码审计过程中的一些常用技巧。
·介绍如何写出更安全的代码,包括参数的安全过滤、常用的加密算法、功能的安全设计、应用安全体系构建等。