Web安全漏洞及代碼審計（微課版）

代碼審計是企業安全從業人員必需的基本技能。在企業安全操作、滲透測試、漏洞研究等各項工作中，都需要進行代碼審計。本書圍繞代碼審計前的準備工作、PHP代碼審計中的流程和常見漏洞審計、漏洞的審計方法等環節精心組織內容，通過套用案例，讓讀者深刻體會代碼審計的重要作用。

本書內容分為3部分。第1部分介紹代碼審計前的準備工作，包括第1章“環境配置”和第2章“工具使用”;第2部分介紹PHP代碼審計中的流程和常見漏洞審計，包括第3章“審計流程”;第3部分介紹漏洞的審計方法，包括第4章“SQL注入漏洞審計”、第5章“跨站腳本攻擊漏洞審計”、第6章“跨站請求偽造漏洞審計”、第7章“服務端請求偽造漏洞審計”、第8章“XML外部實體注入漏洞審計”、第9章“代碼執行漏洞審計”、第10章“命令執行漏洞審計”、第11章“反序列化漏洞審計”、第12章“任意檔案上傳漏洞”、第13章“檔案包含漏洞審計”、第14章“檔案操作類漏洞審計”、第15章“其他類型漏洞審計”、第16章“框架漏洞審計”。

第1部分

第1章 環境配置 1

1.1 知識準備 1

1.1.1 代碼編輯工具 1

1.1.2 WAMPWNMP環境搭建 3

1.1.3 LAMP環境搭建 4

1.1.4 PHP核心配置 4

1.2 實戰演練——Windows環境部署 8

1.2.1 安裝運行 8

1.2.2 目錄結構 9

1.2.3 主界面 9

1.2.4 切換版本 10

1.2.5 站點配置 10

1.2.6 修改hosts域名解析檔案 11

1.2.7 PHP擴展設定 11

1.2.8 MySQL管理 11

1.2.9 phpMyAdmin 12

1.3 強化訓練——Linux環境部署 13

1.3.1 一鍵安裝腳本 13

1.3.2 安裝部署 13

1.3.3 相關操作 14

1.3.4 訪問面板 14

1.3.5 軟體管理 14

1.3.6 資料庫 15

1.3.7 部署服務 16

1.4 課後實訓 16

第2章 工具使用 17

2.1 知識準備 17

2.1.1 代碼編輯工具 17

2.1.2 代碼審計工具 19

2.1.3 輔助驗證工具 28

2.2 實戰演練——Seay原始碼審計系統審計DVWA 36

2.2.1 DVWA簡介 36

2.2.2 環境搭建 36

2.2.3 使用工具審計 40

2.3 強化訓練——RIPS審計DVWA 42

2.3.1 RIPS環境的本地搭建 42

2.3.2 使用工具審計 43