審計方法與步驟

2021-09-24 14:45:59 字數 1415 閱讀 6528

***審計方法與步驟***
–>審計前的準備:審計原始碼不是拿到了原始碼就馬上去看,首先我們需要去對**有個了解,去了解它的結構.

1.先去看原始碼的資料夾.看它的目錄,目錄裡博包含了什麼檔案.

2.開始分析這些檔案,大致了解它包含了什麼功能

3.然後找到入口的檔案(indx.php,admin.php),通過檔案去了解程式的架構,執行的流程等.

4.看配置檔案(config.php),可以獲得一些資料庫的相關資訊.

5.看公共函式檔案和安全過濾檔案,了解使用者輸入的資料,哪些被過濾,哪些沒有過濾,怎麼過濾的,在哪給地方過濾了等等.

**的結構

首先開啟index.php:

–>首先判斷是否存在"module":

存在就會顯示一些基本的資訊.

然後去看config.php檔案,然後開始判斷是否存在"lock"檔案:

如果不存在就跳過就跳轉到安裝檔案:

然後"lib.php"檔案包含了公共函式:

再往下就是資料庫的資訊:

然後看"lib.php"檔案:

–>判斷是否開啟"gpc":

如果沒有開啟gpc,就需要自己實現gpc功能:

往下看可以看見sqlwaf這個函式:可以過濾一些敏感的字串,防止注入.

繼續往下看:看見"is_pic"這個函式是上傳.

審計的方法:

通常三種常用的方法:

1.通讀全文法.

2.敏感函式引數回溯法(shell_exec).

3.定向功能分析法(安裝問題).

1.通讀全文法是最麻煩的但也是全面的審計方法,它可以了解整個應用的業務邏輯,挖掘更多有價值的漏洞.可以積累豐富的經驗.

2.敏感函式引數回溯法,這個方法是最高效,最常用的方法.根據敏感函式,逆向追蹤引數傳遞的過程.這個方法可以讓你多去了解這些函式,積累經驗.

3.定向功能分析法,這個方法是根據程式的業務邏輯,業務功能來推測它會出現那些漏洞.

審計**需要多實踐,多練,多積累經驗,後便需要自己的邏輯!

Oracle FGA審計記錄的清理步驟

一 確認有哪些fga審計策略,從select from dba audit policies就可以查詢到審計策略,請注意,查詢結果中的每一行,就是乙個審計策略。另外,fga審計記錄存放在這個檢視中 select from dba fga audit trail 該檢視對應的後台基表為 sys.fga...

Oracle FGA審計記錄的清理步驟

一 確認有哪些fga審計策略,從select from dba audit policies就可以查詢到審計策略,請注意,查詢結果中的每一行,就是乙個審計策略。另外,fga審計記錄存放在這個檢視中 select from dba fga audit trail 該檢視對應的後台基表為 sys.fga...

Oracle FGA審計記錄的清理步驟

一 確認有哪些fga審計策略,從select from dba audit policies就可以查詢到審計策略,請注意,查詢結果中的每一行,就是乙個審計策略。另外,fga審計記錄存放在這個檢視中 select from dba fga audit trail 該檢視對應的後台基表為 sys.fga...