猫头鹰
信安舆情早知道

自动化代码审计的四大思路及简单实现参考

思路一

简单正则匹配危险函数,跟入函数看输入变量是否可控。

优点

简单,可用程序完成不少工作。

缺点

  • 误报多,需要一个个确认输入变量。
  • 不容易发现二次注入之类二次漏洞。

参考

1.seay代码审计工具

2.2

思路二

解析程序语法树,分析危险函数调用关系

优点

  • 纯静态分析,可全由程序处理
  • 可发现漏洞类型全,误报少

缺点

  • 实现难
  • 无法直接处理面向对象类型的代码

参考

RIPS

3

这个rips已经做的很好了,所以还没有自己去实现

思路三

将程序当作黑盒,外部通过工具查找输入,做出各种fuzz。观察并记录黑盒所有操作,如web请求,sql执行记录/错误记录,文件系统变更情况,php代码执行记录。而后和fuzz变量做比对,找出对应结果(或者可以通过时间来找出对应),记下fuzz请求即为漏洞点。

优点

  • 误报较少
  • 无人工

缺点

  • 需要匹配fuzz请求和结果正则(可能需要正则)
  • 需要实现各种记录工具,较难
  • 如何记录fuzz请求和相应结果对应关系??目前可以想到时间或正则,但各有缺点
  • 效率极低

参考

http://cnki.scstl.org/KCMS/detail/detail.aspx?filename=1015528099.nh&dbcode=CMFD&dbname=CMFD2015

这个思路是之前忽然想到的,但是还没有实现,因为觉得效率会极低,没想到知网搜到一个文章……

思路四

通过Hook PHP底层函数,获得PHP执行时的如下信息:

  • 当前函数名称
  • 当前文件名称
  • 当前参数

当执行到危险函数时,跟踪执行流,找到危险函数的参数来源,如果来源可控,且没有过滤函数,那么认为是有漏洞

优点

  • 可以直接分析任何架构的PHP代码
  • 误报低

缺点

  • 需要人工执行程序的各个功能
  • 开发难度高,需开发PHP扩展,目前的几个有关扩展几乎都存在问题

参考

最近写了这个的Demo,不过还没有完全完成,有兴趣的可以跟我一起看看。

4

目前完成了函数栈追述,函数参数可控定位,但是还有一些小问题没有解决。

 

*来源:tdifg  Mottoin小编整理发布

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 自动化代码审计的四大思路及简单实现参考

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们