自动化代码审计的四大思路及简单实现参考

思路一

简单正则匹配危险函数,跟入函数看输入变量是否可控。

优点

简单,可用程序完成不少工作。

缺点

  • 误报多,需要一个个确认输入变量。
  • 不容易发现二次注入之类二次漏洞。

参考

1.seay代码审计工具

2.2

思路二

解析程序语法树,分析危险函数调用关系

优点

  • 纯静态分析,可全由程序处理
  • 可发现漏洞类型全,误报少

缺点

  • 实现难
  • 无法直接处理面向对象类型的代码

参考

RIPS

3

这个rips已经做的很好了,所以还没有自己去实现

思路三

将程序当作黑盒,外部通过工具查找输入,做出各种fuzz。观察并记录黑盒所有操作,如web请求,sql执行记录/错误记录,文件系统变更情况,php代码执行记录。而后和fuzz变量做比对,找出对应结果(或者可以通过时间来找出对应),记下fuzz请求即为漏洞点。

优点

  • 误报较少
  • 无人工

缺点

  • 需要匹配fuzz请求和结果正则(可能需要正则)
  • 需要实现各种记录工具,较难
  • 如何记录fuzz请求和相应结果对应关系??目前可以想到时间或正则,但各有缺点
  • 效率极低

参考

http://cnki.scstl.org/KCMS/detail/detail.aspx?filename=1015528099.nh&dbcode=CMFD&dbname=CMFD2015

这个思路是之前忽然想到的,但是还没有实现,因为觉得效率会极低,没想到知网搜到一个文章……

思路四

通过Hook PHP底层函数,获得PHP执行时的如下信息:

  • 当前函数名称
  • 当前文件名称
  • 当前参数

当执行到危险函数时,跟踪执行流,找到危险函数的参数来源,如果来源可控,且没有过滤函数,那么认为是有漏洞

优点

  • 可以直接分析任何架构的PHP代码
  • 误报低

缺点

  • 需要人工执行程序的各个功能
  • 开发难度高,需开发PHP扩展,目前的几个有关扩展几乎都存在问题

参考

最近写了这个的Demo,不过还没有完全完成,有兴趣的可以跟我一起看看。

4

目前完成了函数栈追述,函数参数可控定位,但是还有一些小问题没有解决。

 

*来源:tdifg  Mottoin小编整理发布

原创文章,作者:Moto,如若转载,请注明出处:http://www.mottoin.com/86403.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code