上一篇中提到的Seay源代码审计系统是由C#编写的winform程序,现在已经停止更新了,但是,还是比较好用的。
PHP代码审计还有另一个工具,也是一个神器Rips
最主要的是Seay只能在windows上使用,而Rips是跨平台的,通俗点说,他是使用PHP编写的的一个站点,直接部署到服务器上就可以了。
官方网站:rips-scanner.sourceforge.net/
首先,将他部署在你本地或者线上的环境中,使他能够运行起来。站点运行如下图所示:页面语言是英文,我这里使用谷歌浏览器。
将你需要审计的项目目录填写到对应位置,点击扫描,如下图所示:
点击继续,等待一段时间(具体多长时间,看你文件多少),结果如下图所示:
我们查看具体漏洞,第一个,注意红框标注位置的三个按钮。
第一个按钮是溯源,找到有漏洞的代码在文件中的位置
横向第二个按钮是折叠代码,这个不做描述。
下边问号那个按钮是查看帮助,(这也是最有用的)
在帮助说明中会解释什么是文件包含漏洞,漏洞是如何产生的,漏洞的样例代码。
也可以参照这里给出的代码样例,对你的代码进行修改。
另外,这套系统还有全局搜索功能,这个无非就是正则匹配,但是功能很强大。如下图所示:
以上就是这套系统的基本功能,很强大,至于其他功能,后期再使用的过程中在慢慢挖掘好了,这套系统与上一篇中看得seay相比,我觉得功能侧重点各不相同,各有有各的套路吧。反正,对我这小白来说,都是神器。
有好的建议,请在下方输入你的评论。
欢迎访问个人博客 guanchao.site
欢迎访问我的小程序:打开微信->发现->小程序->搜索“时间里的”
