代码审计 企业级Web代码安全架构 可惜php 没那么熟了，正好从逆向角度复习，开始看代码审计

 

使用phpstudy

 

这么多漏洞。。。

 

 

 

 

 

 

 

常见的代码审计思路：

 

就是寻找功能边界吧，做好边界，特别是敏感边界（内外交互）的审查00000000000000000

不相信 任何输入，特别是表达能力强的输入，比如sql，反序列化，缓存对应的指令，浏览器执行的js

跨站脚本攻击

 

 csrf 跨站请问伪造

 

 

文件操作漏洞

   执行流程跑到了  用户想到的地方，比如包含，上传代码，删除，下载，exec指令，

 变量覆盖

认证错误

 

 

没实际的需求，看不下去啊，改天找找java 和node 的代码审计，还有.net和python

，