代码审计

• 代码审计
  1、获取最新、完整的源代码，框架设计文档、API接口文档、数据库设计文档等。
  2、获取项目的依赖库、框架、及版本，查询已知的第三方漏洞。
  3、自动化扫描、人工审计。用户登录、权限校验、支付流程、文件上传、API接口等关键功能。
  4、所有用户可控的输入点开始。追踪数据传递和处理过程、直到被利用。
  5、常见函数及API：SQL注入函数、命令执行函数、跨站脚本函数、文件路径遍历、反序列化、XXE等等。
  5、逻辑漏洞：越权、条件竞争、密码逻辑等