2023-11-19 分類: 網站建設
3.2 設置 8
3.3 路徑設置8
3.4 持續時間 8
3.5 設置 8
3.6 固定 9
3.7 CSRF 9
4. 9
4.1 明文存儲密碼 9
4.2 弱密碼加密9
4.3 密碼存儲在攻擊者可訪問的文件中 9
5.認證授權10
5.1用戶認證10
5.2 未經身份驗證的函數或文件調用 10
5.3 密碼硬編碼 10
6. 函數 10
6.1 rand() 10
6.2 () 和 () 11
7.特殊字符和多字節編碼11
7.1多字節編碼11
8.pHp危險函數11
8.1緩沖區溢出11
8.2()刪除文件漏洞12
8.3 ()- 漏洞 12
9.信息泄露 13
9.1 13
10. pHp 環境 13
10.1 設置 13
10.2 設置 13
10.3 設置 13
10.4 設置 14
10.5 設置 14
10.6 設置 14
10.7 設置 14
10.8 d 設置 14
10.9 設置 14
10.10 設置 14
概述
代碼審查是系統地檢查應用程序源代碼的工作。它的目的是找到并修復應用程序
應用程序開發階段存在一些漏洞或程序邏輯錯誤,避免程序漏洞被非法使用,給企業帶來不必要的使用
所需的風險。
代碼審查不僅僅是檢查代碼。審查代碼的目的是為了確保代碼可以安全地訪問信息和資源。
足夠的保護php代碼審核,所以熟悉整個應用的業務流程對于控制潛在風險非常重要。審稿人
您可以使用類似于以下的問題來采訪開發人員以收集應用程序信息。
應用程序中包含什么類型的敏感信息,應用程序如何保護這些信息?
應用程序是在內部還是外部提供服務?誰會使用它,他們都是值得信賴的用戶嗎?
應用程序部署在哪里?
應用程序對業務重要嗎?
最好的方法是制作一個,讓開發者填寫。可以更直觀的體現應用
開發者提供的信息和編碼是安全的,應該覆蓋可能存在嚴重漏洞的模塊php代碼審核,例如:數據驗證、身份
身份驗證、會話管理、授權、加密、錯誤處理、日志記錄、安全配置、網絡架構。
輸入驗證和輸出顯示
大部分漏洞主要是由于無法驗證輸入數據的安全性或輸出數據無法通過安全的地方造成的
更嚴格的數據驗證方式是:
完全匹配數據
接受白名單數據
拒絕列入黑名單的數據
對匹配黑名單的數據進行編碼
用戶可以在pHp中輸入的變量列表如下:
$
$_GET
$
$
$
$
$_ENV
分享文章:代碼審核不是簡單的檢查代碼,審核代碼的原因
網頁網址:http://m.newbst.com/news26/295276.html
成都網站建設公司_創新互聯,為您提供全網營銷推廣、用戶體驗、網站收錄、ChatGPT、App開發、定制網站
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容