一、软件分析
seay自动代码审计
数据库监控脚本
二、手动分析
方法一:静态分析
第一步:危险函数
第二步:函数的判断语句分析
第三步:函数值的传递过程
第四步:传递过程中是否有判断缺陷地方
第五步:传递过程中是否有函数值可控的地方
方法二:动态分析
第一步:可能出现问题的功能点
第二步:phpStudy + PhpStorm + XDebug动态调试
第三步:发现漏洞
三、工具
Seay
RIPS
CheckMarx
Fortify
VCG
Kunlun-M
网络安全三年之约
First year
掌握各种原理、不断打新的靶场
目标:edusrc、cnvd
主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/
second year
不断学习、提升技术运用技巧,研究各种新平台
开始建立自己的渗透体系
目标:众测平台、企业src应急响应中心
Third Year
学习最新的知识,建全自己的渗透体系
目标:参与护网(每一个男孩子心中的梦想)
时间:一般5月面试,6/7月开始(持续2-3周)
分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)
