第一章初识代码审计

重点，代码审计的思路

1.接口排查：先找出从外部接口接收的参数，跟踪传递过程，观察是否有参数校验不严的变量传入高危方法中，传递过程是否有代码逻辑漏洞

2.危险方法溯源：检查敏感方法参数，参数的传递预处理，判断参数是否可控并且已经经过严格的过滤

3.功能点定向审计：判断应用常见漏洞，直接审计功能

4.三方组件、中间件版本对比：检查web应用使用的第三方组件或者中间件的版本

5.补丁对比：补丁对比反推漏洞出处

6.黑盒测试+白盒测试：相互辅助

7.工具+人工：没什么好说的

8.开发框架安全审计：框架自身风险