网安工具系列：Seay源代码审计（静态代码审计工具）

Seay源代码审计（静态代码审计工具）

• Seay源代码审计
• • Seay源代码审计
  • • 1、Seay的介绍
    • 2、Seay源代码审计系统的安装
    • 3、基本使用教程以及案例
    • • 3.1 基本使用教程
      • • 1、新建项目
        • 2、选择相应的文件打开，自动审计，然后开始
        • 3、扫描结束，发现有59个可疑漏洞
        • 4、点击生成报告
        • 5、选择报告保存位置
        • 6、生成报告成功，并在桌面生成报告
        • 7、打开报告
        • 8、结果如下
        • • 审计结果：发现可疑漏洞总数:59个
      • 3.2 漏洞分析–暴力破解漏洞
      • • 1、找到 low.php
        • • 2、注入绕过
        • 3.3 sql注入
        • • 1、选中相关的漏洞，双击漏洞信息，以sql注入为例
          • 2、点击View Source按钮生成源码，定位代码中可能存在漏洞的部分
          • 3、打开生成的报告，报告包含漏洞描述、文件路径和漏洞详细，选择163行，命令执行漏洞进行测试。首先，会将输入ip给了target，然后第十九行会ping一下target。
          • 4、根据以上使用Seay系统对sql注入漏洞的分析，可知如果存在漏洞，就会Ping一下这个ip。我这里选的Ip为127.0.0.1，在靶场中输入
          • 5、点击View Source生成源码，并对源码进行分析。
          • 6、与Seay分析的结果进行比较，发现一样。
    • 后言

---

Seay源代码审计

Seay源代码审计

1、Seay的介绍

Seay这是基于C#语言开发的一款针对PHP代码安全性审计的系统，主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞，基本上覆盖常见PHP漏洞。另外，在功能上，它支持一键审计、代码调试、函数定位、插件扩展、自定义规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。

Seay源代码审计系统主要特点如下：

（1）一键自动化白盒审计，新建项目后，在菜单栏中打开“自动审计”即可看到自动审计界面。点击“开始”按钮即可开始自动化审计。当发现可疑漏洞后，则会在下方列表框显示漏洞信息，双击漏洞项即可打开文件跳转到漏洞代码行并高亮显示漏洞代码行