代码审计笔记之开篇

思想

代码审计是从软件测试发展而来，早起一般采用常规软件测试与渗透测试的手段来发现源码漏洞，但是随着软件规模的越来越大，架构越来越复杂，安全漏洞和后门也越来越多越来越隐蔽，这使得传统的软件测试方法很难检出源码源码中的安全漏洞，于是通过源码来识别程序中安全漏洞的思想开始出现。可以说代码审计的出现有效解决了传统测试与渗透测试无法“细致入微”经常出现漏测的问题。

要求

既然是通过源码来识别程序中的漏洞，那么对于人员也就有了较高的要求，总结来讲以下四点，我们可以有针对的进行学习。
1、漏洞理解能力；
对于漏洞成因的深入理解，是Web漏洞挖掘的基础，而且Web应用中的漏洞在不同语言中表现形式基本一致，这使得这项能力的培养性价比非常高。
2、源码阅读能力；
能够通过阅读源码，理解其中逻辑。并且能够通过阅读文档和提问解决遇到的问题。
3、动态调试能力；
在代码逻辑复杂的情况下，通过多次调试或关键位置设置断点辅助理解源码逻辑。
4、工具使用能力；
主要为自动化代码审计工具与开发工具，因为当前代码审计的开展方式一般采用自动化+人工的方式进行，所以自动化审计工具与开发工具都需要会用。

方法

据统计，由输入数据引发的安全问题，在源代码安全漏洞中占比高达90%。所以源码审计的核心思路在于跟踪这些外部输入，是否被安全的处理。具体方法有。

通读代码法

通读代码的主要是使用先整体后局部的方法，对的整体架构以及具体业务功能进行分析；

先整体

源码框架分析
了解源码使用的底层框架（如gin，spring，django等），根