php代码审计-1

一、环境搭建&工具基本使用

---

1、常用工具介绍

---

常用工具介绍如下：

        PHPStorm编辑器 

        动态调试 

        小皮面板

        oneagentProcess 

        Fortify 

        rips 

        Seay源代码扫描审计系统 

        源码比较工具

2、工具的安装和使用

---

        需要安装的工具小皮面板大家都会，至于phpstorm大家可以自行找破解版的或者破解脚本或者试用版的，接下来说相关的如何使用。

        phpstorm工具使用：

        全局搜索：Ctrl+Shift+F（经常用在追踪敏感函数的功能）

        然后是区分是否为框架源码，可以通过源码图标进行判断。也可以通过源码中是否有Class类进行判断。非框架当中是没有Class类的。而框架源码当中是有的。

        PHP动态调试

        动态调试是代码审计中必不可少的内容，可以在开源的源码当中进行动态调试，当是一个闭源的源码的时候，以phpstudy为例也可以用phpstudy搭建起来进行动态调试。