代碼審計方法有哪些

代碼審計方法有：

• 通讀全文法：通讀全文發作為一種最麻煩的方法也是最全面的審計方法。特別是針對大型程序,源碼成千上萬行,這要讀到什么時候。但是該方法也是一種必要的方法。了解整個應用的業務邏輯,才能挖掘到更多更有價值的漏洞。這種方法一般是企業對自身產品的審計 ,當然,對于小型應用,未嘗不可以讀一讀。

• 敏感函數參數回溯法( shell_ exec )：根據敏感函數,逆向追蹤參數傳遞的過程。這個方法是最高效,最常用的方法。大多數漏洞的產生是因為函數的使用不當導致的。我們只要找到這樣的一些使用不當的函數 .就可以快速挖掘想要的漏洞。

• 定向功能分析法：該方法主要是根據程序的業務邏輯來審計的。是用瀏覽器逐個訪問瀏覽,看看這套程序有那些功能。根據相關功能,大概推測可能存在那些漏洞。常見功能漏洞: (包括但不限于)程序初始安裝、站點信息泄漏、文件上傳、管理、登陸認證、權限管理、數據庫備份恢復、找回密碼、驗證碼。

回答所涉及的環境：聯想天逸510S、Windows 10。