Question

根据敏感函数来逆向追踪参数的传递过程，是目前使用得最多的一种方式，因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏洞，如 SQL 注入，也有一些特征，比如 Select、Insert 等，再结合 From 和 Where 等关键字，我们就可以判断这是否是一条 SQL 语句，通过对字符串的识别分析，就能判断这个 SQL 语句里面的参数有没有使用单引号过滤，或者根据我们的经验来判断。像 HTTP 头里面的 HTTP_CLIENT_IP 和 HTTP_X_FORWORDFOR 等获取到的 IP 地址经常没有安全过滤就直接拼接到 SQL 语句中，并且由于它们是在$_SERVER 变量中不受 GPC 的影响，那我们就可以去查找 HTTP_CLIENT_IP 和 HTTP_X_FORWORDFOR 关键字来快速寻找漏洞。

这种方式的优点是只需搜索相应敏感关键字，即可以快速地挖掘想要的漏洞，具有可定向挖掘和高效、高质量的优点。

其缺点为由于没有通读代码，对程序的整体框架了解不够深入，在挖掘漏洞时定位利用点会花费一点时间，另外对逻辑漏洞挖掘覆盖不到。