Question

代码审计是企业安全运营以及安全从业者必备的基础能力

。代码审计在很多场景中都需要用到，比如企业安全运营、渗透测试、漏洞研究等。目前已经有不少公司在推广微软的软件 SDL（Security Development Lifecycle，安全开发周期），它涵盖需求分析→设计→编码→测试→发布→维护，安全贯穿整个软件开发周期，其中设计、编码和测试是整个 SDL 的核心，安全问题大多在这里被解决掉。其中在安全设计这块，必须要非常了解漏洞形成原理，纵观全局。而在代码实现也就是编码阶段，安全依靠于编程人员的技术基础以及前期安全设计的完善性。然后是测试，测试包括白盒测试。黑盒测试以及灰盒测试。黑盒测试也叫功能测试，是指在不接触代码的情况下，测试系统的功能是否有 bug，是否满足设计需求。而白盒测试就是我们说的代码审计，以开放的形式从代码层面寻找 bug，如果发现有 bug 则返回修复，直到没有 bug 才允许软件发布上线。

渗透测试人员掌握代码审计是非常重要的，因为我们在渗透过程中经常需要针对目标环境对 payload 进行调试。另外，如果通过扫描器扫描到 Web 目录下的一个源码备份包，通常攻击者都会利用源码包找一些配置文件，因为里面有数据库、API 等一类配置。如果环境有限制，比如目标站数据库限制连接 IP 等，那么工具小子可能在源码包进行的漏洞利用也就到此为止。对于懂代码审计的人，结果完全不一样，他可以对源码包进行安全审计，发现网站代码里存在的漏洞，然后利用挖掘到的漏洞进行渗透。