Question

这是笔者基于 C#语言开发的一款针对 PHP 代码安全性审计的系统，主要运行于 Windows 系统上。这款软件能够发现 SQL 注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS 跨站、信息泄露、任意 URL 跳转等漏洞，基本上覆盖常见 PHP 漏洞。另外，在功能上，它支持一键审计、代码调试、函数定位、插件扩展、自定义规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。主界面如图 2-9 所示。

图 2-9

Seay 源代码审计系统主要特点如下：

1）一键自动化白盒审计，新建项目后，在菜单栏中打开“自动审计”即可看到自动审计界面。点击“开始”按钮即可开始自动化审计。当发现可疑漏洞后，则会在下方列表框显示漏洞信息，双击漏洞项即可打开文件跳转到漏洞代码行并高亮显示漏洞代码行，如图 2-10 所示。

图 2-10

2）代码调试，代码调试功能极大地方便了审计师在审计过程中测试代码。可以在编辑器中选中代码，然后点击右键选择“调试选中”即可将代码在调试界面打开，如图 2-11 所示。

3）正则编码，Seay 源代码审计系统集成了实时正则调试功能，考虑到特殊字符无法直接在编辑框进行输入，在实时正则调试功能中还支持对字符串实时解码后调试。另外，支持 MD5、URl、Base64、Hex、ASCII、Unicode 等多种编码解码转换功能，如图 2-12 所示。

4）自定义插件及规则，Seay 源代码审计系统支持插件扩展，并且插件的开发非常简单，只需要将插件的 dll 文件放入到安装目录下的 plugins 文件夹内即可自动加载插件。目前自带插件包括黑盒+白盒的信息泄露审计以及 MySQL 数据库执行监控。

图 2-11

图 2-12

除了上述功能外，它还支持自定义审计规则，在规则配置界面中即可添加或修改以及禁用、删除规则，还可针对审计过程做很多审计习惯优化，使得程序简单容易上手。