最近在做一些PHP代码审计的工作,在进行正式的代码审计之前,我推荐一套PHP代码审计全家桶:火狐浏览器 + sublime text + PHPstudy + Navicat premium + K8-WEB编码工具 + burp suite代理工具。
火狐浏览器:免费开源(有点搞笑啦,浏览器都是免费的),重点是火狐浏览器存在很多有利的插件,不然我是不会放弃Chrome的。火狐插件:Foxyproxy、Hackbar、Modify Headers、User Agent Switcher、FireBug等。
编辑器sublime:编辑器看个人喜好吧,我喜欢用VIM,也喜欢用sublime text,主要是好看,有丰富的插件、轻量化。sublime text插件:CTags、PHPTidy、Alignment、ConvertToUtf-8等。
PHPstudy:PHP的平台不太熟悉,作为新手觉得phpstudy还是特别良心的,我喜欢用。
Navicat premium:这是一个SQL集中管理的平台,很方便尤其是对需要切换使用不同的SQL数据库的安全人员,破解方法网上一大堆,自己找就行了。
K8-WEB编码工具:K8是最近听大牛推荐的,还没有使用,但是,光是看功能就知道这也是一个款让安全人员爱不释手的编码工具,各种编码一应俱全,可谓全能编码,值得拥有。
burp suite代理工具:可以进行半自动漏洞检测、爬站点目录、修改HTTP等操作,功能异常强大,如果你还没听说过,那就赶快进传送门看一看吧:burp传送门
上面是个人代码审计平台的一些情况,接下来,我要写我刚接触到这些东西时的心路历程。
CTags插件:我听到这个插件之后便在sublime上安装了一下,然后我就想使用(太急于求成了),网上查资料然后学习使用,使用之后又是一脸茫然,于是我想知道这个插件是干嘛的,我做代码审计为什么要用这款插件。于是,查某度,发现一篇质量很高CTags介绍文章:ctags使用说明详解。关于ctags,那篇博客介绍的很清楚。
PHPTidy插件:PHPtidy是一款格式化PHP代码的插件,除了可以格式化代码外,还有纠错、过滤的功能。关于PHPtidy也推荐一篇文章:PHP+Tidy-完美的XHTML纠错+过滤
Alignment插件:这是一个用户自动对齐代码的插件,对于有强迫症的我,这是一个福利哦。具体使用方法自行查找。
ConverToUtf-8插件:用于将非UTF-8编码的字符转码为UTF-8,如果你的代码在sublime中乱码了,可以用这个插件转码试试哦。
Hackbar插件:可以用来手工检测SQL注入、XSS等漏洞的插件,插件中有编码模块,很实用。
Modify Headers插件:这个插件用于操作HTTP头部,改个cookie、host什么的很方便。
User Agent Switcher插件:用于切换User-Agent头部的插件,有大量的头部可以使用,表面上看跟代码审计没有什么联系,但是,大牛给了推荐一定有他的理由,这个带我学习之后再来补充。
FireBug插件:增强版的开发人员工具,查HTTP、调试JS、看DOM等等,只能用强大两个字形容。
FoxyProxy插件:一款代理插件,可以用来翻墙、设置工具的代理,而且,很简单、存包。暂时想不到有别的什么用。