首要给咱们介绍几款，代码审计常用到的东西，来进行辅佐剖析和代码发掘。首要咱们介绍的是榜首款。

咱们选用的是window集成环境，关于php集成环境，咱们能够自行挑选，我这儿演示只给咱们演示wamp。网上有许多这样的集成环境，google一下就出来许多，比较简略，就不给咱们逐个演示了。直接进入咱们课题。

①rips，在静态代码审计中，比较有用。

上面有一个path，只需把你电脑代码相对应的途径放到里边，即可进行检测。比较便利简略，有时候其他东西，和手艺检测不出来什么问题时，能够用rips来简略审计下，有意想不到的效果。

这个是咱们相对应的缝隙代码，效果和视觉都是不错的了。当单击sql注入时，它会界说到相关代码方位。

只需剖析相关代码，就会发现sql注入了，在结合全体代码进行剖析。

②第二个东西，咱们简略介绍一下CodeXploiter.exe，这个东西是绿色版的，比较小，用起来也比较简略。

这个是东西的截图，大约分为四个点，调用文件、缝隙类型、自界说、以及变量设置。咱们能够依据实践需求，来更改设置。首要是两个过程，榜首调用你php代码，别的直接点击扫描按钮即可。

现在只检测单逐个个文件，进行危险点检测。

会检测出来注入点在哪一行，那个函数以及变量，相对来说，辅佐效果适当不错。假如咱们有爱好，能够自行下载。有时候，有一些小伙伴也会挑选seay法师写出来的那个代码审计东西，来进行扫描，在这儿，小编也只能说，任何一个东西也不是十分完美的，只能起一个辅佐效果。真实的仍是静下心来，渐渐看代码，剖析代码，查找问题。这样才会提高会一些。

③咱们在介绍一个seay的那个，需求留意哪些，要点怎样剖析，大约的界面是这个姿态。

只需把源码拉到，源码列表就能够进行剖析了。

首要看下面文件途径和灵敏函数。依据下面的提示，咱们一个一个找吧，说不准会有惊喜。

其实在东西菜单里边，有一个扫描装备，里边有很多php函数，咱们能够把里边函数整理成一个表格，回忆一下，这样对咱们阅览要害代码有事半功倍的成效。

东西介绍介绍完今后，给咱们简略介绍一下，怎么选一款编辑器。现在有几款供咱们挑选，不过小编经常用notepad++这个编辑器，用起来功用和审计比较好，假如你有editplus和subline也不错哈，依据个人自己习气，来进行挑选。

这个是咱们的界面，看起来是不是也比较清新呢。咱们常用到的功用是在整个文件夹里边查找灵敏变量或许函数，比方$_GET、$_post等操控量比较大的函数。

别的还有一个不错的功用是，双屏比照，感觉想过适当好。只需在选项卡里边下拉就能够完成。

这样剖析起来比较快也比较好。

④最终给咱们介绍一个商业代码审计东西，checkmax，这个东西功用也十分强壮。能够审计各种类型代码，一般只要大公司或许才会花费大的价钱来购买此产品，进行安全保护。

Checkmarx CxEnterprise（CheckmarxCxSuite）是一个共同的源代码剖析解决方案，该东西可用于辨认、盯梢和修正源代码中技术上和逻辑上的缺点，比方软件安全缝隙、质量缺点问题和事务逻辑问题等。

[1] [2]  黑客接单网