基于Seay的PHP源代码审计

一、实验综述

1.实验目的及要求

（1）掌握源代码分析的基本原理
（2）掌握Seay工具的使用
（3）结合源代码分析原理对DVWA平台的代码进行分析

2.实验仪器、设备或软件

VMWARE、
win7虚拟机、
phpstudy、
DVWA-master

3.实验原理

• php代码审计对php源代码进行审查，理解代码的逻辑，发现其中的安全漏洞。如审计代码中是否存在sql注入，则检查代码中sql语句到数据库的传输 和调用过程。还有一些危险的系统函数,上传,执行函数等。
• 这是一款基于C#语言开发的一款针对PHP代码安全性审计的系统，主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞。
• Seay源代码审计系统主要特点：
  （1）一键自动化白盒审计
  （2）代码调试
  （3）正则编码
  （4）自定义插件及规则

二、实验过程（步骤过程、数据记录）

1.步骤

（1）使用ipconfig查看虚拟机IP地址，我的虚拟机的IP地址192.168.45.128