四、总结

上面这些例子主要是笔者实践经验的一些总结，不一定全面，希望能给大家拓展一些思路；比如上述提到的二次注入，$settingnew['seccodedata']['type']这个变量没过滤，$settingnew的其他数组也可能没过滤，也确实存在多处类似的问题，大家可以自行去尝试一下。关于代码审计的方法主要有两个大方向：(1)危险函数向上追踪输入；(2)追踪用户输入是否进入危险函数；这里的危险函数关于危险函数主要包括代码执行相关：eval、assert，文件包含：include、require等，命令执行：system、exec等，写文件：fwrite、file_put_contents等；

代码审计的方法这里推荐两篇文章：

https：//code.google.com/p/pasc2at/wiki/SimplifiedChinese

http：//wenku.baidu.com/view/c85be95a3b3567ec102d8a12.html

五、反思

1、一切输入都是有害的；

后台程序的用户输入相比前台主要增加了后台表单的数据，此外有些后台支持上传文件(如dz1.5的自定义sql)，上传文件的内容也属于输入；这些输入都属于用户范围。一定要做严格的控制和过滤。

2、安全意识；

其实很多漏洞的产生并不是技术问题导致的，而是我们缺乏安全意识，不重视安全而酿成的惨剧。尤其是第三个和第四个，完全不应该发生；需要对开发人员做安全宣导和基本的安全培训。

3、漏洞Review；

(1)开发人员收到漏洞后要对漏洞产生的原因做总结，并Review代码中是否有类似的问题。有些时候开发人员仅仅是修补了安全人员或白帽子提供的漏洞点，另外一处代码有类似的问题没修补继续爆出漏洞，无穷无尽。这样做还会带来更大的隐患，黑客是非常乐意并擅长总结反思的，每一个补丁其实也是给黑客拓展了思路，如果修补不完全后果很严重。

(2)开发人员修补完成后安全人员需要进行测试确认，上述的案例四就是鲜明的例子。有条件的情况下安全人员应该整理一些常见漏洞修复指引，这样也可以提高工作效率。

(责任编辑：安博涛)