學(xué)習(xí)代碼審計(jì)要熟悉三種語言，總共分四部分去學(xué)習(xí)。，編程語言。1.前端語言html/js/dom/元素的使用主要是為了挖掘xss漏洞。jquery主要寫一些涉及CSRF腳本或DOMXSS、JSON劫持等。2.后端語言的基本語法要知道，比如變量類型、常量、數(shù)組(python是列表、元組、字典)、對象、調(diào)用、引用等。，MVC設(shè)計(jì)模式要清晰，因?yàn)榇蟛糠帜繕?biāo)程序都是基于MVC寫的，包括不限于php、python、java。不用寫，但一定能理解，要理解邏輯，知道哪些功能點(diǎn)可以寫，哪些漏洞可能會出現(xiàn)，便于挖掘常規(guī)漏洞，更方便挖掘邏輯漏洞。
弱口令。檢測Web網(wǎng)站的后臺管理用戶，以及前臺用戶，是否存在使用弱口令的情況。

Burpsuite這是一個可以用于攻擊Web應(yīng)用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術(shù)結(jié)合起來，以列舉、分析、攻擊Web應(yīng)用程序，或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作，共享信息，并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。

這篇文章內(nèi)容關(guān)鍵詳細(xì)介紹WAF的一些基本概念。WAF是為維護(hù)根據(jù)Web程序運(yùn)行而設(shè)計(jì)的，我們科學(xué)研究WAF繞開的目地一是協(xié)助安服工作人員掌握滲透檢測中的檢測方法，二是可以對安全機(jī)器設(shè)備生產(chǎn)商出示一些安全提議，立即修補(bǔ)WAF存有的安全難題，以提高WAF的完備性和抗攻擊能力。三是期待網(wǎng)站開發(fā)人員搞清楚并并不是布署了WAF就可以無憂無慮了，要搞清楚系統(tǒng)漏洞造成的直接原因，能在代碼方面上就將其修補(bǔ)。
一、WAF的界定WAF(網(wǎng)站web運(yùn)用服務(wù)器防火墻)是根據(jù)實(shí)行一系列對于HTTP/HTTPS的安全策略來為Web運(yùn)用保護(hù)的一款安全防護(hù)產(chǎn)品。通俗化而言就是說WAF產(chǎn)品里融合了一定的檢測標(biāo)準(zhǔn)，會對每一請求的內(nèi)容依據(jù)轉(zhuǎn)化成的標(biāo)準(zhǔn)開展檢測并對不符安全標(biāo)準(zhǔn)的做出相匹配的防御解決，進(jìn)而確保Web運(yùn)用的安全性與合理合法。

Nikto可以在盡可能短的周期內(nèi)測試你的Web服務(wù)器，這在其日志文件中相當(dāng)明顯。不過，如果你想試驗(yàn)一下(或者測試你的IDS系統(tǒng))，它也可以支持LibWhisker的反IDS方法。不過，并非每一次檢查都可以找出一個安全問題，雖然多數(shù)情況下是這樣的。有一些項(xiàng)目是僅提供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目，不過Web管理員或安全們并不知道。這些項(xiàng)目通常都可以恰當(dāng)?shù)貥?biāo)記出來。為我們省去不少麻煩。
很多想要對自己的網(wǎng)站或APP進(jìn)行漏掃服務(wù)的話可以咨詢的網(wǎng)站安全漏洞掃描公司來做，因?yàn)闄z測的服務(wù)都是人工手動進(jìn)行測試對每個功能進(jìn)行多個方面的審計(jì)。
http://www.xh798.com