记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Seay PHP代码审计工具2012终结版+源码发布

2013-04-26 14:55

软件名: Seay PHP代码审计工具
软件版本: Version 2012终结版
作者: Seay
博客: http://www.cnseay.com/
联系方式: QQ10118157 邮箱:root@cnseay.com
文档编写时间: 2012年11月13日

程序下载地址:http://pan.baidu.com/share/link?shareid=140776&uk=4045637737

源码下载地址:http://pan.baidu.com/share/link?shareid=121654&uk=4045637737

PHP代码审计资料打包:http://www.cnseay.com/archives/661

感谢:“好好学习,天天向上”,“是我。花香”提交的bug。感谢xxser开发自定义编辑器功能。

目前2.2版本已经相对稳定,正在着手开发新功能,欢迎提交BUG和功能建议。

工具正在增加正则规则,目前版本小升级只是在优化当中,等相对稳定后,着手开发新功能,打算把动态跟静态测试结合起来,也就是运行起网站,审计工具能自动从动态网站探测漏洞,同时静态白盒测试,就能更精确的发现更多漏洞,期待新版本

2012年11月13日晚:

2012终结版改动比较小,只是改了几个地方,增强用户体验。修复了一个小BUG。本来想开发黑盒(动态扫描SQL注入+XSS等)模块,但由于作者自己的一些原因,黑盒模块没有时间开发完成,只能留到年后再继续开发这个模块。感谢支持的好朋友们。

版本说明:

——————————————————————————————————————

版本:V1.0

发布时间:2012年10月9号

功能说明:只支持单个关键字扫描

——————————————————————————————————————

版本:V2.0

发布时间:2012年10月13号

功能说明:支持单个关键字、批量函数、批量正则表达式扫描、支持审计文档、函数、正则表达式管理

——————————————————————————————————————

版本:V2.0.3

发布时间:2012年10月14号

功能说明:在2.0版本的基础上修复3个逻辑BUG

——————————————————————————————————————

版本:V2.0.4

发布时间:2012年10月14号

功能说明:在2.0.3版本的基础上修复1个逻辑BUG

——————————————————————————————————————

版本:V2.0.5

发布时间:2012年10月15号

功能说明:在2.0.4版本的基础上修复1个BUG,改变代码显示方式,优化正则模式扫描结果,结果更直观

——————————————————————————————————————

版本:V2.0.6

发布时间:2012年10月17号

功能说明:在2.0.5版本的基础上增加自定义编辑器功能,增加一点扫描正则表达式规则

——————————————————————————————————————

版本:V2.0.7

发布时间:2012年10月27号

功能说明:在2.0.6版本的基础上修复两个BUG,增加最新版本检测功能,优化扫描速度,增加源码读取停止功能,目前2.0.7版本较稳定,动态黑盒漏洞扫描功能正在开发中。

——————————————————————————————————————

版本:V2.0.8

发布时间:2012年11月5号

功能说明:在2.0.7版本的基础上修复一个BUG,大大优化扫描速度,增加扫描速度选择,优化代码,增加几个危险函数。

——————————————————————————————————————

版本:V2.0.9

发布时间:2012年11月6号

功能说明:在2.0.8版本的基础上增加区分大小写功能,增加函数导入导出功能,改变函数储存方式,修复审计文档错误问题。

——————————————————————————————————————

版本:V2.1

发布时间:2012年11月12号

功能说明:在2.0.9版本的基础上大大优化源码读取速度,改用线程池,大大优化扫描速度,增加一些类似写字板的功能。可直接在本工具上编辑代码,打开、保存文件。

——————————————————————————————————————

版本:V2.2(2012终结版)

发布时间:2012年11月13号

功能说明:这次更改比较小,只是改了几个地方,增强用户体验。修复了一个小BUG。这也是2012的终结版。本来想开发黑盒(动态扫描SQL注入+XSS等)模块,但由于作者自己的一些原因,黑盒模块没有时间开发完成,只能留到年后再继续开发这个模块。

——————————————————————————————————————

下个版本将推出更多新功能,敬请期待,愿更多朋友来一起完善它。程序使用C#编写,若运行提示错误,

请安装.NET环境,提供两个下载地址,任选一个下载安装即可运行

1、  http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0&linkPage=1.html

2、  http://www.crsky.com/soft/4818.html

Seay PHP代码审计工具说明


本人目前就读重庆某软件学院软件测试专业,将于2013年1月底毕业,为了扎实基础,于是有时间就会找一些源码研究,有时候想走走捷径,提高下效率,于是开始找一些代码审计的工具,但是目前国内貌似没有发现专业的这类工具,于是就萌发了编写这个PHP代码审计工具的想法,并付足于行动。

那为什么写PHP的呢?从目前主流的四大动态网页编程(ASP/ASPX/PHP/JSP)语言来分析,目前最火的是PHP,很多CMS等很大一部分是PHP,安全性最难控制的也是PHP,怎么难控制就不说了,既然都开始玩代码审计了,应该懂得。

该版本目前支持单个关键字扫描、批量函数扫描、批量正则匹配,其中正则表达式扫描精确度最高,效率最高。

其他功能:

源码浏览:载入程序源码后,可以在最左边的程序文件列表里面点击浏览源码,扫描出包含关键字的源码,也可以在下边的列表点击直接浏览。代码可以直接复制,或者选择用记事本打开。

漏洞库:每次做代码审计可以在漏洞库建立一个审计文档,方便以后查阅、管理。

扫描配置:自定义扫描函数和正则表达式规则,针对要扫描的程序可以建立不同的规则,其中正则表达式扫描精确度更高。

审计技巧:收集了一下PHP代码审计的资料,提供给新手学习。

程序帮助:一些程序信息和作者信息

程序界面:

效果图:

 

使用方法

一、载入源码:三个地方可以载入源码,分别在主界面的“浏览按钮”,左边文件列表框的右键“新建扫描”和菜单栏的文件系统里面的“新建扫描”。

图:

 

二、开始扫描:

载入程序后,我们可以输入关键字点击主界面“扫描”按钮即可,如果选择的是综合扫描,将自动调用综合模式里面选择的模式进行扫描,如函数模式、正则模式。

我们可以选择用记事本打开源码:

三、漏洞仓库:在这可以对审计文档进行管理。括新建、打开、修改、删除操作。

图:

四、扫描配置:可以对综合扫描要用到的函数、正则表达式进行管理。包括查看、新增、修改、删除。

图:函数管理

图:正则表达式管理

五、审计技巧:提供大量代码审计技巧资料,审计实例,供新手借鉴。

图:

六、软件帮助:一些帮助信息,版本信息,有俩可爱的牛牛在动哦。

结束

By:Seay

原文地址:http://www.shellsec.com/tech/22811.html

Web Site: ˉ黑色.小亮 – http://www.blackxl.org/
Post Title: Seay PHP代码审计工具2012终结版+源码发布
Post Url: http://www.hackdig.com/?04/hack-3086.htm
知识来源: www.blackxl.org/seay-php-code-auditing-tools-2012-final-version-source-code.html

阅读:100925 | 评论:0 | 标签:Security php 代码审计

想收藏或者和大家分享这篇好文章→复制链接地址

“Seay PHP代码审计工具2012终结版+源码发布”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云