Seay代码审计工具
一、简介
Seay是基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。
这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞,基本上覆盖常见PHP漏洞。另外,在功能上,它支持一键审计、代码调试、函数定位、插件扩展、自定义规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。
支持审计的漏洞:
![](/assets/blank.gif)
![](/assets/blank.gif)
![](/assets/blank.gif)
![](/assets/blank.gif)
![](/assets/blank.gif)
![](/assets/blank.gif)
二、下载
软件网站现在已经无法访问:http://www.cnseay.com/2951/
github上的还可以访问,地址:GitHub - f1tz/cnseay: Seay源代码审计系统
如果安装了git,则使用命令
git clone https://github.com/f1tz/cnseay.git
压缩包里有“代码审计资料整理.rar”,有23份技术文档。
三、使用Seay进行代码审计
启动软件
![](/assets/blank.gif)
新建项目-自动审计-开始(以Pikachu为例)
![](/assets/blank.gif)
取出其中一条:
![](/assets/blank.gif)
$query="update member set sex='{$getdata['sex']}',phonenum='{$getdata['phonenum']}',address='{$getdata['add']}',email='{$getdata['email']}' where username='{$_SESSION['csrf']['username']}'";
生成报告
![](/assets/blank.gif)
使用很方便。
针对单引号被过滤处理的如何注入:
$sql = "SELECT username, password FROM user WHERE username='" .$user ."' && password='" .$pass ."'";
要想闭合sql语句加上or 1=1#来使判断条件为真,使用\转义
用\转义后面的单引号
在用户名框输入\,密码框输入or 1=1 #,这样提交后,sql语句是这样的:
...where username='\'&& password=' or 1=1 #'
这时提交的username就是\'&& password= ,密码里的#把后面的多余的单引号给注释掉了,sql注入就成功了
————————————————
Seay代码审计工具相关推荐
- Seay代码审计系统审计实战
今天继续给大家介绍渗透测试相关知识,本文主要内容是Seay代码审计系统审计实战. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁 ...
- 常见代码审计工具,代码审计为什么不能只用工具?
代码审计是一种发现程序漏洞,安全分析为目标的程序源码分析方式.今天主要分享的是几款常用的代码审计工具,以及代码审计工具有哪些优缺点? 代码审计工具 seay代码审计工具,是一款开源的利用C#开发的一款 ...
- PHP代码审计工具——rips
一.代码审计工具介绍 代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率. 在源代码的静态安全审计中,使用自动化工具辅助人工漏洞挖掘,一款好的代码审计软件,可以显著提高审计工作的效 ...
- license 验证服务器唯一机器码_代码审计工具Fortify 17.10及Mac平台license版本
介绍17.10版本安装指导工具使用云端试用价值 介绍 Fortify SCA是一个静态源代码安全测试工具.它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规 ...
- bandit-Python代码审计工具
bandit代码审计工具: pip install bandit 扫描方式: bandit: error: argument -f/--format: invalid choice: 'python' ...
- 汉化版PHP代码审计工具rips
工具在我资源和github上都可下载 0x01简介 RIPS是一款PHP开发的开源的PHP代码审计工具,由国外的安全研究者Johannes Dahse开发,目前开源的最新版本是0.55.程序小巧玲珑, ...
- SEAY代码审计系统源码
介绍: [去马修复版]SEAY代码审计系统源码下载/独家去除后门/排门 非常实用的东西,可以审计代码规范,以及排查注入点等,这个版本好像有点老了,不过可以去官网直接下载最新版的.东西如下,有喜欢的拿去 ...
- 【代码审计篇】 代码审计工具Fortify基本用法详解
文章目录 前言 一.工具介绍 二.安装过程 三.升级中文规则库 四.代码审计过程 五.代码审计结果 六.中文乱码解决 前言 本篇文章讲解代码审计工具Fortify的基本用法,感兴趣的小伙伴可以研究学习 ...
- 第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程
Part1 前言 在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛.开心之后,还是要静下心学习的,我们也要继续努力. Fortify全名叫Fortify SCA ...
最新文章
- 【图灵有聊】说好的安全呢?
- softmax函数为什么叫softmax?
- xfce中鼠标的“反转卷轴方向“
- 红帽JBoss企业应用平台7.0 ALPHA发布了!
- r语言和python爬虫谁厉害_R语言中,RCurl优势在哪儿,做爬虫的话用Python还是RCurl效率高?...
- 牛客网Java刷题知识点之调用线程类的start()方法和run()方法的区别
- 加密与解密 调试篇(一)
- c语言函数实现顺序线性表,数据结构C语言实现——顺序线性表SqList
- 短信验证码注册登录,Python可以用两种方法实现
- 技术系统进化法则包括_TRIZ理论八大技术系统进化法则.doc
- iPhone内存溢出——黑白苹果
- 计算机组装配置(之电源选购)
- To prevent a momery leak
- 【简单图形解释】刚体上任意一点速度与刚体角速度的关系
- 打造黑苹果(四)安装MACOS系统
- [Ubuntu]安裝搜狗輸入法
- 报名|2020 PostgreSQL亚洲大会系列专场一:培训机构公益专场
- 如何在Java中转义HTML
- SSIS 学习之旅 SSIS 简介
- 时系列数据分析应用图