代码审计是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析技术。本书首先对代码审计的定义、代码审计的流程、代码审计的分类进行了系统的介绍，以phpStudy为例，介络了代码审计环境的搭建以及当前常用的代码审计工具;其次详细介绍了SOL.注入漏洞审计、XSS漏洞审计、CSRF漏洞审计、代码执行与命令执行漏洞审计、文件包含漏洞审计、任意文件操作漏洞审计、XXE与SSRF漏洞审计、变量覆盖与反序列化漏洞审计、业务功能审计、YXCMS审计等内容;最后介绍了当前常用的程序设计语言Java和Python的代码审计案例。本书是校企合作开发的教材，注重所述内容的可操作性和实用性，适合作为高等职业院校计算机类相关专业的教材，也可以作为网络操作系统安全管理的参考用书。

代码审计是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析技术，是对程序编写过程中源代码的全面分析。其目的是发现错误，找到安全隐患，从而提高程序的安全性和可靠性，减少受到网络攻击的可能性。
代码审计的方法通常包括白盒、黑盒、灰盒等方式。白盒是指通过对源代码的分析找到应用缺陷;黑盒通常不涉及源代码，多使用模糊测试的方式;而灰盒则是黑盒与白盒相结合的方式。与其他信息安全技术相比，代码审计是一种主动安全防御技术，通过代码审计，可以从根本上加强信息系统的安全性和可靠性，对减少因信息系统漏洞造成的损失有重要的意义和作用。
代码审计要求的门槛较高，通常需要审计人员对PHP代码非常熟悉且具有多年的从业经验，能够对常见框架、常见CMS（内容管理系统）、常见功能漏洞有分析经验。除此之外，可以对多种编程语言进行分析审计。因此，本书将以教学为目的对代码审计课程进行讲解，同时配以相应漏洞的 CMS 审计实践，从而深化读者对代码审计的理解，最终达到实现安全防御的目的。
本书首先对代码审计的定义、代码审计的流程、代码审计的分类进行了系统的介绍，以 phpStudy 为例，介绍了代码审计环境的搭建以及当前常用的代码审计工具;其次详细介绍了SOL 注入漏洞审计、XSS漏洞审计、CSRF漏洞审计、代码执行与命令执行漏洞审计、文件包含漏洞审计、任意文件操作漏洞审计、XXE与SSRF 漏洞审计、变量覆盖与反序列化漏洞审计、业务功能审计、YXCMS审计等内容;最后介绍了对当前常用的程序设计语言 Java和 Python的代码审计案例。
本书由360安全人才能力发展中心胡前伟、天津职业大学电子信息与工程学院时瑞鹏、武汉市财政学校李华风任主编并负责全书统稿，天津职业大学安厚霖和张臻、360安全人才能力发展中心冯玉涛、浙江警官职业学院杨晔、武汉市东西湖职业技术学校李强任副主编。编写分工∶单元1、单元5由时瑞鹏编写，单元2、单元3由胡前伟编写，单元4、单元6由李华风编写，单元7至单元11由安厚霖编写，单元12由张臻编写，单元13、单元14由冯玉涛、杨晔、李强共同编写。
本书教学资源系统全面，配套PPT教学课件、习题答案等电子资源，与教材完全同步，读者可自行下载（网址 http∶//www.tdpress.com/51eds/）。本书中的实验环境，已部署在https∶//university.360.cn/，属于收费内容，如需购买，请咨询360安全人才能力发展中心。
本书注重所述内容的可操作性和实用性，以网络安全管理人员为主要读者群体，同时兼顾广大计算机网络爱好者的需求，是一本开展网络操作系统安全管理的实用教材和
必备的重要参考书。
由于时间仓促，编者的知识水平和认知能力有限，书中难免存在疏漏和不妥之处，恳请读者批评指正。
特别声明∶本书所讲的代码审计技术以及涉及的案例与代码，是为了更好地帮助读者及相关公司找到安全隐患，从而有针对性地进行代码审计和安全防御，不能进行其他应用。
编 者2021年7月

单元1代码审计基础11.1代码审计简介21.1.1代码审计定义21.1.2代码审计流程21.1.3代码审计分类31.2代码审计环境搭建31.2.1phpStudy环境介绍41.2.2实验∶Windows与Linux搭建74CMS41.3代码审计工具概要81.4代码编辑工具81.5自动代码审计工具111.5.1Seay代码审计工具111.5.2RIPS代码审计工具131.5.3VCG代码审计工具141.5.4FortifySCA代码审计工具141.5.5自动化审计工具部署151.6代码审计辅助工具161.6.1数据包分析工具161.6.2浏览器辅助插件工具171.6.3实验∶BurpSuite数据包拦截191.6.4编解码工具211.6.5正则表达式测试工具221.6.6数据库监控工具221.7代码审计动态调试环境搭建241.7.1动态调试原理251.7.2Xdebug安装与配置251.7.3

胡前伟，密码学硕士，北京鸿腾智能科技有限公司资深网络安全专家。 时瑞鹏，现为天津职业大学电信学院教师，副教授。2009年至今，担任天津市中职技能大赛计算机相关赛项专家，并担任天津市代表队教练工作。 李华风，湖北大学计算机系统分析与集成硕士，武汉市财政学校高级讲师，硬件工程师。

（1）代码审计是一种以发现程序错误、安全漏洞和违反程序规范为目标的源代码分析技术。


（2）本书是校企合作开发的教材，注重所述内容的可操作性和实用性。