什么是代码审计？代码审计的核心方法与技巧有哪些？

代码审计

代码审计（Code Audit）就像是给软件系统做一次深度的“病理切片分析”。与性能测试或功能测试不同，它不关注软件“跑得慢不慢”或“功能对不对”，而是深入源代码内部，检查代码写得“安不安全”、“健不健壮”。

结合当下的技术背景和行业最佳实践，为你详细拆解代码审计的核心定义、主流方法以及实战技巧。

一、什么是代码审计？

代码审计是一种系统性、结构化的安全分析方法。它通过对应用程序的源代码、二进制文件或运行时逻辑进行深入检查，旨在在软件发布前或运行中主动发现并修复风险。

它的核心目标不仅仅是找Bug，更包括：

1.安全漏洞检测：发现SQL注入、XSS（跨站脚本）、CSRF（跨站请求伪造）、硬编码凭证等安全隐患。

2.逻辑缺陷分析：识别越权访问、权限绕过、支付逻辑漏洞等业务层面的问题。

3.合规性验证：确保代码符合GDPR、PCI DSS或OWASP Top 10等行业安全标准。

4.代码质量评估：发现内存泄漏、死锁、低效算法，提升代码的可维护性。

二、核心审计方法：工具与人工的博弈

代码审计通常采用“工具扫描 + 人工复核”相结合的模式。单一的方法往往存在局限，混合使用才能达到最佳效果。

1. 静态应用程序安全测试（SAST）—— “白盒扫描”

这是最基础的手段，即在不运行代码的情况下，通过语法解析、数据流分析等技术扫描源代码。

• 原理：工具会查找已知的“危险函数”（如PHP的eval()，Java的Runtime.exec()）或不安全的代码模式。

• 优点：覆盖面广，能扫描所有代码路径，发现深层逻辑问题，适合在开发早期介入（“左移安全”）。

• 缺点：误报率高。工具不懂业务逻辑，常把正常的代码标记为漏洞，需要人工筛选。

• 常用工具：SonarQube、Fortify、Checkmarx、Semgrep。

2. 动态应用程序安全测试（DAST）—— “黑盒模拟”

在应用程序运行时进行测试，模拟黑客攻击。

• 原理：向运行中的系统发送恶意请求（如畸形的SQL语句），观察系统的响应和报错。

• 优点：误报率低，能发现真实环境中的配置错误和运行时漏洞。

• 缺点：只能检测被触发的代码路径，无法覆盖所有代码，且难以定位具体代码行。

• 常用工具：OWASP ZAP、Burp Suite、AppScan。

3. 人工代码审查（Manual Review）—— “专家诊断”

这是代码审计的灵魂。由经验丰富的安全专家对核心模块进行逐行审查。

• 作用：专门解决工具无法识别的复杂业务逻辑漏洞（如“订单金额篡改”、“验证码复用”、“越权查看他人数据”）。

• 价值：能够结合上下文理解代码意图，判断是否存在设计缺陷。

4. 软件成分分析（SCA）—— “供应链体检”

现代软件大量依赖第三方库（如Log4j、Fastjson）。SCA工具用于分析项目中引用的开源组件是否存在已知漏洞（CVE）或许可证风险。

三、实战审计技巧：如何像黑客一样思考？

在实战中，高效的代码审计通常遵循**“抓大放小、精准定位”**的策略。以下是几个核心技巧：

1. 危险函数定位法（Sink Point Hunting）

不要试图从第一行代码读到最后一行。直接搜索代码中的高危函数（Sink），然后逆向追踪其参数来源（Source）。

• SQL注入：搜索 executeQuery、mysql_query、拼接字符串 + 或 ${}。重点看是否使用了预编译（PreparedStatement）。

• 命令执行：搜索 Runtime.exec、system()、shell_exec。看参数是否包含用户可控变量（如 $_GET['id']）。

• 文件操作：搜索 FileInputStream、move_uploaded_file。检查是否存在路径遍历（如 ../../etc/passwd）风险。

• 反序列化：搜索 readObject、XMLDecoder。检查是否对输入类做了白名单限制。

2. 数据流追踪（污点分析）

这是审计的核心逻辑。你需要追踪**“污点数据”（用户输入）是如何流向“敏感操作”**（数据库执行、文件写入）的。

• Source（源头）：HTTP请求参数、Cookie、Header、数据库读取的数据。

• Sanitizer（过滤器）：中间是否经过了 filter、escape、validate 等清洗函数？

• Sink（汇聚点）：最终执行危险操作的代码行。

• 技巧：如果从 Source 到 Sink 的路径上没有有效的过滤器，那么这里就存在漏洞。

3. 业务逻辑漏洞审计

工具很难发现逻辑漏洞，必须靠人工分析业务流程。

• 越权访问：检查查询接口（如 getUserById）是否校验了当前登录用户的ID。如果直接根据传入ID查询而不验证归属权，就是水平越权。

• 支付漏洞：检查支付参数（金额、数量）是否在后端重新计算。如果直接信任前端传来的 price=0.01，就会导致“1分钱买iPhone”的漏洞。

• 认证绕过：检查登录逻辑是否存在“万能密码”风险，或者找回密码流程是否可以跳过验证步骤。

4. 关注配置与依赖

• 硬编码凭证：搜索代码中是否包含明文密码、API Key、密钥（如 password = "admin123"）。

• 调试模式：检查生产环境配置是否关闭了 Debug 模式，防止报错信息泄露敏感路径。

代码审计是“攻防兼备”的过程。对于防御者：它是上线前的最后一道防线，能极大降低修复成本。对于攻击者：它是挖掘0-day漏洞、进行高级渗透测试的必经之路。随着AI辅助编程的普及，代码审计也开始引入AI工具来辅助识别复杂模式，但人工对业务逻辑的深度理解依然是不可替代的核心竞争力。

标签：代码审计、安全测试报告