代码审计自定义应用

在上一篇，我们从黑盒角度讨论了如何利用常见Web漏洞突破边界。白盒测试要比黑盒测试高效的多，有的漏洞甚至可能永远无法被发现除非人们看到源代码。企业独自开发的 web 应用 (公司产品、主站点等) 通常不是开源的，一般情况下我们是无法访问到源代码的，那怎么才能审计代码？实际上，在一些情况下，我们是有机会得到源代码进行代码审计的，例如：

1：源代码文件source.tar.gz被放在web目录下。这是由于开发者不小心所导致的，但这种情况并非不可能遇到。源代码也可能存在于 FTP、SMB 服务器上，并且这些服务并且不需要认证的话...幸运的是，我们之前在 FTP 服务器中发现了 chat.js 应用的源代码。

2：目标对一开源app进行了一定的修改，为自己所用。虽然魔改程度有高有低，但原 app 存在的漏洞不一定被修复了。举个例子，在线学习系统 ATutor (https://atutor.github.io/)，作为开源应用，在互联网上广泛运行。更糟糕的是，该应用的漏洞不是一般的多。

3：目标公司发生过源代码泄漏事件。

4：在信息搜集阶段，我们从泄漏库中找到了一些凭证，其中一个或多个凭证可以访问目标公司的 github 私人仓库，访问到源代码。我们之前在 FTP 服务器中找到了一组凭证，虽然并没有在仓库中发现其他应用的源码。

代码审计，通常通过手动追踪用户输入、敏感函数来进行。但也有一些自动代码审计的工具例如 Fotify (https://www.microfocus.com/en-us/cyberres/application-security) 协助我们寻找浅层的脆弱代码。

我们发现 Raven-Medicine.Org 域的 3000 端口运行着一款 NodeJS 的应用，Chat.JS。是不是有些熟悉？因为我们之前在 FTP 服务器中找到了疑似 Chat.js 的源代码。

在有的时候，泄漏得到的源代码不一定是正在被应用的版本，但无论如何，让我们试着分析该应用。