代码审计方法记录

(1)正向审计：找出从外部接口接收的参数，并跟踪其传传递过程，观察是否有参数校验不严的变量传入高危方法中，或者在传递的过程中是有代码逻辑漏洞

(2)逆向追踪：查找危险或者敏感方法或者关键字，并查看参数的传逆与处理，判断变量是否可控并且已经过严格的过滤。

(3)补丁比对：通过diff补丁逆推漏洞，最常用在跟踪新通告的漏洞。

(4)灰盒审计：白盒审计结合黑盒测试，以白盒审计为主，黑盒测试为辅分析代码。

(5)代码静态扫描工具结合人工研判：使用自动化代码审计工具扫描，然后人工进行分析研判。