Sono in procinto di aggiungere funzionalità a un'applicazione web e riceverò alcuni file sorgente (PHP, JS e CSS) da uno sviluppatore esterno assunto.
Questi file non sono offuscati o crittografati e non presenteranno stranezze ovvie come un'intestazione che inizia con "GIF89a". Quello che volevo controllare sono alcune strane un po 'meno ovvie come il codice che potrebbe essere usato per implementare una backdoor.
[Aggiorna - evidenzia la frase inclusa in precedenza:] Quindi quello che mi piacerebbe fare è una scansione del bulbo oculare per parole chiave o semplici costrutti nel codice sorgente che possono essere usati per questo scopo. Il mio pensiero è che vorrei chiedere un chiarimento dallo sviluppatore per qualsiasi cosa io possa trovare (se non sono in grado di determinare cosa fa) piuttosto che chiedergli di spiegare ogni riga in ogni file.
L'applicazione web utilizza solo il lato server PHP 5.6 e il lato client JS (oltre a CSS e HTML). Quindi qualsiasi funzionalità di backdoor sarebbe limitata a ciò che queste tecnologie possono fornire.
Uno dei costrutti che cercherò nei file PHP e JS sono tutte espressioni contenenti un'istruzione eval ().
Esistono altre parole chiave oltre a eval che potrei verificare?
[Aggiornamento aggiuntivo:] In questa fase stavo solo cercando una scansione di elementi che potrebbero richiedere un'ulteriore discussione con lo sviluppatore. A causa del tempo e di altri vincoli non stavo cercando di evitare tutti gli exploit possibili, né sto cercando di capire tutte le migliaia di righe di codice che saranno presenti su questi file.