0day的产生 | 不懂代码的"代码审计"

一.引子

又一个悠闲的周五下午,小雷一边看着群里的大佬吹水,一边炫着隔壁经理的零食好生快活。
  "小雷,我这儿有一套代码你要不要看看?"隔壁王师傅看出来小雷有些许无聊,于是拿出了自己珍藏已久的源码供小雷解闷。
  我,小雷,熟读php兵法,我会怕?拿来吧你!

二.初遇

然后小雷就拿到了一套aspx的源码

王师傅,谢谢你,你是个好人。
  但是活儿已经接了,只能硬着头皮看下去了,虽然是不同语言但是代码我小雷应该还是能看懂一二的吧?小雷随即点开一个aspx文件。

卧槽? 就这?? 核心代码那? 这怎么审???

三.正题

任务是硬头皮接下来的,代码是看不懂的,学习是学不明白的,那么有没有办法在看不懂aspx的情况下去审计aspx语言的源码? 
  答案是有,而且非常简单!我们只需要抓源码中的asmx文件,测试asmx接口即可。

简单理解: .asmx文件就是定义接口的文件