代码审计
文章平均质量分 81
方寸明光
为天地立心,为生民立命,为往圣继绝学,为万世开太平
展开
-
代码审计笔记之未授权审计(缺失功能级别访问控制)
大多数网络应用程序在用户使用功能之前,应用程序需要验证该用户是否有功能级的访问权限。如果请求未经应用程序的验证。攻击者讲通过伪造请求参数的手段,获取应用的业务响应。原创 2023-05-31 22:47:15 · 380 阅读 · 0 评论 -
代码审计笔记之java多环境变量设置
在做java代码审计时,为了要成功运行目标环境,时长要对于jdk版进行切换,且在装多个jdk时还时长会遇到安装配置后环境变量不生效的情况,下文介绍;1、为什么安装了新的jdk,有的时候环境变量中的jdk版本确还是原来的版本2、如何让本地环境可以快速切换jdk版本。原创 2023-05-04 08:55:01 · 640 阅读 · 1 评论 -
代码审计笔记之开篇
按照自己的喜好开始分模块的阅读源码。或者止步与身份认证的分析,开始采用危险函数或功能点定向审计的方式进行分析,因为有了前面的分析,我们对于代码的架构,过滤,权限等关键设计已经有了一定的了解,这使得使用危险函数回溯与功能点定向审计的准确率,与审计效率大幅度提升。功能点定向审计是先根据要测试的功能,先找到它的前端调用接口,再逐步跟进排查后端代码逻辑与调用关系,以发现代码执行过程中的漏洞,通常情况下需要我们对于系统功能有一定的了解,且对于功能点可能会有哪些漏洞有一定的了解。这样才不至于盲目乱测。原创 2023-05-01 10:03:43 · 1775 阅读 · 0 评论