- 博客(10)
- 收藏
- 关注
RSS订阅原创 代码审计过程
Rips安装可以直接下载课代表在群里发的压缩包,解压到PHP study中的www下的文件,改名为rips。打开www下的DVAW-master的config.inc.php,修改里面的password为root。若MySQL无法启动,则需要先清理本机的原本的MySQL,然后在回到小皮面板上就可以启动MySQL。重复上两步操作,输入在RIPS中找到的漏洞语句,得到下图结果。点击四个小方块中的红色的按键会出现如下弹窗,是生成的代码。输入要查找的地址后,会出现以下图片中的内容。键位,出现下图所示。
2023-04-20 19:22:16
165
原创 C/C++的注意事项
1)调用LoadLibrary,LoadLibraryEx,CreateProcess,ShellExecute等进行模块加载的函数时,指明模块的完整(全)路径,禁止使用相对路径,这样就可避免从其它目录加载DLL。因此,在使用n系列拷贝函数时,要确保正确计算缓冲区长度,同时,如果你不确定是否代码在各个编译器下都能确保末尾有0时,可以适当增加1字节输入缓冲区,并将其置为\0,以保证输出的字符串结尾一定有\0。不可以用legacy的字符串拷贝、输入函数,这些函数的特征是:可以输出一长串字符串,而不限制长度。
2023-04-20 18:57:09
893
原创 Java语言的特性
多态性是允许你将父对象设置成为一个或更多的他的子对象相等的技术,赋值之后,父对象就可以根据当前赋值给它的子对象的特性以不同的方式运作 多态的话,我觉得是更好的利用了继承这一特性,然后为什么能实现多态,因为可以重写父类的方法。Java继承是使用已存在的类的定义作为基础建立新类的技术,新类的定义可以增加新的数据或新的功能,也可以用父类的功能,但不能选择性地继承父类。Python 的模块众多,基本实现了所有的常见的功能,从简单的字符串处理,到复杂的 3D 图形绘制,借助 Python 模块都可以轻松完成。
2023-04-20 18:55:54
371
原创 各个工具的使用
Alerta (https://alerta.io/) 该开源工具可将多个来源的信息整合去重,提供快速可视化功能。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监视/管理服务集成,开发人员可通过API按需定制Alerta。 2.ContrastAssess (https://www.contrastsecurity.com/interactive-application-security-testing-iast) 作为一款互动应用安全测试(IA
2023-04-20 18:54:34
370
原创 DevSecOps 的实施
它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同时涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。代码分析 - 以小规模、高频率的版本交付代码,以便更轻松高效地检查漏洞,同时将代码分析嵌入 QA 流程中。为了满足市场速度和规模要求的同时,设计安全的软件是很重要的,而DevSecOps在其中起到很重要的作用。
2023-04-20 18:53:30
66
原创 漏洞扫描和修补
这些年来互联网的运转情况对企业的发展也有着直观的影响,特别是电子商务企业的兴起,必须要求代码审计拥有更高的技术和拦截能力,我国先进的代码审计能够基于大数据的处理模式,快速的对业务之中的脆弱性部分进行扫描,也能够精准的查杀其中的漏洞,提示相关人员进行处理确保这种代码审计能够快速的实现修复保证了更好的在运转效果;2. 打造更加安全可靠的网络运行环境;1. 实现快速的漏洞扫描和修补;
2023-04-20 18:52:49
83
原创 代码审计与安全测试
软件测试的经典定义是:在规定的条件下对程序进行操作,以发现程序错误,衡量软件质量,并对其是否能满足设计要求进行评估的过程。代码审计:就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。这两者的区别在于代码审计属于白盒测试,白盒测试可以非常直接的从代码的层次去看漏洞,比如二次注入,反序列化,XML实体注入等。
2023-04-20 18:51:18
276
1
原创 OWASP(开放式Web应用程序安全项目)
它是唯一没有任何 CVE 映射到包含的 CWE 的类别,因此默认的利用和影响权重 5.0 被计入他们的分数。A08:2021-软件和数据完整性故障是 2021 年的一个新类别,专注于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。OWASP(开放式Web应用程序安全项目)是一个开源的、非营利性的全球性安全组织,致力于改进Web应用程序的安全,这个组织最出名是,它总结了10种最严重的Web应用程序安全风险,警告全球所有的网站拥有者,应该警惕这些最常见、最危险的漏洞。
2023-04-20 18:50:31
440
1
原创 软件安全威胁
软件漏洞有时是作者日后检查的时候发现的,然后修正;还有一些人专门找别人的漏洞以从中做些非法的事,当作者知道自己的漏洞被他人利用的时候就会想办法补救。恶意代码(Malicious Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。、软件侵权的界定是:如果行为人有未经软件著作权人许可,发表或者登记其软件的行为,或者有未经许可改、翻译其软件等其他侵犯软件著作权的行为的,属于软件侵权。
2023-04-20 18:49:44
710
1
原创 【无标题】
由于软件测试技术的不断发展,以及对软件缺陷模式和安全漏洞模式的研究,促进了软件静态分析技术发展,通过对程序代码进行静态分析能够发现很多语义缺陷、运行时缺陷和安全漏洞,静态测试在软件测试中的重要性越来越突出,尤其是军工科研院所,代码规模的增加以及伴随而来的是越来越复杂的代码结构,完全依靠人工代码审查,成为制约生产效率的关键因素,采用代码自动化分析技术,能够提升开发和测试效率,减低程序风险,同时也降低了研发成本。往往由于代码量大,代码安全审计一般会借助静态分析类工具,对代码进行自动检测,产生代码安全审计报告。
2023-04-20 18:48:15
89
1
PHPStudy安装过程 Pikachu靶场安装 RIPS安装 RIPS扫描的过程和结果
2023-04-20
网络安全的所使用的各个工具
2023-04-20
DevSecOps 安全软件
2023-04-20
漏洞扫描和修补以及流程图
2023-04-20
代码审计和软件测试的意义
2023-04-20
OWASP TOP 10的介绍和应用
2023-04-20
软件安全以及软件漏洞等
2023-04-20
代码审计以及代码审计工具的定义,意义所在
2023-04-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人