- 博客(7)
- 收藏
- 关注
原创 实验三fortify+DVWA靶场和动态IAST审计JAVA靶场
回车,接着输入命令curl -sSL https//get.daocloud.io/docker | sh。通过本次实验,我掌握了Fority的安装及使用,还有PHP各种漏洞的代码审计。打开网站http://127.0.0.1:81,如下图所示即安装成功。以及Java系列的代码审计,还遇到了不少问题,但大部分得到了解决。然后点击tools,需要导出审计报告,然后需要进行几个选择。查看相关细节,如下图,点击details。安装成功,如下图,并输入密码进行登录。然后开始实验,点击add agent。
2023-04-20 20:01:47 492 1
原创 代码审计 和软件测试
代码审计:就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供相关建议及措施。代码审计是通过发现程序错误,安全漏洞和违反程序规范而进行的源代码分析,从而在软件发布之前减少错误。而软件测试则是在一定条件下对程序进行操作运作,发现程序错误,测试软件的质量,并且对软件进行评估。是一种实际输出与计划输出相比较的过程。
2023-04-20 18:49:21 100
原创 OWASP TOP 10
2004:输入未验证 访问控制崩溃 认证和会话管理崩溃 跨站脚本(XSS) 缓冲区溢出注入缺陷 错误处理不当 不安全的存储 应用程序拒绝服务 不安全的配置管理2007:跨站脚本(XSS) 注入缺陷 恶意文件执行 不安全的直接对象引用 跨站点请求伪造(CSRF) 信息泄露和错误处理不当 认证和会话管理崩溃 不安全的加密存储 不安全的通信 限制URL访问失败2013:注入 跨站脚本 (xSS) 认证和会话管理崩溃 不安全的直接对象引用。
2023-04-20 18:48:04 84 1
原创 代码审计在软件安全中的重要性和意义
随着社会的进步与发展,越来越多的软件呈现在世人眼前,所以源代码也是非常之多,结构越来越复杂,光是靠肉眼是无法满足对它们的审查,而是需要一些现代化技术。代码安全审计就是通过对源代码进行检查审查,找到代码中的错误或者是可能影响软件安全的漏洞,提高源代码的质量和效率。代码审计不仅能尽早发现软件的安全隐患,并且能提前考虑好相关的安全防御措施,保证软件各个环节都能经受住挑战,还能提升效率。代码审计顾名思义就是检查源代码中的安全缺陷,检查程序中的源代码是否存在安全隐患,或者是编码有不规范的地方。所以代码审计十分重要。
2023-04-20 18:45:21 91 1
原创 C/C++安全开发指南
要想开发一个完整的C/C++工程或项目,就需要掌握具体详细的C/C++的各种要求以及相关的规则,完成一个优秀的代码。例如,if、for、do、while、case、switch等语句,且无论它们的执行语句部分有多少都要加{}通过了解并且掌握具体详细的C/C++的各种要求以及相关的规则,我们就可以更好的开发C/C++项目了。C/C++头文件以“.h”为后缀,而C程序的定义文件以“.c”为后缀,结构:C/C++一般分为两个文件,一个为头文件,另一个为定义文件。4.全局函数的名字应当用动词或动词+名词的组合。
2023-04-20 18:35:41 48
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人