代码审计 入门到精通
文章平均质量分 94
代码审计 入门到精通
_PowerShell
网安圈子的小菜鸟
展开
-
[ 代码审计篇 ] Java 代码审计常用漏洞总结
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据, 判断数据进入的每一个代码逻辑是否有可利用的点, 此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。敏感函数参数回溯, 根据敏感函数, 逆向追踪参数传递的过程。这个方法是最高效, 最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的, 只要找到这些函数, 就能够快速 挖掘想要的漏洞。以下是基于关键词审计技巧总结:在搜索时要注意是否为整个单词, 以及小写敏感这些设置。原创 2022-12-30 20:00:46 · 1019 阅读 · 1 评论 -
[ 代码审计篇 ] 代码审计案例详解(二) XXE代码审计案例
[ 代码审计篇 ] 代码审计案例详解(二) XXE代码审计案例XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程 序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。 这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。原创 2022-12-28 21:00:00 · 1024 阅读 · 14 评论 -
[ 代码审计篇 ] 代码审计案例详解(一) SQL注入代码审计案例
[ 代码审计篇 ] 代码审计案例详解(一) SQL注入代码审计案例是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程 序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以 此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。原创 2022-12-26 17:58:44 · 1824 阅读 · 18 评论 -
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。原创 2022-12-25 20:00:00 · 14282 阅读 · 33 评论 -
[ 代码审计篇 ] Java web 代码审计 详解(三)--- java web 所需知识之 Servlet 介绍
???? 博主介绍 ???????? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步!本文介绍的是代码审计前导知识 java web 所需知识之 servlet 知识目录???? 博主介绍原创 2022-01-01 11:37:06 · 523 阅读 · 5 评论 -
[ 代码审计篇 ] Java web 代码审计 详解(三)--- java web 所需知识之javaEE分层模型
由于我们开始 java web 代码审计的学习,我们必须要有一定的前导知识,当然这里重点这不是学 java 所以讲的也比较简单。原创 2021-12-31 22:25:30 · 371 阅读 · 8 评论 -
[ 代码审计篇 ] Java web 代码审计 详解(一)
Java web 的代码审计 第一篇 Java web 的代码审计 思路原创 2021-12-24 19:28:02 · 4076 阅读 · 4 评论 -
[ 代码审计篇 ] 代码审计思路 详解
源代码审计是网络安全技术工作的重要内容,是安全岗位必备技能。渗透测试岗几乎都会问道代码审计,这篇文章就来聊一聊代码审计的思路。这篇文章就来聊一聊什么是代码审计,什么是静态测试 ?重点部分:代码审计工具介绍,代码审计的思路介绍。不要觉得代码审计很容易,也不要觉得代码审计很难,重在坚持,重在分析。文中出现的细节在后续中都会有详细解读!!!原创 2021-12-17 20:05:39 · 12420 阅读 · 9 评论