2021-06-01 阅读(142)

在软件开发过程中，开发人员一般 会给出更多的变量名称语义信息，以确保程序的高可读性。然而，足够的语义也为供了便利。在变量名称的帮助下，逆向者可以轻松理解原作者的意图...

2021-05-30 阅读(354)

通过大量调查，本文筛选出了近三年来不断更新的13个白盒PHP审计工具，并对其进行了分析。该文主要介绍了这些白盒审计框架的原理，并简单分析了其规则列表，具体的挖掘效果没有...

2021-04-16 阅读(1009)

在一个项目中，我提前拿到了网站的源代码，队里的师傅白盒审出了一个曲折的利用链，现在我再次重现并记录了这个链的挖掘过程。这条链牵涉到经典漏洞，包含:session伪造、任何文...

2020-12-12 阅读(237)

能否频繁报警，从理论上讲是不会发生频繁报警的。在由Java程序生成的需要注意的行为中 ，正常行为是能够忽略的，而且范围不大，在将已知行为设置为白名单之后，能够尽量避免错...

2020-12-12 阅读(246)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-12 阅读(56)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-11 阅读(629)

有一天在对客户代码进行安全测试时，找到了可以执行js代码的地方，然后通过代码审计发 现有命令执行。公司作为甲方的安全人员，如何攻击和修复需要考虑。边想着如何让开发如何...

2020-12-11 阅读(436)

SQL交互通常是实际业务开发中业务系统中不可缺少的一部分。类似Mybatis、Hiberasae、 SpringDataJPA等等都提供在Java中，以满足有关数据库交互需求。但由于各种原因，SQL语 句在与应用程序...

2020-11-25 阅读(222)

什么是代码审计？一般来说，通过阅读一个源代码，挖掘各种漏洞，这个过程统称为审计。 在审计中，你不仅需要了解各种漏洞的原理，还需要一个良好的审计环境。面对大型开源程序...

2020-10-10 阅读(299)

自打人们创造发明了软件开始，人们就在连续不断为探究怎样更省时省力的做其他事儿，在智 能科技的环节中，人们一次又一次尝试错误，一次又一次思索，因此才拥有现代化杰出的智...