求教代码审计如何提高效率
大佬们,想问下你们的代码审都是怎么高效率完成任务的?
比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。
但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?
比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。
但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?
Click1 链分析环境说明链路分析危险方法PropertyUtils::getValue ...
隔空播放 (AirPlay) 是苹果开发为自家设备开发的协议,借助该协 ...
早前名为 rose87168 的黑客发帖称在 2025 年 2 月份入侵 Oracle ...
用自己的号测试了下,收集的信息非常全面,包括了你的用户名变更 ...
初级域渗透系列 01. 基本介绍&信息获取 https://www.t00ls.com/t ...
# 探索低版本.Net反序列化实现Exchange RCE## 0x10 起因近期在 ...
看到论坛@v0new 会员发了篇在docker容器中运行kali linux (wind ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2025 T00ls All Rights Reserved.
评论32次
黑白盒配合审计,可以先把站搭起来,找可疑点再审计会快点,再就是全局查找找危险函数
除了fortify经常用一些
我一般是先尝试一下黑盒测试,测试经常出现漏洞的点,任意文件删除,xss,文件上传之类高危漏洞,都可以直接黑盒测试出来,然后再去看关键功能点的代码,分析代码流程,当然如果时间够,就直接从index开始,分析
先用扫描器扫一遍,再把xi统运行起来结合渗透测试挖漏洞。如果是成熟的产品可以写CodeQL搜索规则来找漏洞。
黑盒找容易出漏洞的点,记下参数,去代码里搜索
我一般是先尝试一下黑盒测试,测试经常出现漏洞的点,任意文件删除,xss,文件上传之类高危漏洞,都可以直接黑盒测试出来,然后再去看关键功能点的代码,分析代码流程,当然如果时间够,就直接从index开始,分析
污点追踪,fortify误报太多
大佬,求问污点追踪是什么高科技,怎么操作。。。
同问,污点追踪是什么?
seay的审计工具
污点追踪,fortify误报太多
大佬,求问污点追踪是什么高科技,怎么操作。。。
污点追踪,fortify误报太多
污点追踪
推荐codeql
找上传,找代码执行,从高危到低危找
半自动工具
除了fortify经常用一些
经验吧 直接搜参数点 能通读的都通读
这个还是根据常用危险函数查看调用链是否有安全措施
半自动工具
经验吧 直接搜参数点 能通读的都通读