一 webshell代码生成逻辑 ui下面看命名是一些界面,找到GenerateShellLoder 其中generateButtonClick()为用户点击后的操作 这里是默认内置的加密算法 其中加...
腾讯代码分析扫描工具集:ci-codeccScan
概述: codeccScan包含有18款开源代码检查工具,支持多种语言的代码规范扫描,圈复杂度,及重复率扫描,所有工具都以docker方式运行 以上工具获取链接 下载地址:https://githu...
什么是CodeQL?CodeQL从入门到入土
什么是CodeQL?CodeQL从入门到入土 常见语法总结 不同版本CodeQL切换的注意点 继承&实现 污点追踪 java代码和xml文件关联 获取指定注解 获取指定方法 显示源码位置 查询...
hessian反序列化漏洞之Groovy链(代码分析)
Groovy更新到这里应该是hessian合集里的最后一篇文章了!如果喜欢作者文章的话,点个赞帮忙分享一下,如有不对的地方请大佬指出,对这方面感兴趣的师傅可以加个v 交流一下经验。文章不易多多支持!!...
IDA 自动化分析!HexRaysAST —— 代码模式匹配利器!—— 反混淆利器!
项目介绍有没有想过让你的逆向工程更加高效?让我来介绍 HexRaysAST,一个简单的 PoC(Proof of Concept),让你能定义抽象语法树(AST)模式,然后对这些模式进行各种魔法操作!...
Google 是如何落地静态代码分析的
Google 是如何落地静态代码分析的?0x00 前言本篇文章为我在读 Google 落地静态代码分析的 Paper 《Lessons from Building Static Analysis To...
人与代码的桥梁 - 聊聊SAST
一前 言自从人类发明了工具开始,人类就在不断为探索如何更方便快捷的做任何事情,在科技发展的过程中,人类不断地试错,不断地思考,于是才有了现代伟大的科技时代。 在安全领域里,每个安全研究人员在研究的过程...
如何利用SCA静态代码分析工具快速发现漏洞
Static Code Analysis(SCA)静态代码分析技术,可以帮助开发人员快速扫描代码中存在的问题,对于开源软件安全研究也是一种非常高效的手段。本文介绍如何使用静态代码分析工具,在大型开源项...
无文件勒索病毒的发现技术原理解析
01引言随着黑客攻击手段的不断进化,无文件勒索病毒成为了一种日益增多的威胁。相比传统勒索病毒,无文件勒索病毒无需使用可执行文件,通过利用操作系统漏洞和脚本语言,如PowerShell等,使得其执行的恶...
OpenRefine Zip Slip 任意代码执行-CVE-2023-37476
OpenRefine Zip Slip 漏洞:简介 OpenRefine是一个基于Java的开源数据清理和转换工具。这包括加载不同类型的数据、清理、转换和扩展。所有这些都可以通过浏览器访问 OpenR...
最新时间注入攻击和代码分析技术
点击星标,即时接收最新推文本文选自《web安全攻防渗透测试实战指南(第2版)》点击图片五折购书时间注入攻击时间注入攻击的测试地址在本书第2章。访问该网址时,页面返回yes;在网址的后面加上一个单引号,...
【nginxWebUI两部曲之一】nginxWebUI runCmd远程命令执行漏洞历史版本代码分析
nginxWebUI runCmd远程命令执行漏洞 目录: 0x01 漏洞描述:0x02 漏洞复现:0x03 漏洞分析(3.4.6版本):0...