代码审计

代码审计相关知识与资料分享

公司越来越大,开发人员也越来越多。每个研发人员的安全素质都不一样,虽然在公司核心项目上可以采取框架层安全防护,但各类新项目太多,无法做到每个项目都使用相同框架,都去集成安全组件。所以对于公司所有的项目...
admin 11月25日179 views评论代码 安全
阅读全文
代码审计

静态代码扫描能干什么

静态代码扫描因为只能扫描特定结构的代码,且函数中的变量来源未知,导致误报率很高的。这种情况下的扫描 其实和正则没什么区别了。所以 就以AST来说 好像只能干以下的事情:合规加密解密算法是否接入sso是...
admin 11月18日228 views评论代码 扫描
阅读全文
代码审计

代码审计第六节-命令执行

一次团队里面有人问了两个问题,自己面试时,面试官问了两个问题,自己感到特别疑惑。命令执行和命令注入是什么鬼?看到群里全是大牛宝宝们,在不断的给解答这样高端问题,看的宝宝心里是佩服的五体投地。下面直接把...
admin 11月17日88 views评论代码 命令
阅读全文

开发简单的PHP混淆器与解混淆器

最近(被迫)拿到了不少经过混淆的PHP代码样本,尤其是我使用的某个开源软件里面竟然也有被混淆的PHP代码(还有几十个JS后门),导致我不得不把它们都解混淆来检查一下。不过,这些只要20分钟就能写出通用...
admin 11月04日逆向工程77 views开发简单的PHP混淆器与解混淆器已关闭评论php 代码
阅读全文