Gafgyt(又名Bashlite)是著名的恶意软件家族,主要针对物联网设备发起攻击,例如华为路由器、Realtek 路由器和华硕网络设备等。Gafgyt 还使用很多漏洞(CVE-2017-17215...
Copy2Java - 在Burp中一键生成Java代码
0x01 初始化先说说为什么要用Java写这个插件?为什么要生成的是Java的代码。(原文传送门直达github仓库)1.简化安全从业者用Java写web漏洞利用工具的流程。2.其他语言有插件实现了,...
浅谈代码审计
浅谈代码审计顾名思义 代码审计即"寻找代码中的错误缺点,从而找到安全漏洞"代码审计分为黑盒审计和白盒审计黑盒审计:在一个你一无所知的环境中寻找突破口 发现安全漏洞白盒审计:你能直观...
关于代码安全审计,这里有一份权威指南
01关于代码安全审计代码安全审计是查找代码中安全漏洞的方法。在“安全左移”的发展趋势下,代码审计逐渐成为确保代码质量的一个关键环节。代码安全审计通常可以分为:自动化审计和人工审计。自动化代码安全审计是...
G.O.S.S.I.P 学术论文推荐 2021-07-21
今天推荐的论文是来自ICSE 2020的“Extracting Taint Specifications for JavaScript Libraries”,作者基于动态分析,对现有JS代码构建了进行...
猥琐流之使用certutil.exe执行代码
版权声明:原创文章未经许可,不得转载早些时候看了subTee的一个推文,是关于通过COM劫持(这是个好东西啊)使用certutil.exe执行代码的推文,当时因为没有时间一直没能测试,今天正好有时间就...
抖音iOS最复杂功能的重构之路--播放器交互区重构实践
背景介绍本文以抖音中最为复杂的功能,也是最重要的功能之一的交互区为例,和大家分享一下此次重构过程中的思考和方法,主要侧重在架构、结构方面。交互区简介交互区是指播放页面中可以操作的区域,简单理解就是除视...
别问,问就是我差点在所有浏览器中注入 JavaScript 代码
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
微信最新小技巧,快速检测对方是否已把你删除
建群批量拉人后只要不说话,别人就不知道有这个群。但还是怕不小心误操作后,变成了大型的社死现场。转账测试呢?万一自己手残多按几个0并且对方点了收款 得不偿失接下来分享一个毫无感知特殊代码测试方式。需要获...
代码审计-熊海CMS任意文件下载 0day?
前言1枚很简单的洞,昨天有看到公众号写了这个cms的审计文章,但是没提这个洞,所以这里简单分享一下。目录源码扫描Fortify SCA漏洞分析静态分析(phpstorm)动态调试(phpstorm+x...
Web安全:代码执行漏洞
我们首先要强调的一点就是代码执行与命令执行不是同一个概念,若说二者真有什么共性之处,那便是,二者在程序的代码中往往都是调用相关语言的函数,这些函数都是平级的,没有区别。若我们深入地考察二者之间的差别就...
GitHub代码泄露监控快速实践
利用开源项目,快速实现GitHub代码监控,及时发现员工将公司代码托管到GitHub的行为并预警,能够降低代码泄露风险。针对GitHub代码泄露监控类开源项目有多个,Hawkeye、VKSRC开源的G...
95