1 介绍 我们之前已经在这一系列文章中讨论过代码覆盖率的重要性,所以今天我们将尝试理解一些非常基本的底层概念,一些常见的方法,一些工具,还会看看一些流行的模糊测试框架能够利用的技术。我们...
如何成功地开展攻防演练
什么是攻防演练? 攻防演练是一种网络安全实践活动,企业通过渗透测试来评估安全漏洞,并发现自身网络安全准备中的弱点。攻防演练通常会涉及两支队伍——攻击方(进行渗透测试的主角)和防守方(负责查明、评估...
语言特性 | JAVA IO类结构
Java IO类结构FileSystemJDK 里面抽象出了一个 FileSystem 类 来表示文件系统,不同的操作系统通过继承该类实现各自的文件系统,比如 Windows 操作系统则为 WinNT...
全网最细的TP 5.X之变量覆盖导致rce
| 0x01:前言事情是这样子的,以前分享的tp5的变量覆盖链子的报告,不知道为什么突然在别人星球看到自己写的报告,有点点小生气,好歹跟我说一下吧,所以我就直接分享到公众号了,星球里面也给大家开过直播...
谈谈安全代码审查
安全代码审查对于确保软件应用程序的安全性和完整性至关重要。 通过检查代码库是否存在潜在的漏洞和弱点,开发人员可以在恶意行为者利用这些问题之前识别并解决安全问题。 本文将讨论进行彻底有效的安全代码审查的...
XML(XXE)外部实体注入
1、XXE介绍 1.1、XXE原理 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网...
什么是软件定义安全SDSec
一、软件定义安全SDSec产生的背景软件定义安全(Software Defined Security,SDSec)的产生背景主要源于传统网络安全防护方法在面对复杂网络环境时的不适应性,以及软件定义网络...
Web Service渗透测试
一、API 接口介绍 1.1 RPC(远程过程调用) 远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计...
记录一次MVC框架的代码审计
说在前面:好久没更新文章了,本来都有停更的念头了,但觉得还是要写点东西往外发好督促自己学习。之前就有在学习审计,但只是再审一些无框架的老源码而且没审几套就半途而废了,现在打算...
软件安全设计
制定安全需求 “需要预先考虑安全和隐私”是安全系统开发的一个基本方面。定义软件项目可信度要求的最佳点是在初始规划阶段。这种早期的需求定义允许开发团队确定关键的里程碑和可交付成果,并允许以最大...
可信计算到底有什么故事?
本文1024字,阅读时长4分钟,文章版本:V1.0 你好,我是你的朋友晓兵。又到了周四的时间,这里是锐安全《安全到底》栏目的第167篇、总第223篇原创文章《可信计算到底有什么故事?》,今天大约需要4...
NSA发布零信任网络和环境支柱的成熟度指南
【"零信任是一种思维方式的转变,它不是解决所有问题,我们永远不会到达那里,大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式,那就是它的价值所在。你永远不会到达完整的...