代码分析 - 第 3 | CN-SEC 中文网

安全工具

国外最佳的四款代码安全审查工具

摘要安全代码审查是手动审核和审查源代码并使用自动化工具来识别代码库中的缺陷的过程。目标是识别业务逻辑错误和安全漏洞并提高代码库的质量。安全代码审查除了开发人员之外还涉及安全专家来执行代码审查并减少漏...

06月30日89 views评论

阅读全文

安全文章

记一次rce漏洞的代码分析

前几日在浏览github项目时，发现之前审计过的一个cms更新了，从日志中看到修复了一个安全漏洞，并且源码是开源的，所以根据版本对比找到修补的地方，进而发现一个命令执行的漏洞前几日在浏览github项...

06月21日26 views评论

阅读全文

代码审计

【代码审计】一种全新的代码审计技术：SyntaxFlow

一种全新的代码审计技术：SyntaxFlow代码审计技术在过去的一段时间的发展中，似乎受到了一个魔咒，安全从业人员的很难摆脱 *QL的影响，毕竟编译成数据库，然后通过 QL 来查询。或者通过把 AST...

06月15日49 views评论

阅读全文

代码审计

一种全新的代码审计技术：SyntaxFlow

代码审计技术在过去的一段时间的发展中，似乎受到了一个魔咒，安全从业人员的很难摆脱 *QL的影响，毕竟编译成数据库，然后通过 QL 来查询。或者通过把 AST 解析进 neo4j，通过 neo4j 的 ...

06月15日39 views评论

阅读全文

安全闲碎

网络安全顶会——USENIX Security 2024 秋季论文清单与摘要（下）

71、Large Language Models for Code Analysis: Do LLMs Really Do Their Job?大型语言模型（LLMs）在自然语言理解和编程代码处理任务...

06月08日169 views评论

阅读全文

安全文章

哥斯拉代码分析

一 webshell代码生成逻辑 ui下面看命名是一些界面，找到GenerateShellLoder 其中generateButtonClick（）为用户点击后的操作这里是默认内置的加密算法其中加...

05月19日27 views评论

阅读全文

安全工具

腾讯代码分析扫描工具集:ci-codeccScan

概述: codeccScan包含有18款开源代码检查工具，支持多种语言的代码规范扫描，圈复杂度，及重复率扫描，所有工具都以docker方式运行以上工具获取链接下载地址：https://githu...

04月24日8 views评论

阅读全文

安全开发

什么是CodeQL？CodeQL从入门到入土

什么是CodeQL？CodeQL从入门到入土常见语法总结不同版本CodeQL切换的注意点继承&实现污点追踪 java代码和xml文件关联获取指定注解获取指定方法显示源码位置查询...

03月01日52 views评论

阅读全文

代码审计

hessian反序列化漏洞之Groovy链(代码分析)

Groovy更新到这里应该是hessian合集里的最后一篇文章了！如果喜欢作者文章的话，点个赞帮忙分享一下，如有不对的地方请大佬指出，对这方面感兴趣的师傅可以加个v 交流一下经验。文章不易多多支持！！...

02月24日47 views评论

阅读全文

安全工具

IDA 自动化分析！HexRaysAST —— 代码模式匹配利器！—— 反混淆利器！

项目介绍有没有想过让你的逆向工程更加高效？让我来介绍 HexRaysAST，一个简单的 PoC（Proof of Concept），让你能定义抽象语法树（AST）模式，然后对这些模式进行各种魔法操作！...

01月15日109 views评论

阅读全文

Google 是如何落地静态代码分析的

Google 是如何落地静态代码分析的？0x00 前言本篇文章为我在读 Google 落地静态代码分析的 Paper 《Lessons from Building Static Analysis To...

01月05日安全新闻26 views已关闭评论

阅读全文

安全开发

人与代码的桥梁 - 聊聊SAST

一前言自从人类发明了工具开始，人类就在不断为探索如何更方便快捷的做任何事情，在科技发展的过程中，人类不断地试错，不断地思考，于是才有了现代伟大的科技时代。在安全领域里，每个安全研究人员在研究的过程...

12月21日25 views评论

阅读全文

国外最佳的四款代码安全审查工具

记一次rce漏洞的代码分析

【代码审计】一种全新的代码审计技术：SyntaxFlow

一种全新的代码审计技术：SyntaxFlow

网络安全顶会——USENIX Security 2024 秋季论文清单与摘要（下）

哥斯拉代码分析

腾讯代码分析扫描工具集:ci-codeccScan

什么是CodeQL？CodeQL从入门到入土

hessian反序列化漏洞之Groovy链(代码分析)

IDA 自动化分析！HexRaysAST —— 代码模式匹配利器！—— 反混淆利器！

Google 是如何落地静态代码分析的

人与代码的桥梁 - 聊聊SAST

在线咨询

微信