前言大多数软件开发团队依赖动态测试方法,检测软件中的缺陷和运行时错误。动态测试需要工程师编写和执行大量测试用例。由于动态测试不能穷尽所有情形,单靠它还不足以确保软件安全可靠。静态应用程序安全测试 (S...
【技术分享】减轻对旧版Web应用程序的SQL注入攻击
SQL注入(SQLi)攻击对Web应用程序的安全性构成了重大威胁。现有方法不支持面向对象的编程,这使这些方法无法保护诸如Wordpress,Joomla或Drupal之类的Web应用程序免受SQLi攻...
JShrink:深入研究如何对现代 Java 应用程序去臃肿
原文标题:JShrink: In-Depth Investigation into Debloating Modern Java Applications原文作者:Bobby R. Bruce, Ti...
G.O.S.S.I.P 阅读推荐 2022-12-12
这是勇敢的海燕,在闪电中间,在怒吼的大海上高傲地飞翔。这是胜利的预言家在叫喊: ——让暴风雨来得更猛烈些吧!这段时间大家是不是都处在一个人心惶惶的状态呢?不要怕,读论文是最好的抵御外界风险的方法,一...
ConDySTA: 上下文感知的动态辅助静态污点分析
原文标题:ConDySTA: Context-Aware Dynamic Supplement to Static Taint Analysis原文作者:Zhang X, Wang X, Slavin...
【网络安全研究进展系列】Android 智能电视盒漏洞 / 缺陷挖掘
编者按2022年5月,由网络安全研究国际学术论坛(InForSec)汇编的《网络安全国际学术研究进展》一书正式出版。全书立足网络空间安全理论与实践前沿,主要介绍网络和系统安全领域华人学者在国际学术领域...
COM逆向分析与还原
恶意软件经常会使用COM机制来实现恶意逻辑,因此对COM机制的理解与分析是比较重要的,有利于对恶意软件深度分析,参考链接中提供的材料会比较详细可配合学习,这里仅是记录之前逆向恶意文件时一个手工还原的过...
G.O.S.S.I.P 阅读推荐 2022-11-11
双十一最重要的是什么,是买买买吗?当然不是!如果没有现在大家都在用的移动支付,怎么可能有今天的盛况,所以在这个购物狂欢节,我们当然要给大家推荐一篇关于支付安全相关的ACSAC 2022研究论文——An...
C#语言源代码漏洞测试规范
微信公众号:计算机与网络安全▼C#语言源代码漏洞测试规范▼(全文略)C#语言是一种面向对象的、运行于.NET Framework之上的高级程序设计语言。它广泛应用于Windows平台应用软件的开发,是...
Java 语言源代码漏洞测试规范
微信公众号:计算机与网络安全▼Java 语言源代码漏洞测试规范▼(全文略)Java语言是一种面向对象的、运行于Java虚拟机之上的高级程序设计语言。它广泛应用于各种大型信息系统和智能终端应用软件的开发...
云音乐iOS端代码静态检测实践
主题图图片来自:https://unsplash.com一、前言随着项目的扩大,依靠纯人工 Code Review 来保障代码质量、防止代码劣化变得”力不从心“。此时有必要借助代码静态分析能力,提升项...
G.O.S.S.I.P 阅读推荐 2022-10-19 亡羊补牢
什么样的特征能够代表一个漏洞?已有的基于代码相似性的漏洞分析工作,似乎并不能帮我们解释这个问题。今天我们推荐一篇由 KAIST 的 ProSysLab 发表在 CCS '22 上的工作 Tracer:...
8