污点分析(Taint Analysis)是静态代码分析领域的一项核心技术,它专注于追踪数据流,以确定潜在的安全漏洞,如SQL注入、跨站脚本(XSS)等。污点分析通过模拟数据流经程序的路径,识别哪些数据...
parselmouth — 自动化的 Python 沙箱逃逸 payload bypass 框架
🍊 parselmouth 介绍这是橘子杀手的第 57 篇文章题图摄于:韩国 · 涉地可支parselmouth —— 自动化的 Python 沙箱逃逸 payload bypass 框架☁️ 基本介...
第2章:Kaleidoscope实现解析器和ast
⊙2.1简介⊙2.2抽象语法树⊙2.3语法解析器基础知识⊙2.4基本表达式解析⊙2.5二进制表达式解析⊙2.6解析其余部分⊙2.7 调度循环部分⊙2.8 完整代码2.1 第2章简介第一章我们介绍了万花...
从一道Web游戏题学习AST反混淆技术
01前言本次案例是一道web游戏题,但是用到的js文件被混淆了,同时在线的反混淆网站不能对其进行有效的反混淆,所以我们来学习编写ast代码来反混淆。附件放在最后。02处理过程拿到的js代码是被压缩成一...
JsSSA与网络请求解析
前言 当想对浏览器某个页面的的内容进行分析时,通常会进行一个网页跳转的HTTP请求并对服务器响应进行拦截,并获取网页内容,再解析对应的Js代码和Js文件。webpack处理后的js文件中有着各种网络请...
国赛babytree 赛题解析
题目给了一个txt文件,里面是swift的抽象语法树。文本很长而且是我不熟悉的swift语言,所以先了解一下swift的抽象语法树吧。swift开发环境搭建:https://www.fatbobman...
编译拾遗(二):揭秘污点追踪的困扰与对策
前言在编译拾遗(一):代码静态行为分析中,我们介绍了基本的静态代码行为分析的思路。在文章中抛出了很多很有难度的技术话题,得到了很多用户比较正面的反馈。在和用户读者交流的过程中,“污点追踪”这个词被反复...
安全静态分析(2)- 基于AST编写自动化漏洞检测
本篇为安全静态分析第二篇,简单介绍了AST是什么、AST语法、以及基于AST来做SQL注入检测的原理及代码实现了解ASTAST 是一个树状结构,其中每个节点表示源代码中的一个语法结构,如表达式、语句、...
BUUCTF Web Writeup 10
BUUCTF 刷题记录… [网鼎杯 2020 青龙组]filejava文件上传点 /UploadServlet, 上传后会返回下载链接 /DownloadServlet?filename...
简单说说SAST、DAST、IAST 和 RASP
在开篇之前,先假设所有读者对软件工程、网络安全的基础知识有基本的了解,第一个章节通过概述简单描述相关内容,让大家简单明白AST、SAST、DAST、IAST 和 RASP,...
利用插件逻辑反制Acunetix WVS 扫描器
以下文章来自李姐姐的扫描器原文:https://mp.weixin.qq.com/s/AOteCDwFWRinVKBnlOzAvgAcunetix WVS扫描器功能强大,插件丰富,广受白帽子们喜欢,是...
SSA格式到底是个啥?
SSA在编译过程中的位置介绍编译领域的整体介绍。编译问题根本上说,是一个从一个语言转换为同等语义的另一个语言的过程。在计算机领域中,我们期望的是编程语言可以越来越符合人类的理解,而机器可理解可运行的是...