你以为静态代码检查就是“看代码找错”?虽然静态代码检查是一种静态应用程序安全测试技术(SAST),且通常是在代码编译之前进行,但依赖于编译的静态代码检查更像给代码做“深度CT扫描”——必须拆解代码结构...
白泽带你读论文 | Object Dependence Graph and Query
如需转载请注明出处,侵权必究Mining Node.js Vulnerabilities via Object Dependence Graph and Query 本文发表于USENIX...
SimpleTemplate 模板引擎ssti注入和内存马学习
简介Bottle自带了一个快速,强大,易用的模板引擎,名为 SimpleTemplate 或简称为 stpl 。它是 view() 和 template() 两个函数默认调用的模板引擎。而Simple...
【Web逆向】某网站webpack逆向
作者论坛账号:Akihi6目标网站:aHR0cHM6Ly9tLmN0eXVuLmNuL3dhcC9tYWluL2F1dGgvbG9naW4/cmVkaXJlY3Q9JTJGbXk=寻找加密函数入口输入...
Kunlun-Mirror源代码审计工具
介绍 Cobra是一款源代码安全审计工具,能够识别多种编程语言源代码中的大部分显著安全漏洞与问题。https://github.com/wufeifei/cobra Cobra-W作为Cobra 2....
基于AST变化嵌入的实时缺陷预测
原文标题:Just-in-time defect prediction based on AST change embedding原文作者:Zhuang W, Wang H, Zhang X原文链接:...
利用抽象语法树注入从原型污染到RCE研究
本文介绍如何使用一种称为 AST 注入的新技术在两个著名的模板引擎中RCE。AST 注入什么是AST[AST] https://en.wikipedia.org/wiki/Abstract_synta...
2025掌控安全第七届封神台CTF WriteUp
难度:简单 WEB welcome_to_zkaqctf 靶场给出了app.js,分析js代码 const {promises: fs} = require('fs');const fa...
CodeQL之前置知识AST生成过程
JCTree官方文档 语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构,方便以后更好的处理AST数据。先找到JCTree(co...
JS逆向基础
一、熟悉 JavaScript 基础语法。 需要对 JavaScript 的语法,数据类型,运算符等有一定了解,这是理解 JavaScript 逆向的基础。 JavaScript 逆向的基础是对 Ja...
【免杀】一种python-ast免杀方式
简介 一种python动态加密免杀方式,过火绒、360、windows defender 正文 从免杀讲起 免杀就是反病毒技术,它指的是一种使病毒木马免于被杀软查杀的技术,由于免杀技术的涉猎范围非常广...
我国软件供应链安全供应市场特点分析及代表性厂商推荐(2024版)
在供应关系极度敏感的国际形势下,供应链被“武器化”已经成为一个不争的事实。从供应链视角开展软件安全审查,不仅是开展网络安全合规的必然要求,也是保障国家数字经济高质量发展的重要支撑,更是当前国际形势下我...