有些自媒体喜欢设置非常长的文章标题,笔者也试一下。最近多方信源显示,进入2025年以来,国内疑似发生多起境外勒索软件组织实施的数据勒索事件,据称的受害者不乏有高科技企业甚至是网络安全相关企业。而也是在...
用Joern进行PHP漏洞复现与挖掘
目录一、Joern的概念二、Joern的使用三、PHP漏洞复现四、减小误报率五、总 结Joern是源码级的静态分析工具,支持多种语言(二进制有Ghidra支持),接下来将从Joern的基本概念,Jo...
Joern与CPG是什么?
从人们开始探索代码扫描这件事情开始,市面上就在不断地诞生着各种各样的工具,经过了几年的演变以及发展,对于白盒代码扫描这件事情来说,大家的观念也在逐渐趋同。无论是基于IR(Intermediate Re...
使用 Joern 进行漏洞挖掘
使用 Joern 进行漏洞挖掘曾几何时,在 代码安全审计之道 一文中介绍了一些形而上学的代码审计方法论,在该文章提及未来会继续介绍一些具体的漏洞挖掘工具和技巧,即代码安全审计之术。正所谓白驹过隙,光阴...
使用Joern进行漏洞挖掘(Joern支持Android漏洞挖掘)
使用 Joern 进行漏洞挖掘曾几何时,在 代码安全审计之道 一文中介绍了一些形而上学的代码审计方法论,在该文章提及未来会继续介绍一些具体的漏洞挖掘工具和技巧,即代码安全审计之术。正所谓白驹过隙,光阴...
Joern In RealWorld (1) - Acutators + CVE-2022-21724
这个系列会记录我用Joern复现真实漏洞的一些过程,同样也是对Joern的深入探索。这里我选用Java-sec-code的范例代码做第一部分,这篇文章记录了两个比较经典的漏洞Springboot Ac...
白盒分析神器-代码属性图CPG-3000字参数讲解
一、项目导入implementation(group = "de.fraunhofer.aisec", name = "cpg-core", version = cpgVersion)implemen...
代码属性图CPG之数据流图DFG-精简版
引言CPG中的DFG系列共分为三篇,三篇文章加起来将近10000字了,针对每个表达式类型都做了非常详尽的讲解,内容已经非常全面且细致了,绝对值得一读,先放个链接哈,想要学习的同学可直接点击链接跳转哈:...
最佳实践之部署安全且具有韧性的AI系统
文章来源:https://media.defense.gov/2024/Apr/15/2003439257/-1/-1/0/CSI-DEPLOYING-AI-SYSTEMS-SECURELY.PDF本...
NSA和CISA红蓝队共享的网络安全误配置TOP10 (下)
缓解措施(MITIGATIONS)01安全建设人员NSA和CISA建议通过以下措施在安全建设上针对性地缓解上文中不安全配置带来的风险。这些缓解措施符合 CISA 和美国国家标准与技术研究院 (NIST...
Joern In RealWorld (3) - 致远OA A8 SSRF2RCE
致远OA是国内最有名的OA系统之一,这个OA封闭商业售卖再加上纷繁复杂的版本号加持下,致远OA拥有大量无法准确判断的版本。这篇文章的漏洞源于下面这篇文章,文章中提到该漏洞影响A8, A8+, A6等多...
CISA扩大网络安全委员会,更新基线安全目标
美国网络安全和基础设施安全局 (CISA) 本周宣布在其网络安全咨询委员会 (CSAC) 中增加更多专家,并更新去年推出的基线网络安全目标。CISA 周一宣布了 CSAC 的十几名新成员,他们的职责是...