sink - 第 3 | CN-SEC 中文网

安全工具

开源：快速代码审计辅助工具

1. 开发 - CodeScan 2. 前言这里是详细解释下CodeScan的用法，之前偏向于快速的代码审计，于是就写了一个这种快速匹配Sink点的工具，省的每次点点点搜搜索了，Python属实不优...

09月29日53 views评论

阅读全文

安全文章

某bi V 6.0.19 尝试绕过黑名单

Cypher语法本次使用tabby来分析相关利用链子，会用到Cypher的相关语句，如以下语句是查询readobject被谁调用，深度为5，查询20条链，match (source:Method {N...

09月24日12 views评论

阅读全文

安全新闻

【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践

目录一、前言二、破壳平台漏洞复现三、使用污点查询复现漏洞四、使用模式匹配复现漏洞五、查找函数调用栈六、使用平台内置插件七、总结八、TOTOLINK路由器0day挖掘实践一前言在本公众号之前发布...

08月28日103 views评论

阅读全文

安全漏洞

Joern In RealWorld (1) - Acutators + CVE-2022-21724

这个系列会记录我用Joern复现真实漏洞的一些过程，同样也是对Joern的深入探索。这里我选用Java-sec-code的范例代码做第一部分，这篇文章记录了两个比较经典的漏洞Springboot Ac...

08月20日47 views评论

阅读全文

安全新闻

AMD 无法修补的漏洞：Sinkclose，或导致数百万美元损失

IOActive 的研究人员发现了AMD 处理器中存在一个严重漏洞，该漏洞已存在数十年。该漏洞名为 Sinkclose，攻击者可以利用该漏洞侵入计算机最安全的部分，而且修复该漏洞几乎是不可能的。专家警...

08月12日21 views评论

阅读全文

安全新闻

AMD SinkClose漏洞可安装几乎无法检测到的恶意软件

导读AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的...

08月10日98 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 安全预警 2024-07-09 这是谁的学院？

计算机安全的所有问题，都只是CVE吗？在一个风平浪静（但是全球变暖）的夜晚，G.O.S.S.I.P 成员在阅读一篇古老的技术文章时，对作者的学校（Helsinki University of Tech...

07月09日22 views评论

阅读全文

安全工具

【IDEA插件分享】SecInspector

点击蓝字关注我们 SecInspector 介绍 SecInspector为IDEA静态代码扫描插件，侧重于在编码过程中发现项目潜在的安全风险（一键搜索所有的sink点，替代传统control+F大法...

07月01日126 views评论

阅读全文

安全工具

inspector！IDEA代码审计辅助插件

工具介绍 SecInspector为IDEA静态代码扫描插件，侧重于在编码过程中发现项目潜在的安全风险（一键搜索所有的sink点，替代传统control+F大法），部分漏洞并提供一键修复能力，提升安全...

06月29日49 views评论

阅读全文

安全新闻

MongoDB 中全新原型污染小工具可导致 RCE

最近，我在mongodb NPM 包中发现了一个新的原型污染小工具，它会导致远程代码执行 (RCE)。尽管这一发现令人兴奋，但我的报告被归类为“信息性”，因为它的利用取决于使用此库的应用程序。无论如何...

06月18日12 views评论

阅读全文

代码审计

【代码审计】一种全新的代码审计技术：SyntaxFlow

一种全新的代码审计技术：SyntaxFlow代码审计技术在过去的一段时间的发展中，似乎受到了一个魔咒，安全从业人员的很难摆脱 *QL的影响，毕竟编译成数据库，然后通过 QL 来查询。或者通过把 AST...

06月15日50 views评论

阅读全文

代码审计

一种全新的代码审计技术：SyntaxFlow

代码审计技术在过去的一段时间的发展中，似乎受到了一个魔咒，安全从业人员的很难摆脱 *QL的影响，毕竟编译成数据库，然后通过 QL 来查询。或者通过把 AST 解析进 neo4j，通过 neo4j 的 ...

06月15日39 views评论

阅读全文

开源：快速代码审计辅助工具

某bi V 6.0.19 尝试绕过黑名单

【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践

Joern In RealWorld (1) - Acutators + CVE-2022-21724

AMD 无法修补的漏洞：Sinkclose，或导致数百万美元损失

AMD SinkClose漏洞可安装几乎无法检测到的恶意软件

G.O.S.S.I.P 安全预警 2024-07-09 这是谁的学院？

【IDEA插件分享】SecInspector

inspector！IDEA代码审计辅助插件

MongoDB 中全新原型污染小工具可导致 RCE

【代码审计】一种全新的代码审计技术：SyntaxFlow

一种全新的代码审计技术：SyntaxFlow

在线咨询

微信