sink - 第 6 | CN-SEC 中文网

CTF专场

Java代码分析工具Tabby在CTF中的运用

前言随着静态分析技术的不断发展，越来越多安全研究人员开始利用静态分析技术来解决问题，相比于传统手段，利用静态分析技术可以大大减少漏洞挖掘成本和时间，本文将尝试利用一款Java静态代码分析工具tabby...

10月20日454 views评论

阅读全文

安全文章

PHP运行时漏洞检测

零基础黑客教程，黑客圈新闻，安全面试经验尽在 # 暗网黑客教程 #一前言这片博文将简单的介绍Fate0编写的 PHP 运行时漏洞检测系统prvd的检测逻辑，以及该系统在际测试中的效果。二 ...

09月03日28 views评论

阅读全文

代码审计

codeql白盒代码审计工具初体验

Codeql作为一款半自动化代码审计工具，据说被称为0day挖掘神器。本文作为codeql的扫盲篇，带大家了解一下该工具的基本使用。主要内容包含有codeql工具的安装，然后通过java-sec-co...

07月17日1,274 views评论

阅读全文

安全开发

从响应式编程到 Combine 实践

动手点关注干货不迷路 👆大约一年前，Resso 接入了 Combine，利用响应式编程简化了代码逻辑，也积累了很多实践经验。本文会从响应式编程的基本思想并逐步深入介绍 Combi...

06月16日30 views评论

阅读全文

安全文章

浅析污点分析技术

信息流分析是防止信息的保密性和完整性被破坏的一种有效手段，它通过分析程序中数据传播的合法性来保证信息安全。而污点分析技术作为信息流分析技术的一种实践方法，目前被广泛用于系统隐私数据泄露检测、系统安全漏...

05月13日889 views评论

阅读全文

安全工具

基于Chromium 的 XSS 检测工具，BurpSuite 靶场实践

1 介绍XSS 是网络中最常见的漏洞，再配合其它的攻击手段往往能轻易敲开服务器的大门。在各大漏洞平台中，XSS 漏洞也是数量最多的。本文介绍基于 Chromium 源码实现的 XSS 检测工具，该工具...

05月13日46 views评论

阅读全文

安全开发

使用codeql自动挖掘Java反序列化gadget

0x00 背景前两天看到一篇老外写的用codeql挖掘Java反序列化gadget的文章 https://www.synacktiv.com/en/publications/finding-gadg...

04月03日129 views评论

阅读全文

安全文章

semgrep 分析log4j2

看到很多师傅都是使用codeql 来找log4j2 shell 的Sink和Source，例如FreeBuf 上的文章《codeql分析log4j 》https://www.freebuf.com/a...

03月25日180 views评论

阅读全文

安全闲碎

基于JS语义分析的Dom-XSS自动化研究

想给w13scan加入这个功能，快要下班了，就写篇文章简单说下目前的研究进展。起先想法很简单，通过一个敏感函数触发点回溯分析到能够利用的参数，目前写下来，解决最大的就是一些编程问题，没什么特别的算法，...

03月07日108 views评论

阅读全文

安全文章

Findsecbugs工作原理和配置(一)

网上关于findsecbugs的文章少之又少，包括stackoverflow和google搜索的结果。简单的来说，findsecbugs插件的原理就是污点跟踪技术。就是跟踪这个链，往里面丢污染的数据，...

02月26日465 views评论

阅读全文

安全漏洞

【漏洞通告】Apache log4j反序列化与SQL注入漏洞

通告编号:NS-2022-00042022-01-19TAG：Log4j、CVE-2022-23302、CVE-2022-23305、CVE-2022-23307漏洞等级：攻击者利用漏洞，可实现远程代...

01月20日574 views评论

阅读全文

CVE-2018-11776: 如何使用CodeQL发现5个 Apache Struts RCEs

August22, 2018这是一篇翻译，我觉得很好，就翻一下分享给大家。2018年4月，我向Struts安全团队和Apache Struts安全团队报告了一个新的远程代码执行漏洞。该漏洞已被分配为...

01月11日安全漏洞146 views评论

阅读全文

Java代码分析工具Tabby在CTF中的运用

PHP运行时漏洞检测

codeql白盒代码审计工具初体验

从响应式编程到 Combine 实践

浅析污点分析技术

基于Chromium 的 XSS 检测工具，BurpSuite 靶场实践

使用codeql自动挖掘Java反序列化gadget

semgrep 分析log4j2

基于JS语义分析的Dom-XSS自动化研究

Findsecbugs工作原理和配置(一)

【漏洞通告】Apache log4j反序列化与SQL注入漏洞

CVE-2018-11776: 如何使用CodeQL发现5个 Apache Struts RCEs

在线咨询

微信