你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
我这个人有个意识,但凡不是我自己研究出来的东西,或者不是已广为流传的东西,我都会把出处写明确,尽量不做拾人牙慧的事情。
举几个例子(下面几张图片):
1. ......
图片
@冒牌高富帅:p师傅你好,想问一下对于组件类的源码,你平时代码审计的时候是如何做威胁建模的?比如我在看javamail组件,是一个发送接收邮件的组件。
“威胁建模”这术语整高端了……我知道的就是按照功能点来看代码。比如mail组件(不仅限于JavaMail),可能出问题的地方:
1. SMTP Injection......
@路人甲:p师傅在rmi利用codebase执行代码的实验中运行server端的时候一直报一个错误,显示加载不到主类,classpath是配置好的,然后查找了一些资料还是没解决,所以问问p师傅。
提示了找不......
@等待。:P师傅,我想写个java漏洞利用的那种可视化的一键工具,我最近查找了网上很多资料,也查看了github一些开源的代码文件,效果不是很好,想请问您在这方面有没有推荐的实现方式。
推荐Jetbrains IDEA 使......
图片
@路人甲:xstream前几天的29505漏洞大佬有成功复现吗,是不是和jdk版本有关系?而且官网的poc是不是有点不对劲,content:<none>那里是不是要实体编码😂
JND......
Xcheck之Golang安全检查引擎
Golang安全检查引擎
Go语言近几年开始越来越......