Skip to main content

moregeek program

java sql注入代码审计_土豆笔记的博客-多极客编程

前言:在之前的一篇关于​​JAVA SQL注入测试​​ 文章中记录了一些JAVA SQL注入代码审计及测试过程及注意点,近来回头看觉得那仅仅只能作为一个普通场景,漏掉了很多的特殊场景,因此又进一步进行了学习,现将相关笔记内容整理如下。一、Mybatis 注入审计常见流程:1、选择.xml文件,全局搜索${2、从${逆向找到Controller思路(大体思路,实际作为参考):.xml中的id——&g

Read More

codeql的自动化代码审计之路(中篇)_mb627b50e21abf2的博客-多极客编程

0x01 前言在上一篇文章中,我们已经了解了关于CodeQL的基本语法,从实际案例角度来体验了CodeQL在代码审计中的作用。从这篇文章开始,我们将开始真正打造基于CodeQL的自动化代码审计工具,由于这仅仅是来自于个人兴趣的研究,并非来自成熟项目,所以在文章中可能缺陷,各位大佬如果有更好的意见建议,请私信。CodeQL的代码审计整体过程可以分成两个部分,如图1.1所示,分别是从源代码解析成Cod

Read More

XXE外部实体注入(XML External Entity Injection)学习笔记-多极客编程

       说明:这篇笔记记录了我学习XXE外部实体注入相关的知识,包括基础知识以及后面的实例,里面还掺杂了最早学习xml注入的一些笔记,可能显得有些乱。最早学习的时候是基于PHP语言写的BWAPP靶机做的实验学习,最近又在学习JAVA代码审计,因此对当时的笔记进行了补充。部分笔记都来源于网络,另外结合自己的理解对java测试代码进行了补充修改,通过对代码的修复加深对XXE攻击的理解。另外强调一

Read More

代码审计开源工具推荐-多极客编程

这里是坚果前端小课堂,欢迎关注公众号“坚果前端”,2021年11.30日,天气晴朗!问题引出 铁汁们, 跟大家咨询一个事情,俺想找几个开源免费的代码审计工具,有没有收藏过大佬 定义 代码审计工具是一类辅助我们做白盒测试的程序,它可以分很多类,例如安全性审计以及代码规范性审计,等等。 刚好之前有收藏,今天给大家带来四款工具, 1.工具名称VisualCodeGre

Read More