代码审计

JavaScript代码审计工具

我整理的一些关于【Java】的项目学习资料（附讲解～～）和大家一起分享、学习一下：https://d.51cto.com/bLN8S1如何实现一个JavaScript代码审计工具作为一名刚入行的小白，你可能对如何创建一个

叶梓诺·2025-07-02 22:48

【代码审计】安全审核常见漏洞修复策略

秋说·2025-07-01 12:11

2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项样题卷（二）

网络安全事件响应、数字取证调查、应用程序安全任务书任务1：应急响应（可以培训有答案）任务2：通信数据分析取证（40分）任务3：基于Windows计算机单机取证（120分）第三部分应用程序安全任务4：HP代码审计

落寞的魚丶·2025-06-29 07:22

2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项样题卷（四）

（四）第二部分：网络安全事件响应、数字取证调查、应用程序安全任务书任务1：应急响应（可以培训有答案）任务2：通信数据分析取证（40分）任务3：基于Windows计算机单机取证（120分）任务4：PHP代码审计

落寞的魚丶·2025-06-29 07:49

【代码审计】通过类型转换绕过校验，实现任意账户密码重置

未经许可，不得转载。文章目录背景漏洞描述风险分析1.code字段默认值为02.empty(0)判断失效3.利用MySQL类型转换绕过empty限制复现验证修复建议背景在Web系统开发中，密码找回功能往往涉及用户邮箱与随机验证码的匹配校验。如果验证逻辑存在疏漏，可能会引发严重的安全问题，如任意账户密码重置等高危漏洞。本文将分析一个典型的逻辑漏洞案例，并结合MySQL的类型转换行为深入探讨其产生原因。

秋说·2025-06-28 03:34

2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项样题卷（五）

网络安全事件响应、数字取证调查、应用程序安全任务书任务1：应急响应（可以培训有答案）任务2：通信数据分析取证（40分）任务3：基于Windows计算机单机取证（120分）第三部分应用程序安全任务4：C代码审计

·2025-06-27 09:32

2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项样题卷（一）

网络安全事件响应、数字取证调查、应用程序安全任务书任务1：应急响应（可以培训有答案）任务2：通信数据分析取证（40分）任务3：基于Windows计算机单机取证（120分）第三部分应用程序安全任务4：Java代码审计

落寞的魚丶·2025-06-27 09:02

2025年渗透测试面试题总结-2025年HW(护网面试) 14（题目+回答）

目录1.SQL注入原理2.XXE攻击（XML外部实体注入）3.SQL注入分类⚙️4.Windows提权方法5.文件上传绕过技巧️6.代码审计核心要点7.逻辑漏洞类型8.验证码绕过方法️9.CSRF原理10

·2025-06-26 11:05

求助帖：学Java开发方向还是网络安全方向前景好

最近网络安全被一个培训机构吹得天花乱坠，虽然他家既有网安又有java和UI，我也是学软件工程的（山西某211，此机构是每年和我们学校合作的校企公司），但那里的老师仍然大力推荐我学网络安全（渗透、代码审计

Jerry404_NotFound·2025-06-22 14:15

网站漏洞检测方法有哪些

以下是经实践验证的四大核心方法：‌一、人工代码审计：深度挖掘隐藏风险‌‌原理‌：由安全工程师逐行审查源代码，定位逻辑漏洞（如越权访问、业务缺陷）。‌适用场景‌：金融系统、电商平台等高安全性需求场景。‌

·2025-06-21 18:14

代码审查如何保障信息系统安全？费用与代码长度啥关系？

代码审计作用代码与信息系统紧密相连，无论是进行设计开发还是对功能进行更新，都必须要依赖代码的操控。

智云软件测评服务·2025-06-04 03:48

2024届【校招】安全面试题和岗位总结（字节、百度、腾讯、美团等大厂）_百度安全工程师面试笔试

写在前面个人强烈感觉面试因人而异，对于简历上有具体项目经历的同学，个人感觉面试官会着重让你介绍自己的项目，包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历=>因此对于自己的项目，面试前建议做一次复盘

网络安全苏柒·2025-05-28 15:02

未授权访问漏洞利用链实战总结

未授权访问→接口信息泄露→敏感数据获取→账户爆破→权限提升→系统控制二、关键步骤拆解与分析信息收集阶段初始突破口：系统登录页看似无效，但通过JS文件分析发现隐藏接口（如/productBase.do），体现代码审计重要性

Alfadi联盟萧瑶·2025-05-23 22:20

鸿蒙系统固件提取与分析：深入底层的研究方法

通过剖析鸿蒙系统的固件架构、启动流程及文件系统特性，结合实际案例演示固件解包、镜像解析和代码审计的关键技术。文章涵盖核心概念、数学原理、实战操作及工具推荐，为嵌入式系统开发者、安全研究员和

操作系统内核探秘·2025-05-20 17:57

ctfshow web入门 nodejs334-338

334.这题入门题,下载附件以.zip的格式打开,拿到源代码,进行代码审计,varexpress=require('express');varrouter=express.Router();varusers

瓜农ynnddddd·2025-05-12 03:28

7.2.安全防御

目录一、安全防御基础与核心原则安全防御的核心理念•CIA三元组（机密性、完整性、可用性）•最小权限原则与纵深防御策略安全开发周期（SDL）•需求阶段威胁建模（STRIDE）•代码审计与自动化扫描（SonarQube

zizisuo·2025-05-09 00:21

某靶场自动化FUZZ文件上传接口+Bypass文件上传

目录1.前言2.自动化渗*透测*试3.漏*洞利*用3.1文件上传Bypass4.代码审计1.前言群里小伙伴扔了一个靶场，一看文件上传，存在upload.js文件，套路大概就是构造文件上传请求，可能在上传时需要

afei00123·2025-05-04 22:00

黑客网站学习

www.jarvisoj.com/2、BUUCTF网址：https://buuoj.cn/challenges3、websec网址：http://www.websec.fr4、ringzeroctf这是一个国外的网站，包含代码审计

林代码er·2025-05-04 15:42

【[De1CTF 2019]SSRF Me1】

目录代码审计整体代码逐块审计'/De1ta'路由waf函数exec()scan函数self.checkSign()getSign()解题过程代码审计整体代码#!

白初&·2025-05-03 21:19

【Java代码审计】反序列化漏洞篇

【Java代码审计】反序列化漏洞篇1.反序列化漏洞概述概述反序列化过程详解2.反序列化漏洞产生的必要条件3.反序列化漏洞检测方案代码审计白盒检测黑盒检测RASP检测攻击检测️4.普通反序列化漏洞5.XMLDecoder

世界尽头与你·2025-04-27 00:27

CodeQL结合GPT实现代码审计效率翻倍

背景在软件开发中代码审计是确保代码安全性的重要环节。传统的代码审计方法常常依赖人工审查和静态分析工具，耗时且易于遗漏潜在问题。

·2025-04-24 10:45

2025年渗透测试面试题总结-拷打题库06（题目+回答）

目录1.Sleep被禁用后的SQL注入2.XSS属性控制利用3.CSRF防护4.危险请求头5.XXE高发场景6.Java中间件漏洞7.IIS漏洞8.Python框架漏洞9.任意密码重置漏洞10.PHP代码审计要点

独行soc·2025-04-20 21:41

如何审计一个智能合约

代码审计对任何应用程序都很重要，但它们对去中心化应用程序(dApp)尤其重要，因为它们建立在其之上的区块链是不可变的。如果代码漏洞导致用户资金丢失，这些资金将无法找回。

Chainlink资讯·2025-04-18 05:43

代码审计--语言指南（go）

目录1通用类I.代码实现1.1内存管理1.2文件操作1.3系统接口1.4通信安全1.5敏感数据保护1.6加密解密1.7正则表达式2后台类I.代码实现1.1输入校验1.2SQL操作1.3网络请求1.4服务器端渲染1.5Web跨域1.6响应输出1.7会话管理1.8访问控制1.9并发保护通用类1.代码实现类1.1内存管理1.1.1【必须】切片长度校验在对slice进行操作时，必须判断长度是否合法，防止程

jerry-Autumn·2025-04-17 15:13

【区块链安全 | 第三十四篇】合约审计之重入漏洞

文章目录概念漏洞代码代码审计攻击代码攻击过程总结示例修复建议审计思路概念以太坊的智能合约可以互相调用，也就是说，一个合约可以调用另一个合约的函数。除了外部账户，合约本身也可以持有以太币并进行转账。

秋说·2025-04-11 23:23

2025年渗透测试面试题总结- 某汽车厂商-安全工程师扩展（题目+回答）

目录某汽车厂商-安全工程师扩展一、XXE漏洞与SSRF的深度对比1.XXE（XMLExternalEntity）漏洞2.SSRF（Server-SideRequestForgery）二、代码审计流程的六阶段模型

独行soc·2025-04-08 08:54

[极客大挑战 2019]Havefun1

[极客大挑战2019]Havefun1代码审计发现根据代码逻辑，要求传入’cat’参数，值为’dog’时执行if的操作，所以构造参数:?cat=dog获得flag

成为别人口中的IT高手·2025-04-07 18:53

【MongoDB + 向量搜索引擎】MongoDB Atlas 向量搜索提供全托管解决方案

在代码审计项目中，MongoDB可以用于存储元数据和部分结构化信息，但要高效处理向量相似性搜索，需结合其他工具。

rockmelodies·2025-04-04 14:36

2025届【春招】安全面试题和岗位总结（字节、百度、腾讯、美团等大厂）

写在前面个人强烈感觉面试因人而异，对于简历上有具体项目经历的同学，个人感觉面试官会着重让你介绍自己的项目，包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历=>因此对于自己的项目，面试前建议做一次复盘

网安导师小李·2025-03-31 23:40

AI代码审计工具推荐︱AI+SAST 破解传统代码审计难题，AI助力开发效率提升

通用大模型AI凭借其高效的算法和强大的推理能力，已在多个领域展现出了卓越的上下文理解和代码生成能力。随着DeepSeek等新一代大模型技术的横空出世，其卓越的表现为软件供应链安全行业带来了前所未有的关注和机遇。近日，悬镜安全灵脉SAST（静态代码扫描工具）结合AI大模型，全新升级为：灵脉AI开发安全卫士https://sast.xmirror.cn/。通过接入DeepSeek、通义千问等通用大模型

DevSecOps选型指南·2025-03-29 21:31

2025年河北省第二届职业技能大赛网络安全项目模块 A样题任务书

数字取证调查和应用程序安全第一部分网络安全事件响应：任务1：应急响应：第二部分数字取证调查任务2：操作系统取证任务3：网络数据包分析取证任务4：计算机单机取证第三部分应用程序安全：任务5：应用程序安全分析任务6：代码审计分值分配表

落寞的魚丶·2025-03-25 19:34

深度探索 Java 代码审计：筑牢安全防线的关键之路

对于众多使用Java语言进行开发的程序员而言，深入掌握Java代码审计技能，无疑是守护软件安全的核心手段。

阿贾克斯的黎明·2025-03-17 16:07

【Java代码审计 | 第十三篇】XXE漏洞成因及防范

未经许可，不得转载。文章目录XXE漏洞成因解析XML的Java方法DocumentBuilder（原生，可回显）SAXReader（DOM4J，第三方库）SAXBuilder（JDOM，第三方库）SAXParserFactory（原生，不可回显）XMLReaderFactoryDigester（ApacheCommonsDigester）支持XInclude的DocumentBuilderSAXP

秋说·2025-03-10 04:24

2025年渗透测试面试题总结-字某跳动-安全研究实习生（三面）（题目+回答）

目录字某跳动-安全研究实习生（三面）一、攻防演练经典案例分析二、CSRF漏洞修复方案三、Java代码审计流程四、SQL注入防御体系五、域名访问技术解析六、登录页安全风险七、安全工具开发实践字某跳动-安全研究实习生

独行soc·2025-03-08 10:14

【网络安全】敏感字段扫描工具（可用于漏洞挖掘、代码审计）

原创文章，禁止转载。读者可对脚本进行二次创作，以适配个人需求。文章目录ScanSensitiveInfo.py效果图ScanSensitiveInfo.py该脚本用于扫描敏感字段、代码中可能引入的第三方JS链接/服务以及可能涉及信息泄露的请求方法。1、脚本采用单线程处理，避免多线程导致的混行问题。2、为避免硬编码或其他潜在问题，脚本会对指定目录下的所有文件进行全量扫描。3、用法：pythonSca

秋说·2025-03-04 00:50

DVWA 靶场(含代码审计)

DVWA靶场的通关刚建立和使用输入http://dvwa:8898/setup.php//进入用户名密码dvwa你自己设计的想要进入数据库点击creat用户名密码adminpasswordAttacktypeSniper模式在Sniper模式下，Payload字典用于逐个替换请求中标记的位置。例如，如果一个表单需要用户名和密码，Sniper会依次尝试不同的用户名和密码组合，直到找到有效的登录凭证或

AaWeiAa·2025-02-24 20:34

安全面试2

文章目录简单描述一下什么是水平越权，什么是垂直越权，我要发现这两类漏洞，那我代码审计要注意什么地方水平越权：垂直越权：水平越权漏洞的审计重点垂直越权漏洞的审计重点解释一下ssrf漏洞原理攻击场景修复方法横向移动提权

白初&·2025-02-23 18:00

【网络安全 | PHP代码审计】YXcms

文章目录环境配置1.4.5版本安装1.2.1版本安装代码审计session伪造实现账户接管XSSGetshellXSS漏洞无回显SQL注入默认密钥下的SQL注入SQL显错注入未授权+代码执行任意文件删除

秋说·2025-02-21 16:13

141，【1】buuctf web [SUCTF 2019]EasyWeb

进入靶场代码审计18){die('Oneinchlong,oneinchstrong!')

rzydal·2025-02-20 22:25

选择开发代码审计工具的编程语言需要结合具体场景和技术需求，不同语言在性能、生态、开发效率等方面各有优劣

选择开发代码审计工具的编程语言需要结合具体场景和技术需求，不同语言在性能、生态、开发效率等方面各有优劣。

rockmelodies·2025-02-18 01:13

Git标签管理：从基础到高阶自动化实践

Git标签（Tag）作为版本控制的关键锚点，不仅是发布流程的里程碑，更是代码审计和问题追溯的重要依据。本文将深入Git标签的底层机制，揭示企业级标签管理的最佳实践。

小钟H呀·2025-02-15 01:31

解锁反序列化漏洞：从原理到防护的安全指南

任意代码执行（二）权限提升（三）数据泄露与篡改四、常见的反序列化漏洞场景（一）PHP反序列化漏洞（二）JBoss反序列化漏洞（三）WebLogic反序列化漏洞五、如何检测反序列化漏洞（一）使用安全扫描工具（二）代码审计六

垚垚 Securify 前沿站·2025-02-11 00:56

PHP代码审计

目的：对源代码进行审计，寻找代码中的BUG和安全漏洞一.代码审计的基础1.基础:html/js基础语法、PHP基础语法，面向对象思想，PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等)，Web

Smile灬凉城666·2025-02-05 04:23

攻防世界web进阶_Web_php_unserialize

攻防世界web进阶_Web_php_unserialize解题思路打开之后是一段代码审计file=$file;//构造函数把里面的参数变成传进来的参数}function__destruct(){echo

Cxxxik·2025-02-05 03:51

攻防世界 simple_php

>代码审计总结：a==0且a为真，b不是数字且b>1234这些条件同时满足才会返回flagPHP中，==会自动转换类型然后进行比较,当一个字符串和一个数字进行比较时，PHP会尝试将这个字符串转换为一个数字

yashunan·2025-02-05 03:50

第28天：PHP应用&Cookie脆弱&Session固定&Token唯一&身份验证&数据库通讯

#知识点：0、安全开发-原生PHP-数据库通讯1、安全开发-原生PHP-身份验证技术2、安全开发-Cookie&Session&Token3、安全开发-原生PHP-代码审计案例1、数据库操作验证用户login.php

XDU小迷弟·2025-02-04 04:53

代码审计学习路线

学习代码审计分以下四部分一.编程语言1.前端语言html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery主要写一些涉及到CSRF脚本使用的或者DOM型XSS，JSON劫持等

白帽子技术分享·2025-02-03 10:52

php代码审计学习路线

学习PHP代码审计可以帮助你识别和修复PHP应用中的安全漏洞，保护应用免受恶意攻击。

子非鱼999·2025-02-03 10:52

PHP代码审计学习02

目录代码审计一般思路Beescms代码审计（upload）Finecms基于前台MVC任意文件上传挖掘思路CLTPHP基于thinkphp5框架的文件上传挖掘思路今天来看PHP有框架MVC类，文件上传，

玄客)·2025-02-03 09:17

BUUCTF--[羊城杯 2020]Easyphp2

进入后的页面根据题目提示我们可以知道这是一道PHP代码审计的题所以使用伪协议查看源代码,这里使用的是两次url编码绕过/?

Uzero.·2025-02-03 09:10

推荐频道