SAST静态分析第4页

Xposed Hook Module(模块)开发流程总结

start：2020年8月27日一、前言：最近在分析某看点App的网络协议，通过jadx静态分析之后，最重要就是要知道分析的位置到底传递了那些信息，第一反应是直接用AK插入log打印出来，但是回编译失败了

take2020·2023-11-24 22:51

几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)

以下是其中一些工具：FindBugs：FindBugs是一个静态分析工具，用于查找Java代码中的潜在缺陷和错误。它可以检测出空指针引用、资源未关闭、不良的代码实践等问题。

没刮胡子·2023-11-23 22:50

web渗透测试之代码审计

基本信息：原理：代码安全测试是从安全的角度对代码进行测试评估结合丰富的安全知识、编程经验、测试技术，利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷，在代码形成软件前将业务安全降到最低方式：

赤赤三·2023-11-22 23:03

试用SAST工具

最近拿到库博SASTV4.3版本，看到这款工具支持MISRA系统全部标准、ISO17961标准，国军标GJB8114和5369等，采用缺失代码补偿技术，在不用编译通过情况依然达到很高的检测精度。在国外工具Checkmarx虽然也采用编译不通过情况下检测，但是却不支持C/C++语言的检测。而Coverity的C、C++语言检测能力强，但是对被检测代码要进行编译，如果编译失败或部分文件不能编译，则不能

manok·2023-11-22 07:29

源代码静态检测分析技术浅析

下面我结合源代码静态分析的发展，技术特点，来分析四种相关技术：数据流和模式匹配技术符号执行的分析技术抽象解释的分析方法值流分析为主的分析方法数据流和模式匹配分析技术早期静态分析工具经常采用的技术，包括达到定值分析

manok·2023-11-22 07:29

认识DAST、SAST、RAST和IAST

主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST，每种技术都有一定的优缺点。我们注意了解一下。

manok·2023-11-22 07:58

编译器安全

今天我正好拿到了库博静态分析工具，利用它检测一下gcc编译器，看看这款编译器质量怎么样？网络上百度了一下，国内C/C++常用的编译器GCC4.8.1版本比较多，我从

manok·2023-11-22 07:51

代码静态扫描分析工具介绍

代码静态检测程序静态分析（ProgramStaticAnalysis）是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性

源伞科技·2023-11-22 05:51

有关编译器的科普

Clang有静态分析，GCC没有。Clang使用BSD许可证，GCC使用GPL许可证。Clang从一开始就被设计为一个API，允许它被源代码分析工具和IDE

代码改变世界ctw·2023-11-21 15:51

（转载）Webpack 入门教程

它将根据模块的依赖关系进行静态分析，然后将这些模块按照指定的规则生成对应的静态资源。本章节基于Webpack3.0测试通过。

不知名码农·2023-11-21 12:16

安全测试工具分为 SAST、DAST和IAST 您知道吗？

其实安全测试工具大致分为三类：SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别！

测试开发Kevin·2023-11-20 13:36

使用typescript编写代码，实现如何在编译时通过静态分析检测出常见错误？

要在编译时通过静态分析检测出常见错误，我们可以使用TypeScript提供的类型系统和其他特性，使用以下方法：1.使用类型声明文件：使用类型声明文件可以帮助在编译时检测出类型不匹配的错误。

超级编程大王·2023-11-20 09:36

灰鸽子2008生成木马详细分析

首先使用灰鸽子2008生成木马样本，ip地址为虚拟机地址192.168.115.129图片.png静态分析对样本进行初步的静态分析：基本信息名称内容文件名称Server.exeMD5ed558582817df8ba97f47e042af917c3

Ginkgo_Alkaid·2023-11-19 18:39

软件质量保护与测试（第2版）学习总结第十一章白盒测试

错误隐藏在角落里、集聚在边界处----BorisBeizer白盒测试是看源代码的，静态分析和动态分析11.2控制流测试程序结构主要有3种顺序结构、分支结构、循环结构#include"stdafx.h"#

村口曹大爷·2023-11-19 06:38

医疗软件制造商如何实施静态分析，满足 FDA 医疗器械网络安全验证

慧都小妮子·2023-11-16 18:05

NewStarCTF2023-Reverse-Week2-WP

因此直接动调就可以出结果，静态分析在网上找个RC4解密脚本也可以。使用JEB动调手机上点一下按钮就

X1=1C·2023-11-16 14:27

PhpStorm 2020.3：全面支持PHP 8，PHPStan，Xdebug 3和协作开发等

这个主要版本包括对PHP8，静态分析器PHPStan和Psalm，Xdebug3，TailwindCSS，通过CodeWithMe进行协作开发的全面支持。PhpStorm2020.3现已上市！

不如温暖过生活·2023-11-16 01:25

阿里p8测试大佬亲授：这样学习，人人都可以进阿里

扎实的编程开发能力：熟悉Linux／Shell编程，能熟练掌握一门高级开发语言（初级推荐Python，高级推荐Java，甚至包括特定领域语言如Go／Rust）；深入代码分析的能力：Sonar等各类代码静态分析和建模技术

喜欢软测的小北葵·2023-11-14 11:01

攻防世界 pwnstack writeup

adworld.xctf.org.cn/challenges/list【思路】栈溢出【具体步骤】Step1：checksec一下，发现程序是一个只有NX的64位程序Step2：将程序放到IDApro下进行静态分析

22的卡卡·2023-11-14 08:54

应用安全测试技术DAST、SAST、IAST对比分析-持续更新

应用安全测试技术DAST、SAST、IAST对比分析-持续更新版权来源：安全牛首发文章，本文仅补充完善。

HuiTest·2023-11-13 18:16

3.2 IDAPro脚本IDC常用函数

IDAPro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。

微软技术分享·2023-11-13 08:01

webpack介绍及使用

它将根据模块的依赖关系进行静态分析，打包生成对应的静态资源。webpack可以解决当前web开发中所面临的困境

前端青山·2023-11-12 16:37

【Rust 日报】2021-8-26 Rudra Rust 的内存安全和未定义行为检测工具

RudraRust的内存安全和未定义行为检测工具Rudra是一个静态分析器，用于检测Rust程序中常见的未定义行为。它能够分析单个Rust包以及crates.io上的所有包。

Rust语言中文社区·2023-11-12 10:55

论坛回顾｜蚂蚁供应链安全建设实践

边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。

墨菲安全·2023-11-12 06:53

Linux调试：cflow安装与使用（一个用于静态分析函数调用关系的工具）

1、安装sudoapt-getinstallcflow2、使用通过cflow--help可以查看使用方法，主要有以下几个常用的选项：-A,--all：展示所有函数，不仅仅是从main函数调用的；-b,--brief：简要输出；–cpp[=COMMAND]：运行指定的预处理命令；-d,--depth=NUMBER：设置流程图被切断的深度；-D,--define=NAME[=DEFN]：预定义名字作为

R-QWERT·2023-11-11 05:56

使用 cflow 静态分析 C 语言并生成函数调用关系

cflow安装cflow是一款静态分析C语言代码的工具，通过它可以生成函数的调用关系，并输出各种函数之间的依赖关系图。源码安装的方式都差不多，就不多说了。

Looooking·2023-11-11 05:14

白盒测试之语句覆盖、判定覆盖、条件覆盖等

1、定义说明（1）白盒测试：白盒测试是一种测试用例设计方法；白盒测试的方法总体上分为静态分析方法和动态分析方法两大类。主要用于单元测试阶段，代码和逻辑的测试，重点复杂的测试，是一种测试用例设计方法。

create_right·2023-11-10 09:15

CI/CD流程图

CI/CD实践在gitlab上定义WebHooc事件，若发生push到GitLab操作，则触发Jenkins的JobJenkins从GitLab拉取代码，静态分析，启动服务，单元测试，构建镜像，推送到Docker

wang725·2023-11-09 04:49

Android逆向--IDA动态调试环境搭建

目录一、准备的工具：二、总览步骤二、静态逆向获得app信息1.将Apk安装的手机2.对apk进行静态分析，获得apk的包名，入口Activity，以及so文件。

胡其先生·2023-11-09 02:30

vue-i18n 国际化_使用静态分析管理vue-i18n本地化

vue-i18n国际化vue-i18n提取(vue-i18n-extract)vue-i18n-extractisbuilttoworkwithyourVue.jsprojectsusingvue-i18n.Whenrunvue-18n-extractanalysesyourVue.jssourcecodeforanyvue-i18nkeyusages(ex.$t(''),$tc(''),...)

cuk5340·2023-11-07 23:09

Java代码检查和bug分析工具

这里列出了3种Java静态分析工具，每一种工具关注一个特定的能发挥自己特长的领域，我们可以列举一下：Java代码检查工具PMDPmd它是一个基于静态规则集的Java源码分析器，该软件功能强大，扫描效率高

酷鱼影子·2023-11-05 21:23

代码分析体系及Sonarqube平台

代码分析IDE辅助功能：xcode、androidstudio独立的静态分析工具：findbugs、androidlint、scan-build、pmd、阿里巴巴java开发规范pmd插件代码审计关注的质量指标

ceshiren_com·2023-11-05 02:11

比较静态分析03-微分、偏微、全微、偏导、方向导、全导

尽管导数dy/dx被定义为当v—>0时，q=g(v)的差商的极限，但是每次求导数时，没有必要都进行取极限的操作，因为存在着各种求导法则可以直接求导所需要的导数。求导法则求导法则1求导法则2求导法则3我们可以先从“微分”入手，然后再说“导数”。“微分”是理解微积分的关键，其内核是**“以直代曲，线性逼近”。**微分对于一元微分，y=f(x)，y的微分是dy=f'(x)dx，一元函数的微分就是切线。一

凡有言说·2023-11-05 01:14

一款SAST工具需要支持多少种编译器呢？

除了Java语言，C#语言之外，C、C++语言是编译器类型最多的编程语言，有几十种编译器，这些编译器方言为研发SAST工具带来了巨大的工作量，很多产品由于无法适配客户的编译器，导致无法检测。

manok·2023-11-04 16:41

SAST静态应用安全测试工具的分析引擎小析

SAST工具最难的技术在于底层引擎的开发，根据引擎采用的技术可以分成三类：针对源代码进行检测。主要是指对于C、C++、Java、C#编译型开发语言，不需要编译，而是直接对于源代码本身进行检测。

manok·2023-11-04 16:11

SAST——Checkmarx静态检测工具收集（2）

分别对应的SAST、SCA和IAST三类应用安全测试类型工具。CheckmarxCxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。

manok·2023-11-04 16:10

软件开发代码安全秘籍：如何使用SEI CERT C保护您的软件

在本文中，我将讨论如何使用静态分析通过设计实现此标准的安全性。“尽管保护软件的概念很重要，但是保护无缺陷的软件比保护漏洞百出的软件容易得多。”

Pokemogo·2023-11-04 10:31

微服务设计模式-架构真题（六十八）

源代码静态分析工具文档分析工具版本控制工具再工程工具答案：C解析：SCCS是版本控制工具网闸的描述错误的是（）。

后端从入门到精通·2023-11-04 07:10

Android静态权限静态分析工具

前言相信最近在App上架应用商店的同学都感受到了，国内对用户的隐私越来越重视，如MAC地址，设备ID，IMEI信息等，要么就干脆不用，要么就必须很明显的告诉用户想要获取这些信息，相关法律及规定，参考《网络安全法》及《关于开展APP侵害用户权益专项整治工作的通知》开门见山废话不多说，找了几个反编译工具，并简单看了下使用方法，最终锁定androguard，官方解释：对Android应用程序的逆向工程、

BK_凌霄·2023-11-04 05:48

先科sast x6盒子拆机解决散热问题

sast先科的盒子我先后用了两个,分别是基于rockchip3229的Q7和rockchip3328的X6,前者是基于arma7架构的,对新版本android兼容不太好,而3328是基于A53架构,就可以支持到最新

danscort2000·2023-11-03 22:55

算力下跌5.53%｜莱特币12月9日行情

本报告在12月9日09:03莱特币难度调整后，基于莱特币币价及蚂蚁L3+机型的矿机对LTC的挖矿收益情况，主要从静态分析方面进行了简析。

韩帅傅·2023-11-03 13:08

野指针产生原因和解决方法

使用静态分析或动态调试工具来检测和修复错误。

Waiyuet Fung·2023-11-03 01:18

1.关于逆向工程（《逆向工程核心原理》笔记）

逆向分析方法逆向分析方法大致分为两种：静态分析和动态分析法。静态分析法静态分析是指在不执行程序的情况下，对代码进行分析。

大能猫能·2023-11-02 17:07

Webpack5学习笔记(持续更新)

它将根据模块的依赖关系进行静态分析，打包生成对应的静态资源(bundle)。1.2webpack五个核心概念1.2.1Entry入口(Entry)指示webpa

节省钱·2023-11-02 16:45

信息安全与技术——（十一）恶意代码检测与防范技术

木马病毒3.4DDoS攻击木马3.5邮箱病毒4.恶意代码的特性4.1勒索病毒4.2情书病毒5.计算机病毒6.恶意代码生命周期6.1恶意代码传播6.2恶意代码感染途径6.3恶意代码的触发7.恶意代码分析7.1静态分析

TUTOU程序猿·2023-11-01 21:29

iOS 逆向基础概念笔记

天空中的球·2023-11-01 17:48

通过gosec白盒扫描Go代码中的SQL注入

方案通过gosec扫描代码中的注入问题：gosec是一个静态分析工具，用于扫描Go代码以查找潜在的安全问题。它可以识别常见的代码漏洞、敏感信息泄露和其他安全问题，帮助开发人员提前发现并修复潜

=(^.^)=哈哈哈·2023-11-01 16:47

Python脚本加密保护混淆加密实例

混淆加密混淆利用花指令和代码非等价变形等技术，将程序的代码转换成一种功能上等价但是难于阅读和理解的代码，可充分干扰静态分析。为了增加代码阅读的难度,源代码的混淆非常必要。

未来无限·2023-10-31 10:58

【前端模块化】-关于ES Module规范

ESModule规范认识ESModuleESModule和CommonJS的模块化有一些不同之处：一方面它使用了import和export关键字；另一方面它采用编译期的静态分析，并且也加入了动态引用的方式

我不是小滑块·2023-10-29 17:51

node（二）-----模块化2（ES module）

2.4.ES6ModuleESModule和CommonJS的模块化有一些不同之处：一方面它使用了import和export关键字；另一方面它采用编译期的静态分析，并且也加入了动态引用的方式（import

mischievous_boy·2023-10-29 17:10

推荐频道

SAST静态分析