代码复审

2024/4/12 17:35:05
代码审计与web安全:第二章作业

代码审计与web安全:第二章作业

代码审计与web安全-第二章-作业 1.导致代码缺陷的原因主要包括(BCD) A采用SDL B 程序员的开发经验和技术水平 C项目中引入开源代码,导致开源漏洞 D项目发布前通常进行功能和性能测试,没有安全测试 导致代码缺陷的原因可能包括多种因素,其中&#xff1a…
阅读更多...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞

Java代码审计安全篇-XXE(XML外部实体注入)漏洞

前言: 堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油 注意: 本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各…
阅读更多...
【网安大模型专题10.19】※论文5:ChatGPT+漏洞定位+补丁生成+补丁验证+APR方法+ChatRepair+不同修复场景+修复效果(韦恩图展示)

【网安大模型专题10.19】※论文5:ChatGPT+漏洞定位+补丁生成+补丁验证+APR方法+ChatRepair+不同修复场景+修复效果(韦恩图展示)

Keep the Conversation Going: Fixing 162 out of 337 bugs for $0.42 each using ChatGPT 写在最前面背景介绍自动程序修复流程Process of APR (automated program repair)1、漏洞程序2、漏洞定位模块3、补丁生成4、补丁验证 (可以学习的PPT设计)经典的…
阅读更多...
常见code review问题

常见code review问题

空值:值为null导致空指针异常,参数字符串含有前导或后缀空格没有Trim导致查询为空,建议添加空值检测,在参数入口统一做trim未捕获的异常:调用API接口、库函数或系统服务时,一定要添加防护,做防御…
阅读更多...
Pichome欧奥图文档系统代码审计—路由分析

Pichome欧奥图文档系统代码审计—路由分析

目录 1.前言 1.1 环境搭建 2.路由分析 2.1 路由定义文件 2.2 路由调用 2.3 admin.php 2.4 user.php
阅读更多...
【git】git拉取代码报错,fatal: refusing to merge unrelated histories问题解决

【git】git拉取代码报错,fatal: refusing to merge unrelated histories问题解决

大家好,我是好学的小师弟。今天准备将之前写的代码,拉到新的工程文件夹(仓库)下面,用了pull命令,结果报错了,报错截图如下 $ git pull https://gitee.com/* #仓库地址 fatal: refusing to merge unrelated histor…
阅读更多...
如何进行正确的 CodeReview

如何进行正确的 CodeReview

软件开发生命周期中至关重要的一步是代码审查。它使开发人员能够显著提升代码质量。它类似于书籍的创作过程。首先,作者写故事,然后经过编辑以确保不会出现诸如混淆“you’re”和“yours”之类的错误。在这个语境中,代码审查指的是检查和评估…
阅读更多...
腾讯 13 年,我所总结的Code Review终极大法

腾讯 13 年,我所总结的Code Review终极大法

# 关注并星标腾讯云开发者 # 每周1 | 鹅厂工程师带你审判技术 # 第3期 | 林强:Code Review 我都 CR 些什么 谚语曰: “Talk Is Cheap, Show Me The Code”。知易行难,知行合一难。嘴里要讲出来总是轻松,把别人讲过的话记住,组织一…
阅读更多...
Java框架安全篇--Shiro-550漏洞

Java框架安全篇--Shiro-550漏洞

Java框架安全篇--Shiro-550漏洞 Shiro反序列化源码可以提取: https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4 JAVA反序列化就不说了,可以参考前面文章 https://blog.csdn.net/m0_63138919/article/details/136751184 初始Apache Sh…
阅读更多...
【PHP + 代码审计】数组基础

【PHP + 代码审计】数组基础

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…
阅读更多...
java审计-RCE审计

java审计-RCE审计

RCE 漏洞的定义及原理 RCE 的中文名称是远程命令执行,指的是攻击者通过Web 端或客户端提交执行命令,由于服务器端没有针对执行函数做过滤或服务端存在逻辑漏洞,导致在没有指定绝对路径的情况下就可以执行命令。 RCE 漏洞的原理其实也很简单&…
阅读更多...
代码评审(Code Review)规范

代码评审(Code Review)规范

一、目的 Code Review是一种用来确认方案设计和代码实现的质量保证机制,通过这个机制我们 可以对代码、测试过程和注释进行检查。 Code Review主要用来在软件工程过程中改进代码质量,通过Code Review可以达到 如下目的: 1) 在项目早期就能够…
阅读更多...
Java安全 CC链3分析

Java安全 CC链3分析

Java安全 CC链3分析 cc链3介绍前置知识类加载类加载的方法例1.forName例2.getSystemClassLoader总结 javassist模块 cc链3分析TemplatesImpl类demo2TrAXFilter类InstantiateTransformer类 最终exp基于LazyMap链基于TransformedMap链 cc链3介绍 cc链3的后半部分与cc链1相同&…
阅读更多...
Code Review(代码审查)

Code Review(代码审查)

代码审查是软件开发生命周期的重要组成部分。它能显著提高开发人员的代码质量。 这个过程就像写一本书。作者写好了内容,出版社编辑对其进行了校审,所以没有出现任何错误,例如将“你”与“你的”混淆。这个案例中,代码审查是阅读…
阅读更多...
Java代码审计安全篇-SSRF(服务端请求伪造)漏洞

Java代码审计安全篇-SSRF(服务端请求伪造)漏洞

前言: 堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油 注意: 本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各…
阅读更多...
CodeReview 规范及实施

CodeReview 规范及实施

优质博文:IT-BLOG-CN 一、为什么需要CodeReview 随着业务压力增大,引发代码质量下降,代码质量的下降导致了开发效率的降低,维护成功高等问题,开发效率下降后又加重了业务压力,最终陷入了死亡三角的内耗之…
阅读更多...
【PHP+代码审计】PHP基础——数据类型

【PHP+代码审计】PHP基础——数据类型

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…
阅读更多...
提高 Code Review 质量的最佳实践

提高 Code Review 质量的最佳实践

Code Review 是软件开发中至关重要的环节,它有助于确保代码质量、提高团队协作水平,同时也是一个学习和知识分享的机会。以下是一些提高 Code Review 质量的最佳实践: 1. 设置清晰的标准和目标 在进行 Code Review 之前,确保整个…
阅读更多...
英文阅读-LinkedIn‘s Tips for Highly Effective Code Review

英文阅读-LinkedIn‘s Tips for Highly Effective Code Review

LinkedIn的CR技巧 LinkedIn团队CodeReview经验与方法,原文来自https://thenewstack.io/linkedin-code-review/ 总结 Do I Understand the “Why”? 在提交pr的同时需要描述本次修改的“动机”,有助于提高代码文档质量。 Am I Giving Positive Feedbac…
阅读更多...
前端代码审查(Code Review)---具体实践规范会持续更新

前端代码审查(Code Review)---具体实践规范会持续更新

前端代码审查(Code Review) 针对目录结构、SCSS规范、JS规范、Vue规范 可参照官方给出的风格指南(Code Review) 具体实践规范 1、POST/PUT/DELETE 请求按钮需要添加 loading 状态,防止重复提交。 建议使用 Element UI…
阅读更多...
自制目录扫描工具并由py文件转为exe可执行程序

自制目录扫描工具并由py文件转为exe可执行程序

心血来潮让ChatGPT写了一个目录扫描工具,然后进行了一定的修改和完善,可以实现对网站目录的一个简单扫描并输出扫描结果,主要包括存在页面、重定向页面和禁止访问页面。 虽然代码很简单,但是做这个东西的过程还是挺有意思的&…
阅读更多...
2023年信息安全管理与评估—应用程序安全解析

2023年信息安全管理与评估—应用程序安全解析

第三部分 应用程序安全(90分) 目录 第三部分 应用程序安全(90分)
阅读更多...
关于CodeReview的一些思考

关于CodeReview的一些思考

在日常开发中,Code Review 的重要性日益凸显。它不仅有助于提升代码质量,还促进了团队成员之间的知识共享和技能提升。本文将主要聚焦于 Code Review,分享在这个过程中的一些心得和思考。 CodeReview常用到的一些术语 之前看到公司的大佬经…
阅读更多...
Java常见CodeReview及编码规范

Java常见CodeReview及编码规范

鉴于自己的开发经验,以及常见容易产生bug及性能问题的点做个记录. 1.数据库 如果开发人员的经验不足,Java通过ORM(Mybatis)对数据库的操作的性能问题比较隐蔽.因为不压测或者异常case没发生的时候一般发现不了问题.特别是异常case发生的时候. 除配置表以外的sql都要经过expl…
阅读更多...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)

Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…
阅读更多...
【Java集合进阶】list常见的方法和五种遍历方式数据结构

【Java集合进阶】list常见的方法和五种遍历方式数据结构

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收藏…
阅读更多...
【Java集合进阶】LinkedList和迭代器的源码分析泛型类、泛型方法、泛型接口

【Java集合进阶】LinkedList和迭代器的源码分析泛型类、泛型方法、泛型接口

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收藏 …
阅读更多...
亚马逊的卫星发射升空,它和“星链”在讲什么故事?

亚马逊的卫星发射升空,它和“星链”在讲什么故事?

日前,亚马逊公司拟发射首批卫星,这一举动是为了启动名为“柯伊伯计划”的太空互联网服务计划。该计划希望能与太空探索技术公司的“星链”计划相抗衡。 亚马逊表示,Kuiper系统的首批生产卫星计划于2024年上半年发射,并预计将在20…
阅读更多...
3.5网安学习第三阶段第五周回顾(个人学习记录使用)

3.5网安学习第三阶段第五周回顾(个人学习记录使用)

本周重点 ①SSRF服务器端请求伪造 ②序列化和反序列化 ③Vaudit代码审计 本周主要内容 ①SSRF服务器端请求伪造 一、概述 SSRF: server site request forgery (服务器端请求伪造)。 SSR: 服务端请求,A服务器通过函数向B服务器发送请求。 SSRF发生的前提条件…
阅读更多...
Java代码审计安全篇-反序列化漏洞

Java代码审计安全篇-反序列化漏洞

前言: 堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油 注意: 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录…
阅读更多...
如何打破SAST代码审计工具的局限性?

如何打破SAST代码审计工具的局限性?

关键词:白盒测试;代码分析工具;代码扫描工具;静态代码检测工具; 在代码的世界里,安全问题如同潜伏的暗礁,随时可能让航行中的软件项目触礁沉没。SAST代码审计工具如同雷达一样,以其独…
阅读更多...
【code Review】一个Optional类可以优雅的解决告别丑陋判空

【code Review】一个Optional类可以优雅的解决告别丑陋判空

文章目录概述创建Optional实例获取Optional中的值判断Optional是否为空Optional中的过滤、转换方法总结参考概述 最近项目组内做code review,充斥着大量的、原始的、丑陋的判空语句,大致类似下面的代码: if (user ! null) {Address address…
阅读更多...
为什么要code review

为什么要code review

1. 简介 本文将介绍 Code Review的相关内容,包含为什么要Code Review,以及Code Review主要review哪些部分的内容,之后讲述如何才能形成一套比较好的Code Review规则和流程。后续讲述了Code review中一些可以遵守的比较好的规则,最…
阅读更多...
web攻防-通用漏洞验证码识别复用调用找回密码重定向状态值

web攻防-通用漏洞验证码识别复用调用找回密码重定向状态值

目录 一、知识点概述 二、找回密码过程中涉及到的安全问题 三、案例演示 <验证码回显> <修改Response状态值> <验证码爆破> 四、真实案例1 <更改状态值> <验证码接口调用> 五、真实案例2 <用户名重定向> 六、安全修复方案 一、…
阅读更多...
【Java常用API】简单爬虫练习题

【Java常用API】简单爬虫练习题

&#x1f36c; 博主介绍&#x1f468;‍&#x1f393; 博主介绍&#xff1a;大家好&#xff0c;我是 hacker-routing &#xff0c;很高兴认识大家~ ✨主攻领域&#xff1a;【渗透领域】【应急响应】 【Java】 【VulnHub靶场复现】【面试分析】 &#x1f389;点赞➕评论➕收藏 …
阅读更多...
编程参考 - C++ Code Review: 一个计算器的项目

编程参考 - C++ Code Review: 一个计算器的项目

GitHub - jroelofs/calc: Toy Calculator Toy Calculator 1&#xff0c;拿到一个project&#xff0c;第一眼看&#xff0c;没有配置文件&#xff0c;说明没有引入持续集成系统&#xff0c;continuous integration system。 2&#xff0c;然后看cmake文件&#xff0c;使用的子…
阅读更多...
Java代码审计安全篇-常见Java SQL注入

Java代码审计安全篇-常见Java SQL注入

前言&#xff1a; 堕落了三个月&#xff0c;现在因为被找实习而困扰&#xff0c;着实自己能力不足&#xff0c;从今天开始 每天沉淀一点点 &#xff0c;准备秋招 加油 注意&#xff1a; 本文章参考qax的网络安全java代码审计&#xff0c;记录自己的学习过程&#xff0c;还希望…
阅读更多...
JNDI注入原理及利用IDEA漏洞复现

JNDI注入原理及利用IDEA漏洞复现

&#x1f36c; 博主介绍&#x1f468;‍&#x1f393; 博主介绍&#xff1a;大家好&#xff0c;我是 hacker-routing &#xff0c;很高兴认识大家~ ✨主攻领域&#xff1a;【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 &#x1f389;点赞➕评论➕收…
阅读更多...
java审计-JDBC注入审计

java审计-JDBC注入审计

sql注入 基础 在常见的web漏洞中&#xff0c;SQL注入漏洞较为常见&#xff0c;危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击&#xff0c;在条件允许的情况下&#xff0c;不仅可以获取整站数据&#xff0c;还可通过进一步的渗透来获取服务器权限&#xff0c;…
阅读更多...
精读《如何做好 CodeReview》

精读《如何做好 CodeReview》

1 引言 任何软件都是协同开发的&#xff0c;所以 CodeReview 非常重要&#xff0c;它可以帮助你减少代码质量问题&#xff0c;提高开发效率&#xff0c;提升稳定性&#xff0c;同时还能保证软件架构的稳定性&#xff0c;防止代码结构被恶意破坏导致难以维护。 所以 CodeRevie…
阅读更多...
《软件开发的201个原则》

《软件开发的201个原则》

目录 前言 一、一般原则 二、需求工程原则 三、设计原则 四、编码原则 五、测试原则 六、管理原则 七、产品保证原则 八、演变原则 总结 前言 《软件开发的201个原则》主要面向以下三类目标读者&#xff1a; 软件工程师和管理者。你可以弄清什么对软件项目是好的&…
阅读更多...
【网安AIGC专题10.19】论文6:Java漏洞自动修复+数据集 VJBench+大语言模型、APR技术+代码转换方法+LLM和DL-APR模型的挑战与机会

【网安AIGC专题10.19】论文6:Java漏洞自动修复+数据集 VJBench+大语言模型、APR技术+代码转换方法+LLM和DL-APR模型的挑战与机会

How Effective Are Neural Networks for Fixing Security Vulnerabilities 写在最前面摘要贡献发现 介绍背景&#xff1a;漏洞修复需求和Java漏洞修复方向动机方法贡献 数据集先前的数据集和Java漏洞Benchmark数据集扩展要求数据处理工作最终数据集 VJBenchVJBench 与 Vul4J 的…
阅读更多...
08架构管理之架构检查方法

08架构管理之架构检查方法

一句话导读 架构检查是确保软件系统设计和架构质量的关键步骤。通过结合文档审查、模拟和测试等多种方法&#xff0c;可以全面评估系统的性能、可维护性、安全性和可扩展性。有助于团队对于公司制度的理解&#xff0c;有助于公司管理部门对相关制度的落地。能够帮助公司项目降…
阅读更多...
gerrit(3) | gerrit code review 产品概况

gerrit(3) | gerrit code review 产品概况

gerrit(3) | gerrit code review 产品概况 本文是对 Gerrit Code Review Product Overview 的机器翻译&#xff0c; 然后增加了一点个人的看法。 Gerrit Code Review 是基于 Git 版本控制的基于 Web 的代码审查工具。 Gerrit Code Review 是个啥 ? Gerrit provides a frame…
阅读更多...
CodeReview 小工具

CodeReview 小工具

大家开发中有没有遇到一个版本开发的非常杂&#xff0c;开发很多个项目&#xff0c;改动几周后甚至已经忘了自己改了些什么&#xff0c;领导要对代码review的时候&#xff0c;理不清楚自己改过的代码&#xff0c;只能将主要改动的大功能过一遍。这样就很容易造成review遗漏&…
阅读更多...
通达OA_文件包含漏洞

通达OA_文件包含漏洞

一、漏洞描述 复现靶场&#xff1a;通达2017版 漏洞文件&#xff1a;td\webroot\ispirit\interface\gateway.php 漏洞地址&#xff1a; /mac/gateway.php 漏洞POC&#xff1a;json{“url”:“/general/…/…/mysql5/my.ini”} 利用工具&#xff1a;https://github.com/dioos88…
阅读更多...
【网安大模型专题10.19】论文6:Java漏洞自动修复+数据集 VJBench+大语言模型、APR技术+代码转换方法+LLM和DL-APR模型的挑战与机会

【网安大模型专题10.19】论文6:Java漏洞自动修复+数据集 VJBench+大语言模型、APR技术+代码转换方法+LLM和DL-APR模型的挑战与机会

How Effective Are Neural Networks for Fixing Security Vulnerabilities 写在最前面摘要贡献发现 介绍背景&#xff1a;漏洞修复需求和Java漏洞修复方向动机方法贡献 数据集先前的数据集和Java漏洞Benchmark数据集扩展要求数据处理工作最终数据集 VJBenchVJBench 与 Vul4J 的…
阅读更多...
众邦科技CRMEB商城商业版任意文件写入getshell 0day

众邦科技CRMEB商城商业版任意文件写入getshell 0day

代码审计 接口&#xff1a;/adminapi/system/crud 处理的代码如下 public function save(SystemCrudDataService $service, $id 0){$data $this->request->postMore([[pid, 0],//上级菜单id[menuName, ],//菜单名[tableName, ],//表名[modelName, ],//模块名称[table…
阅读更多...
Java代码审计安全篇-目录穿越漏洞

Java代码审计安全篇-目录穿越漏洞

前言&#xff1a; 堕落了三个月&#xff0c;现在因为被找实习而困扰&#xff0c;着实自己能力不足&#xff0c;从今天开始 每天沉淀一点点 &#xff0c;准备秋招 加油 注意&#xff1a; 本文章参考qax的网络安全java代码审计&#xff0c;记录自己的学习过程&#xff0c;还希望各…
阅读更多...
保持代码质量与规范的长期开发与维护策略

保持代码质量与规范的长期开发与维护策略

好的代码和优雅的代码是编写高质量、可维护和易读的代码的概念。 好的代码具备以下特点&#xff1a; 可读性&#xff1a;好的代码易于阅读和理解&#xff0c;使用清晰的命名和注释&#xff0c;遵循一致的代码风格和结构。 可维护性&#xff1a;好的代码易于修改和维护&#x…
阅读更多...

Copyright @ 2022~2023