赞
踩
代码审计是相对高效的漏洞挖掘方法,哪怕逐渐产生xcheck等使用污点分析的自动化审计软件,也仍然需要具有审计功底的工程师人工验证漏洞报告,甚至开发更佳的审计软件。有时觉得代码审计繁琐,但其实黑盒更繁琐且容易失去重心,辛勤的黑盒漏洞挖掘,可能还不如审出一个框架的CVE来的实在,。安全基于代码,更高于代码,代码审计是安全的精髓之一。
有一个不停内耗的疑惑:究竟是不断地追求成果,还是十年板凳无人问、一朝漏洞世人知?也许我们更应该关注自己。另外安全是项目繁杂的,不断地有项目和事务向我们砸来,我们对某方面技术的研究往往停留在浅尝辄止的层面,在这种情况下沉下心做好一件事,也许就是极好的。
直觉说,我喜欢代码、喜欢审计。理智说,做下去、不忘初心,未来会给我答案。
星球之前推荐过三篇文章:
【Java 代码审计入门-01】审计前的准备
https://www.cnpanda.net/codeaudit/588.html
【Java 代码审计入门-02】SQL 漏洞原理与实际案例介绍
https://www.cnpanda.net/codeaudit/600.html
【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
https://www.cnpanda.net/codeaudit/605.html
知识盒子有JavaWeb的相关课程:
https://zhishihezi.net/b/5d644b6f81cbc9e40460fe7eea3c7925
Github上面也有相关的项目:https://github.com/proudwind/javasec_study
《从0开始聊聊自动化静态代码审计工具》,https://paper.seebug.org/1339/
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。