主要围绕静态审计的定位,介绍静态分析的本质及开源静态分析技术的发展;针对如何进行自动化分析、如何分析变量函数之间的关联、如何提高静态分析的准确度等问题提出一些解决措施。从而引出对静态审计的局限与发展的思考
目标定位
思路|关联
局限|展望
2021-08-08 13:00:13
4.64MB
代码审计一直是企业白盒测试的重要一环,面对市场上众多商业与开源的审计工具,汽车之家想集众家之所长来搭建一套自动化的扫描系统。 他们认为应该具有以下几个特点:
自动化识别项目依赖组件
自动化识别组件已知漏洞
自动化处理误报
自动化触发扫描
高危漏洞在敏捷开发中的issue闭环跟踪
支持分布式部署
可以集成到CI/CD系统中
赵乾给出实践方法与思路,在系统设计方面,分层设计模块解耦,各个模块之间使用 API 接口进行通信。
2021-08-08 13:00:11
2.89MB
Web应用随着互联网模式的蓬勃应用而越来越成为轻客户端的首选,而同时随着越来越多的Web应用的普及和发展,安全问题也愈加受到各个厂商和互联网公司的重视。但所谓“解铃还需系铃人”,coding的问题终究还需要coder来解决,无论对于安全服务工程师还是对于普通开发工程师,在面对Web安全问题时终究要把其脉、摸其底,以往的渗透测试工程师讲Web安全或侧重漏洞原理,或侧重漏洞演示,本期沙龙由IDF实验室核心成员魏志伟分享程序员角度的Web安全。
2021-08-07 14:00:40
1.37MB
这个演讲覆盖了漏洞挖掘过程中的必要知识。包括识别不同的攻击面,用不同的方法去审计和测量浏览器程序,这其中 fuzzing 技术将是我们的关注重点。我们将披露真实的案例,包括一些我们用来对抗谷歌 ClusterFuzz 这样的巨头对手的工具和经验。
2021-08-07 14:00:12
1.59MB
#资源分享达人# 之前挖洞泄露的源码文件,其中有PbootCMS等,可进行代码审计
2021-08-03 09:00:09
94.48MB
1
最新版本的代码扫描工具fortify的规则库,网络上很多2019版本的下载,但是没有对应的规则,这份是最新版本的规则。
2021-07-24 12:24:16
9.66MB
1
提供刚刚学习代码审计的同学一起学习,其实也没有什么好说的,由于市面上比较难找,这里提供给大家方便下载,版本是8.3的。
2021-07-19 15:32:06
3.5MB
1