代码审计与web安全:第二章作业

已于 2024-06-01 09:35:54 修改
阅读量1.1k 收藏 14
点赞数 4
分类专栏: 代码审计与web安全 文章标签: web安全 安全 代码复审
于 2024-03-30 18:11:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_72471315/article/details/137178648
版权

代码审计与web安全-第二章-作业

1.导致代码缺陷的原因主要包括(BCD)
A采用SDL
B 程序员的开发经验和技术水平
C项目中引入开源代码,导致开源漏洞
D项目发布前通常进行功能和性能测试,没有安全测试

导致代码缺陷的原因可能包括多种因素,其中:
B 程序员的开发经验和技术水平:程序员的技术能力和经验水平直接影响代码质量。经验丰富的程序员可能会写出更稳定、更少缺陷的代码。
C 项目中引入开源代码, 导致开源漏洞:使用开源代码可以加快开发进程,但如果不对引入的代码进行适当的审查和测试,可能会引入安全漏洞。
D 项目发布前通常进行功能和性能测试,没有安全测试:如果在发布前只进行功能和性能测试而忽略了安全测试,可能会遗漏一些安全相关的缺陷。
而A 采用SDL(安全开发生命周期)通常是减少软件缺陷的做法,因为它包括了安全考虑在内的整个软件开发过程。所以,正确的选项应该是 B, C, 和 D

2.常见的源代码缺陷包括( ACD) 三类
A输入验证
B 输出验证
C资源审计
D代码质量

常见的源代码缺陷通常可以分为以下三类:

A 输入验证:不恰当的输入验证可能导致各种安全问题,如SQL注入、跨站脚本(XSS)等。
C 资源审计:不正确的资源管理和审计可能导致资源泄露,如内存泄露、文件描述符泄露等。
D 代码质量:低质量的代码可能包含更多的缺陷,影响程序的稳定性和性能。
而B 输出验证通常不被视为源代码缺陷的一类,因为它关注的是信息的输出安全,而不是源代码本身的问题。所以,正确的选项应该是 A, C, 和 D。

3.you

最低0.47元/天 解锁文章
系统架构设计师【第5章】: 软件工程基础知识 (核心总结)
数据知道的博客
05-30 1万+
按照常见的软件开发阶段划分,分别讨论需求、分析、设计、编和测试等环节中的常见方法和技术
Web安全学习——代码审计入门
weixin_43815032的博客
01-28 809
一、常见的代码审计工具 1、Fortify SCA Fortify SCA是一个静态的、白盒的软件源代安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结 2、Checkmarx CxSuite Checkmarx CxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代的运 3、3...
[Web安全 网络安全]-代码审计
刘鑫磊
11-04 966
代码审计
代码审计--web安全之文件上传
seanlal的博客
02-25 751
过完年回来第一博,之前看到公众号“信安之路”(非常棒的讲安全的公众号)发了一篇文章 审计某开源商城中的漏洞大礼包 说的是文件上传的安全漏洞,想到自己之前也做过文件上传模块 自己审计下自己的垃圾代。 文章中的php代直接删除imgsrc对应的文件,没有做校验,那么可以指定任意路径删除 我的删除模块 String eid = req.getParameter("eid")...
java web安全代码审计
liguangyao213的博客
07-17 511
针对javaweb系统进行全方位的分析,分析其代中的安全问题,发现编过程中存在漏洞及风险,并给出修复建议,下图是课程大纲,百度链接为免费试看课程哦。我的欢迎加微信撩我:HackMan2 试听课程:链接:https://pan.baidu.com/s/1T-cNBPmhepq81TLDPj663A 提取:shu5 ...
Web安全Web安全Java代码审计总结
m0_61572518的博客
04-23 3753
《网络安全Java代码审计实战》笔记。 一、SQL注入 1.1 常见的sql注入场景 1.预编译错误编程方式 String username = ""; String id = "2"; String sql = "SELECT * FROM user where id = ?"; if(!CommonUtils.isEmptyStr(username)) sql += "and username like '%" + username + "%'"; PreparedStatement pst
代码审计英制转换的结合】:自动化工具在审计中的强大应用
![【代码审计英制转换的结合】:自动化工具...随着软件开发复杂性的增加,代码审计成为保证软件质量和安全性的关键环节。本文首先介绍了代码审计英制转换的基本概念,并详细探讨了理论基础、工具选择以及自动化审计
Joern内部机制工作原理深度解析:揭秘代码审计工具的力量
[Joern内部机制工作原理深度解析:揭秘代码审计工具的力量](https://joern.io/img/query.png) # 摘要 本文介绍了Joern代码审计工具,详细阐述了其核心架构、组件、基础操作及高级特性。通过分析Joern的安装、配置...
【SQL Server安全审计】:追踪验证访问活动的终极指南
[【SQL Server安全审计】:追踪验证访问活动的终极指南](https://learn.microsoft.com/en-us/azure/azure-sql/database/media/auditing-overview/2_auditing_get_started_server_inherit.png?view=azuresql) ...
2023Web安全面试题大全(附答案详解)看完稳了
ZL_1618的博客
10-12 450
1.如何分辨base64长度一定会被4整除很多都以等号结尾(为了凑齐所以结尾用等号),当然也存在没有等号的base64仅有 英文大小写、数字、+ /base64不算加密,仅仅是一门编2.如何分辨MD5 //(特点)一般是固定长度32位(也有16位) // 16 位实际上是从 32 位字符串中,取中间的第 9 位到第 24 位的部分容易加密细微偏差得到最终的值差距很大md5加密是一种不可逆的加密算法 //不过貌似我国的王小云院士通过碰撞算法破解了。
web-代码审计】(14.1)代审查方法
09-02 1609
【代审查方法】
缺陷的分类
足球中国的专栏
11-09 5528
缺陷的分类 一.根据缺陷类型对缺陷分类  功能缺陷  界面缺陷  文档缺陷  代缺陷  算法错误  性能缺陷 二.根据缺陷的等级对缺陷分类  A 类—致命缺陷,包括以下各种错误:  由于程序所引起的死机,非法退出;  死循环;  数据库发生死锁;  因错误操作导致的程序中断;  功能错误;  数据库连接错误;  数据通讯错误  B...
20220129---CTF刷题---WEB--代码审计
qq_51550750的博客
01-29 1091
20220129—CTF刷题—WEB代码审计 刷题网站:世界攻防 https://adworld.xctf.org.cn/ WEB方向–新手区第5题: 一道简单的代码审计题 首先通过get方法传参 a要转化成数字是0,但是不能直接传0,否则$a就是false b不能是数字,否则退出 b还要求转化成数字之后,比1234要大(这里当然比较的是ASCII) 于是尝试: http://111.200.241.244:54752/?a=0aa&b=2245b 得到flag:Cyberpeace{6
Java Web安全代码审计
Fly_鹏程万里
02-13 9066
信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代进行审计。对于未编译的Java源代文件我们可以直接阅读其...
网络安全之框架安全漏洞分析
最新发布
anquan2233的博客
06-11 422
Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,本质上可以看作是对 Servlet 的高级封装。在 MVC 架构中,Struts2 作为控制器(Controller)负责接收用户请求,并协调模型(Model)视图(View)之间的数据交互。Struts2 是 Struts 的下一代产品,它融合了 Struts 1 和 WebWork 的技术优势,重构并推出了全新的框架架构。
【网络安全】SRC漏洞挖掘思路/手法分享
等风来
06-03 573
本文总结了多个实用的渗透测试技巧,涵盖接口安全、权限管理、数据泄露等多个方面。主要包括:主机URL复制差异、GET请求并发实现、密明文获取方法、文件上传黑名单绕过、优惠券逻辑漏洞测试、用户信息越权访问、多重参数修改越权、复杂ID收集技巧、参数删除实现越权、权限管理参数空值测试、Cookie参数越权、Host头修改越权、并发测试场景、HTTP方法滥用、前端限制绕过、分隔符注入攻击、脏数据绕过频率限制、数组参数篡改以及邀请权限提升漏洞等
网络安全之内核初级对抗技术分析
anquan2233的博客
06-10 923
Windows 内核提供了多个强大的回调接口,可以用于监控或控制系统行为,其中 ObRegisterCallbacks 和 CmRegisterCallback 是两种最常用于进程保护和注册表监控的机制。本文会通过多个完整的驱动示例,演示如何利用这两种回调进行内核级防护,并分析它们在初级对抗中的实际应用效果局限性。测试环境:win10内核回调机制是内核安全防护的重要组成部分,但在面对有一定逆向能力和 Ring0 编写能力的攻击者时,其对抗能力仍存在上限。
【网络安全】Qt免杀样本分析
anquan2233的博客
06-06 1024
主程序(Qt)利用poolparty timer创建并调用shellcode,shellcode调用dll run函数,run函数给dll提权重新加载,提权后把shellcode注入winlogon.exe,在winlogon.exe中生成白加黑文件并为其创建计划任务(每两小时执行一次),白加黑文件重复前面所有,不过在run时就不需要提权了,因为计划任务是以SYSTEM身份运行的。
网络安全之防病毒系统
anquan2233的博客
06-11 99
只要是继承了MyController都需要session但是后面有几个不需要鉴权的Controller除了MyController还有一个ApiController,此控制器下都是不需要鉴权的问题点用户注册来看用户相关的控制器UserController,前面的几个方法开头都需要获取session中的username或者eid,这些都不是我们可以利用的点往后看找到regUserAction方法,直接从request中获取了我们传入的参数进行解密。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值