ru_li的专栏

在我的新书《代码审计：企业级web代码安全架构》发布之际，借用这篇文章跟大家分享下代码审计的一些思路，目前该书已经可以在淘宝和京东等网站购买。 本文章首发在freebuf。  根据敏感关键字来回溯传入的参数，是一种逆向追踪的思路，我们也提到了这种方式的优缺点，实际上在需要快速寻找漏洞的情况下用回溯参数的方式是非常有效的，但这种方式并不适合运用在企业中做安全运营时的场景，在企业中做自

一、介绍ESAPI二、所需要的软件我下载后的文件放置在  【E:\软件源文件 】中三、使用方法  1.将下载好的文件解压。解压的文件依旧在【E:\软件源文件】 2.将文件下列文件加入到                    1）E:\软件源文件\esapi-2.1.0-dist \ esapi-2.1.0.jar

一、由nextInt()实施的随机数生成器不能抵挡加密攻击1、不安全的随机数：电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。2、PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若安全性取决于生成数值的不可预测性...

Fortofy扫描漏洞解决方案：Log Forging漏洞：数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由CreditCompanyController.java 的第 53行进入 getParameter()。 2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过CreditCompanyController.java 文件第86 行的 info() 记录下来。为了...