thj_blog

通过最简单快捷的配置sublime进行函数跳转

工具使用如需使用ApplicationInspector，可以直接下载对应的ApplicationInspector版本。如果你是用的是.NET Core版本，你还需要安装.NET Core v3.0或更高版本。ApplicationInspector是一款基于命令行的工具，因此我们可以直接在Windows、Linux或macOS平台上通过命令行终端来运行该工具：> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe

最近公司有个项目需要移植到SpringBoot框架上，项目里面又有许多第三方jar包，在linux服务器上最方便的就是用jar的方式来运行SpringBoot项目了，因此我研究了2种打jar包的方式，记录如下，供大家参考：1、通过maven插件，将所有依赖包都打包成一个jar包，然后通过java -jar xxx.jar方式运行由于项目中有些jar包是第三方的，maven官方仓库没有，需要使用mvn install命令打包到本地，然后将其写入到pom.xml的依赖中，maven仓库有的jar包则从m

写这个随笔主要是为了记录SSH和SSM不同实践感受，这里根据网上的例子做一下自己的总结Struts2和SpringMVC1.Struts2和SpringMVC都是负责取转发的，但是两者针对request的请求上面区别很大，Strust2是针对一个Action类来进行请求的，即一个Action类对应于一个请求，所以类拦截，请求的数据类共享。而SpringMVC则是针对于方法级别的请求的，也就是一个方法对应于一个请求，属于方法拦截，请求的数据方法不共享。前台页面提交请求找到对应...

0x00 前言代码审计工具可以辅助我们进行白盒测试，大大提高漏洞分析和代码挖掘的效率。在源代码的静态安全审计中，使用自动化工具辅助人工漏洞挖掘，一款好的代码审计软件，可以显著提高审计工作的效率。学会利用自动化代码审计工具，是每一个代码审计人员必备的能力。代码审计工具按照编程语言、审计原理、运行环境可以有多种分类。商业性的审计软件一般都支持多种编程语言，比如VCG、Fortify SCA，缺点就是价格比较昂贵。其他常用的代码审计工具还有findbugs、codescan、seay，但是大多都只支持

将安装文件里面的rule，放到fortify -> core -> config -> rule里面，即可。

ApplicationInspector是一款功能强大的软件源代码分析与审计工具，它可以帮助研究人员识别和发现目标应用程序中的公众周知的功能以及源代码中有意思的特性，并清楚目标应用的本质特征以及实现的功能。ApplicationInspector跟传统静态分析工具不同的是，它不会尝试去识别目标应用模式的好与坏，它只会报告它所检测到的应用程序模式，而且它会使用超过400种规则来完成检测，其中包含...

这是第一篇关于代码审计的文章，我目前正在看《PHP代码审计》，书里面写的不错。以后会陆续把我看完之后有意思的知识点或者感受共享给大家。从php代码审计到java代码审计还是有很大不同的,语言特性,漏洞产生的点等等,很多人都是php入门,同样我也是,但是说实话,java也是必须要掌握的,这里我选择分析一些经典的漏洞来熟悉java的代码审计,如果有理解错误的地方,希望得到师傅们的斧正。Apac...