一挂捅、APK安裝包結(jié)構(gòu)概述 APK(Android Package Kit)是Android操作系統(tǒng)中應(yīng)用程序的打包格式荞怒。一個(gè)APK文件本質(zhì)上是一個(gè)ZIP壓縮包粥诫,它包含了應(yīng)用程...
發(fā)簡(jiǎn)信
IP屬地:廣東
-
Android逆向入門&解密逆向思路 -
邏輯課_題目類型和做題方法步驟
分析推理 1、做題步驟:先看題干肃廓,然后再看條件,逐個(gè)條件排除選項(xiàng)。 真假推理 1容诬、做題方法:使用矛盾關(guān)系 2、矛盾關(guān)系:兩個(gè)判斷沿腰,一真一假览徒,不能同真,不能同假颂龙。但习蓬!請(qǐng)注意矛盾...
-
【修復(fù)總結(jié)】輸入驗(yàn)證和表示 - 拒絕服務(wù) - parseDouble
威脅描述 程序會(huì)調(diào)用解析 double 類型的方法,這會(huì)導(dǎo)致線程被掛起厘托。 威脅說(shuō)明 在實(shí)施 java.lang.Double.parseDouble() 及相關(guān)方法時(shí)出現(xiàn)漏洞...
-
【修復(fù)總結(jié)】時(shí)間與狀態(tài) - 競(jìng)態(tài)條件漏洞 - 多線程下缺陷的格式化
威脅描述 Java常用SimpleDateFormat做時(shí)間轉(zhuǎn)換友雳,但SimpleDateFormat不是線程安全的,如果SimpleDateFormat用static聲明或只...
-
關(guān)于在doFilter設(shè)置XSS過(guò)濾防護(hù)的參考方案
說(shuō)明 在doFilter設(shè)置XSS過(guò)濾防護(hù)的方案可以在請(qǐng)求入口處做統(tǒng)一過(guò)濾铅匹,是一個(gè)能解決根本問(wèn)題的方案押赊。 關(guān)于過(guò)濾規(guī)則在第3個(gè)文件,其防護(hù)規(guī)則可以繼續(xù)補(bǔ)充完善包斑,也可以根據(jù)實(shí)際...
-
安全開發(fā)規(guī)范(五)——輸入輸出
一罗丰、開發(fā)安全風(fēng)險(xiǎn)評(píng)估 序開發(fā)安全規(guī)范嚴(yán)重性整改代價(jià)優(yōu)先級(jí)級(jí)別1不要使用wrap()或duplicate()創(chuàng)建緩存神帅,并將這些緩存暴露給非受信代碼中低等1812對(duì)讀取一個(gè)字符或...
-
安全開發(fā)規(guī)范(四)——函數(shù)、方法的安全開發(fā)實(shí)踐
一萌抵、開發(fā)安全風(fēng)險(xiǎn)評(píng)估 序開發(fā)安全規(guī)范嚴(yán)重性整改代價(jià)優(yōu)先級(jí)級(jí)別1不要使用棄用的或過(guò)時(shí)的類和方法高中等1812不要在clone()中調(diào)用可覆寫的方法中低等1213驗(yàn)證方法參數(shù)高高...
-
開發(fā)安全規(guī)約(三)——XML最佳安全實(shí)踐
XML的基本概念 XML 指可擴(kuò)展標(biāo)記語(yǔ)言(EXtensible Markup Language)找御,是一種標(biāo)記語(yǔ)言元镀,很類似 HTML。其設(shè)計(jì)宗旨是傳輸數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)霎桅。 DTD...
-
ESAPI安全開發(fā)實(shí)戰(zhàn)
ESAPI(Enterprise Security API)是一個(gè)免費(fèi)開源的Web應(yīng)用程序API栖疑,目的幫助開發(fā)者開發(fā)出更加安全的代碼,并且它本身就很方便調(diào)用滔驶。 官方API文檔...
-
開發(fā)安全規(guī)約(二)——防止跨站腳本攻擊什么是跨站腳本攻擊遇革? 跨站腳本(英語(yǔ):Cross-site scripting,通常簡(jiǎn)稱為:XSS)是Web應(yīng)用程序一種常見(jiàn)的攻擊方式揭糕。它是指在服務(wù)器未嚴(yán)格驗(yàn)證輸入輸出時(shí)萝快,網(wǎng)...
-
【修復(fù)總結(jié)】Spring SpEL表達(dá)式代碼注入
威脅描述 計(jì)算未驗(yàn)證的 SpEL 表達(dá)式可能導(dǎo)致執(zhí)行遠(yuǎn)程代碼。 威脅說(shuō)明 Spring 表達(dá)式語(yǔ)言(簡(jiǎn)寫為 SpEL)是一種功能強(qiáng)大的表達(dá)式語(yǔ)言著角,支持在運(yùn)行時(shí)查詢和處理對(duì)象圖...
-
【修復(fù)總結(jié)】JAVA反序列化
威脅說(shuō)明 如果Java應(yīng)用對(duì)用戶輸入揪漩,即不可信數(shù)據(jù)做了反序列化處理,那么攻擊者可以通過(guò)構(gòu)造惡意輸入雇寇,讓反序列化產(chǎn)生非預(yù)期的對(duì)象氢拥,非預(yù)期的對(duì)象在產(chǎn)生過(guò)程中就有可能帶來(lái)任意代碼執(zhí)...
-
開發(fā)安全規(guī)約(一)——防止敏感數(shù)據(jù)泄露什么是敏感數(shù)據(jù)? 敏感數(shù)據(jù)指一旦泄露锨侯、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全嫩海,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息囚痴。 個(gè)人敏感信息包括身份證件號(hào)碼叁怪、個(gè)人生...
-
利用ICMP進(jìn)行命令控制ICMP協(xié)議工作方式簡(jiǎn)介 Internet控制報(bào)文協(xié)議(ICMP)是Internet協(xié)議族中一個(gè)。它被用于包括路由器在內(nèi)的網(wǎng)絡(luò)設(shè)備中深滚,用來(lái)發(fā)送錯(cuò)誤報(bào)文和操作信息奕谭,表示所請(qǐng)求的...