腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

安全乐观主义

专栏作者

48

文章

74055

阅读量

26

订阅数

基于对象存储隧道的远控工具开源啦

对象存储 java 打包网站渗透测试腾讯云测试服务

不同于市面上其他远控工具，虽然支持各项协议的远控如dns、https、tcp、smtp层出不穷，但是一、各种对Cobra Strike 、冰蝎、恶意dns的流量检测技术逐步完善，从协议的隐蔽性和对抗性来说还远远不够；二、云环境下的渗透测试的目标环境会设置严格的安全组或者在vpc内，不能对外出入流量；三、出入的流量均会经过云安全厂商的检测，存在暴露风险。

安全乐观主义

2020-10-27

8780

供应链安全系列-攻击编译阶段（一）

ide 打包 https java shell

让我们再次回顾下安全从业人员为了努力做好软件安全，在运营阶段做了什么事情。

安全乐观主义

2019-11-20

1.2K0

RSAC2019创新沙盒大赛公司shiftleft介绍

网络安全安全文件存储打包 c++

本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置，测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。ShiftLeft这家公司于17年创建，19年2月份获得B轮2000万美元融资，自称是应用云安全领域的创新者，提出了全自动的安全即服务（SECaas）的解决方案。联合创始人是FireEye的首席产品和战略官。

安全乐观主义

2019-11-20

7680

JNI技术绕过rasp防护实现jsp webshell

jsp java 打包 windows jdk

想到rasp这类工具是基于java、php运行期的堆栈信息进行分析，可以尝试使用jni技术进行绕过。java技术栈中的jni的原理是使用java调用c、c++函数，具体实现的思路是jsp编译为class文件，该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显，即可实现rasp和安全防护软件的绕过。github地址：https://github.com/nanolikeyou/jniwebshell

安全乐观主义

2019-11-20

1.6K0

使用方舟编译器检查Fastjson OOM问题

ide 打包 json 编程算法 java

通过介入编译期间进行安全检查是类似于Facebook infer类的产品，为什么要这么做呢？源代码安全检查工具粗略分为两个大的流派，一个是类似于coverity，需要编译，厂家集成实现了cov-build这样的编译工具；另一个是checkmarx直接分析语法树进行检查，再上层的例如p3c、pmd、sonarcube都是基于字节码、数据流的规范检查，执行编译有助于将代码规范起来，缓解路径不可达问题降低误报，SAST不能避免软件工程的莱斯定理(Rice’s Theorem)在图灵机的应用：我们可以把任意程序看成一个从输入到输出上的部分函数（Partial Function），该函数描述了程序的行为，关于程序行为的任何非平凡属性，都不存在可以检查该属性的通用算法，误报是允许在得不到精确值的时候，给出近似答案，这个答案就是一定比例的误报或者漏报。本文即尝试类似RoboVM、SVF使用LLVM的思路进行数据流和控制流的软件错误检测。扩展知识可以看下北大熊英飞教授的软件分析技术（Software Analysis）公开课件https://xiongyingfei.github.io/SA/2018/main.htm。

安全乐观主义

2019-11-20

7710

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态