标题
时间
操作
评论文章:白盒系列之变量追踪引擎(一)

关于7.4 调用链路的获取 这块只看到函数调用栈的获取。这块有几个注意的地方: (1)方法递归调用避免出环; (2)MethodInvoke结构中,遇到import a.b.*情况,怎么完整resolve被调者的method signature? (3)反射和Lambda表达式支持; 最后,Method调用只是Data Flow的一小部分,期待大佬分享更多Data Flow算法。

2020-07-09 15:10:48
评论文章:Xalan包在XXE问题中的坑

@ 1e1e1e  大佬,“当时xalan有xslt漏洞,XMLConstants.FEATURE_SECURE_PROCESSING只能解runtime漏洞,但是不能解决文件读取、ssrf、xss等漏洞。”我这边测试切换到JDK之后XXE,XSLT不受影响的(XSLT的细节没放在这篇文章了)。师傅可以和我沟通下细节

2020-06-19 12:26:54
评论文章:漏洞分析 | 如何利用OAuth错误配置接管Flickr账号

看出国外厂商和国内厂商对对安全的态度以及粒度,即使国内次巨头公司。

2017-10-19 14:21:59
评论文章:如何让微信丢骰子永远只出“666”

知道可以做的人很多,真去动手的人很少,赞小伙的geek精神!

2017-09-13 11:57:25
评论文章:浅谈简易端口扫描威胁感知系统的设计与实现

我对这块了解比较少,想问下,原理是:黑客扫描一般会逐网段扫描,然后你在对应网段做了类似蜜罐记录了这些行为,然后根据请求的阈值来触发报警?

2017-08-18 19:19:56
评论文章:腾讯MIG无线研发部诚招安全领域人才

投了MIG的校招,好几天了没有反应啊

2017-08-02 22:10:28
2017-05-22 16:41:22
评论文章:Android安全开发之启动私有组件漏洞浅谈

貌似是腾讯信鸽服务。另外这个问题很显然,检测的话静态+动态应该可以比较准确了。关键是如果能够检测校验Intent的代码的话,这块有点难度,即保证这种"漏洞"一定是可达的。

2017-04-19 13:23:20
2017-04-16 20:41:43
评论文章:案例分析:利用OAuth实施钓鱼

此钓鱼攻击仅可攻击OAuth的Authorization,不可攻击第三方的Authentication。并且依赖于IdP的应用的审核。

2017-01-11 11:17:34
css.php