摘要: 1.jdk安装:网上案例很多,主要注意jdk版本,有些poc要特点JDK版本。 2.docker容器编排:主要是docker的基本使用方法,vulhub的下载与安装 搜索镜像 docker search tomcat 拉取镜像 docker pull dordoka/tomcat 查看镜像 dock 阅读全文
posted @ 2021-09-15 18:35 妇愁者纞萌 阅读(76) 评论(0) 推荐(0) 编辑
摘要: 总的来说,这章基本没什么卵用。只是介绍了一些工具,但是也没说怎么用,看了之后基本不会掌握任何测试技巧 1.代码编辑器 Sublime:文本编辑器 IDEA: java IDE,反编译,动态调试,代码搜索,漏洞定位 Eclipse:java开发工具 2.测试工具 BurpSuite:你懂 Switch 阅读全文
posted @ 2021-09-15 16:51 妇愁者纞萌 阅读(136) 评论(0) 推荐(0) 编辑
摘要: 重点,代码审计的思路 1.接口排查:先找出从外部接口接收的参数,跟踪传递过程,观察是否有参数校验不严的变量传入高危方法中,传递过程是否有代码逻辑漏洞 2.危险方法溯源:检查敏感方法参数,参数的传递预处理,判断参数是否可控并且已经经过严格的过滤 3.功能点定向审计:判断应用常见漏洞,直接审计功能 4. 阅读全文
posted @ 2021-09-15 14:29 妇愁者纞萌 阅读(53) 评论(0) 推荐(0) 编辑