随笔分类 - 代码审计
摘要:事出在这段代码。。。 问题出在最下面的 wait。 竟然给我报了个警告,啥意思,说那个傻逼句柄可能是个空的。 真有意思,空不空,你管得着么,我就想这么写,但是没办法。 人家报警告了,本着一个安全开发的角度,警告都是视为错误的,处理呗。 处理好办,让它不为空就好了呗,咋不为空,就是加上58行的判断,
阅读全文
摘要:验证码绕过漏洞,CNVD给了个5分中危,感觉不错, 一般情况下,直挖的验证码绕过,如果跑不出来管理员密码,SRC是不收的, 但是审计出来的就不一样了,直接给中危,很幸福。 文件包含漏洞,直接给了个7.1分高危,不错哦
阅读全文
摘要:经过半天的分析和了解,大致明白了这个工具的使用方法和原理。 这个工具,会将一个源文件(目前我是用单一源文件测试的,没有使用目录测试), 每一个有效符号或者元素都解析出来,之后储存在一个大list里面,供后续模块检测时使用, 但是一些特殊的元素,不会被列入list,如调用约定(__stdcall 此类
阅读全文
摘要:简单地说,这个就是个普通的代码审计软件, 官网:http://cppcheck.net/ 使用起来也不麻烦。留个记录,告诉未来的我,如何使用。 首先去官网下载安装包,这个最好还是下载,但是不下载也没问题。 下载安装包只是希望在单独使用的时候,可以看到界面,可以更方便地使用。不想看界面就不要下载。 安
阅读全文