一、APK安装包结构概述 APK(Android Package Kit)是Android操作系统中应用程序的打包格式。一个APK文件本质上是一个ZIP压缩包,它包含了应用程...
发简信
IP属地:广东
-
Android逆向入门&解密逆向思路 -
逻辑课_题目类型和做题方法步骤
分析推理 1、做题步骤:先看题干,然后再看条件,逐个条件排除选项。 真假推理 1、做题方法:使用矛盾关系 2、矛盾关系:两个判断,一真一假,不能同真,不能同假。但!请注意矛盾...
-
【修复总结】输入验证和表示 - 拒绝服务 - parseDouble
威胁描述 程序会调用解析 double 类型的方法,这会导致线程被挂起。 威胁说明 在实施 java.lang.Double.parseDouble() 及相关方法时出现漏洞...
-
【修复总结】时间与状态 - 竞态条件漏洞 - 多线程下缺陷的格式化
威胁描述 Java常用SimpleDateFormat做时间转换,但SimpleDateFormat不是线程安全的,如果SimpleDateFormat用static声明或只...
-
关于在doFilter设置XSS过滤防护的参考方案
说明 在doFilter设置XSS过滤防护的方案可以在请求入口处做统一过滤,是一个能解决根本问题的方案。 关于过滤规则在第3个文件,其防护规则可以继续补充完善,也可以根据实际...
-
安全开发规范(六)——面向对象
一、开发安全风险评估 序开发安全规范严重性整改代价优先级级别1在返回引用之前,防御性复制私有的可变的类成员高中1212小心处理构造函数抛出异常的情况高中1213声明数据成员为...
-
安全开发规范(五)——输入输出
一、开发安全风险评估 序开发安全规范严重性整改代价优先级级别1不要使用wrap()或duplicate()创建缓存,并将这些缓存暴露给非受信代码中低等1812对读取一个字符或...
-
安全开发规范(四)——函数、方法的安全开发实践
一、开发安全风险评估 序开发安全规范严重性整改代价优先级级别1不要使用弃用的或过时的类和方法高中等1812不要在clone()中调用可覆写的方法中低等1213验证方法参数高高...
-
开发安全规约(三)——XML最佳安全实践
XML的基本概念 XML 指可扩展标记语言(EXtensible Markup Language),是一种标记语言,很类似 HTML。其设计宗旨是传输数据和存储数据。 DTD...
-
ESAPI安全开发实战
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 官方API文档...
-
开发安全规约(二)——防止跨站脚本攻击什么是跨站脚本攻击? 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是Web应用程序一种常见的攻击方式。它是指在服务器未严格验证输入输出时,网...
-
【修复总结】Spring SpEL表达式代码注入
威胁描述 计算未验证的 SpEL 表达式可能导致执行远程代码。 威胁说明 Spring 表达式语言(简写为 SpEL)是一种功能强大的表达式语言,支持在运行时查询和处理对象图...
-
【修复总结】JAVA反序列化
威胁说明 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执...
-
开发安全规约(一)——防止敏感数据泄露什么是敏感数据? 敏感数据指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 个人敏感信息包括身份证件号码、个人生...
-
利用ICMP进行命令控制ICMP协议工作方式简介 Internet控制报文协议(ICMP)是Internet协议族中一个。它被用于包括路由器在内的网络设备中,用来发送错误报文和操作信息,表示所请求的...