饼干の博客

昨天在 Github 上找项目审计，找到了一个高星 Go 项目，发现里面使用到了 zip 解压的操作。记得很久之前看过一个文章，如果 zip 的文件名中包含 ../ 可以造成目录穿越。简单试了一下，发现确实存在漏洞，能够在系统任意目录创建任意文件。

fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器，来自阿里巴巴的工程师开发

程序员开发的过程中，可能会将一些常量写死在程序中，比如说加密算法的私钥。这将导致程序部署后，攻击者可以使用该常量生成密文或对加密数据进行破译。

今天继续学习 CodeQL，看了楼兰师傅的《CodeQL与XRay联动实现黑白盒双重校验》有所启发，既然可以使用 Python 调用 codeql-cli 进行查询，那么肯定可以批量进行扫描。CodeQL 官方提供了大量安全 QL 查询，如果直接使用这些基础的 QL 进行批量查询，将结果导入到数据库中再由安全人员进行手动分析，是不是会提高审计的效率？