饼干の博客

fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器，来自阿里巴巴的工程师开发

程序员开发的过程中，可能会将一些常量写死在程序中，比如说加密算法的私钥。这将导致程序部署后，攻击者可以使用该常量生成密文或对加密数据进行破译。

今天继续学习 CodeQL，看了楼兰师傅的《CodeQL与XRay联动实现黑白盒双重校验》有所启发，既然可以使用 Python 调用 codeql-cli 进行查询，那么肯定可以批量进行扫描。CodeQL 官方提供了大量安全 QL 查询，如果直接使用这些基础的 QL 进行批量查询，将结果导入到数据库中再由安全人员进行手动分析，是不是会提高审计的效率？

今天蜜罐之神来问我一个 asp 文件的问题，说是有上传点和源码，确定有漏洞，但是不知道怎么构造 Payload。刚好跟京东客服小姐姐退货完，就下载了源码，定位到上传功能的 ASP 文件中