CodeQL复习:文件上传和 Fastjson
最近小弟 ch1e 开始学习codeql
了,我也复习复习
最近小弟 ch1e 开始学习codeql
了,我也复习复习
程序员开发的过程中,可能会将一些常量写死在程序中,比如说加密算法的私钥。这将导致程序部署后,攻击者可以使用该常量生成密文或对加密数据进行破译。
今天继续学习 CodeQL,看了楼兰师傅的《CodeQL与XRay联动实现黑白盒双重校验》有所启发,既然可以使用 Python 调用 codeql-cli 进行查询,那么肯定可以批量进行扫描。CodeQL 官方提供了大量安全 QL 查询,如果直接使用这些基础的 QL 进行批量查询,将结果导入到数据库中再由安全人员进行手动分析,是不是会提高审计的效率?
昨天学习了基本的 CodeQL,并且在 Github Lab 上完成了 CPP 的 CodeQL 课程,今天打算找个源码练习一下。我选择的项目是 java-sec-code