最近业务需要出一份Java Web应用源码安全审查报告, 对比了市面上数种工具及其分析结果, 基于结果总结了一份规则库. 本文目录结构如下: 检测工具 FindSecurityBugs 基于class文件分析, 他是大名鼎鼎的findbugs的插件, 安装比较简单 ...

分类 重要性 检查项 备注 命名 ...

云调用 云调用是小程序·云开发提供的在云函数中调用微信开放接口的能力，需要在云函数中通过 wx-server-sdk 使用。 接口方法 需在 config.json 中配置 ...

　　技术总监来巡查，刚巧前段时间遇到了一个问题还没解决，就拉着大牛开问。结果，问题是解决了，还附带了另一个问题，或是要求出来，没啥技术含量，但是很麻烦的一个东西：代码格式。 　　之前我写代码，因为屏 ...

findbugs简介 Findbugs是一个Java代码静态分析工具，可以用它来检查源代码中可能出现的问题，以期尽可能在项目的初始阶段将代码问题解决。 FindBugs检查的是类或者JAR文件即字节代码(*.class)，将字节码与一组缺陷模式进行对比以发现可能的问题；许多我们写的不好 ...

今天思考下前端源码安全的东西（不是前端安全，只是针对于源码部分）。在我看来，源码安全有两点，一是防止抄袭，二是防止被攻破。实际上讲，前端的代码大多是没有什么可抄袭性，安全更是形同虚设的（任何前端输入都是不能相信的）。但如果还是想防止源码被查看，HTML、CSS并不能做什么，最终都会用露出来（最简单 ...

Java安全之Java Agent 目录 Java安全之Java Agent About Java Agent Java Agent的出现 Java Agent运行模式 Java Agent ...

Java 安全之Java Agent 0x00 前言 在前面发现很多技术都会去采用Java Agent该技术去做实现，比分说RASP和内存马（其中一种方式）、包括IDEA的这些破解都是基于Java Agent去做实现。下面来领略该技术的微妙所在。 0x01 Java Agent 机制 ...