2024-12-28 厉飞雨 阅读(296) 评论(0) 赞(16)

### "铲子"是一款简单易用的JAVA SAST（静态应用程序安全测试）工具，旨在为安全工程师提供一款**简单、好用、价格厚道**的代码安全扫描产品。 本文简单介绍铲子 sast 的内置规则。 ### **2024.2.0版本规则列表** 1. any_any_cmdi.cypher // 数据流规则、命令执行 2. any_any_ldapi.cy...

2024-12-28 厉飞雨 阅读(335) 评论(0) 赞(12)

铲子SAST是一款专注于Java语言的静态应用程序安全测试（SAST）工具，它以其简单易用、快速扫描和经济实惠的特点受到开发者的欢迎。以下是铲子SAST与其他同类型工具的对比： **1. \*\*功能性\*\*：** -- 铲子SAST：支持主流的Java开发框架，内置常见漏洞的扫描规则，并支持自定义规则。提供轻量级的污点分析和反编译扫描功能。 -- Checkmarx：...

2024-12-28 厉飞雨 阅读(415) 评论(0) 赞(14)

1. 本文简单介绍 Java 代码审计工具铲子 SAST 的自定义规则。 2. 铲子 SAST 地址：https://github.com/Chanzi-keji/chanzi 3. 自定义规则采用 cyber查询语言，关于cyber语法可以参考neo4j的 cyber 语言官方手册 ### 规则开发方法 1. 铲子SAST的规则主要用于对图数据库进行查询,可以查询单个节点...

2024-12-28 厉飞雨 阅读(257) 评论(0) 赞(19)

最近用得简单好用的一款 Java 代码审计工具推荐给各位安全工程师，官网可以免费下载使用。 Github：https://github.com/Chanzi-keji/chanzi

2024-12-28 厉飞雨 阅读(378) 评论(0) 赞(19)

运行下面命令，会重新生成一个jar包，解压之后就是java源码。留意反编译失败的类，需要修复。 java -cp "D:\Program Files\JetBrains\IntelliJ IDEA 2021.1.3\plugins\java-decompiler\lib\java-decompiler.jar" org.jetbrains.java...

2024-12-28 厉飞雨 阅读(351) 评论(0) 赞(14)

前言 === 发点之前记录的笔记，主要记录了一些关键点。如果某一点看不懂就去学习吧。  JNDI注入 ====== * jn...

2024-12-28 厉飞雨 阅读(289) 评论(0) 赞(17)

前言 === shiro使用还是挺广的，顺手存一下exp。 ShiroExploit ============ 支持对Shiro550（硬编码秘钥）和Shiro721（Padding Oracle）的一键化检测，支持简单回显 使用说明 ---- ### 第一步:按要求输入要检测的目标URL和选择漏洞类型 * `Shiro550`无需提供rememberMe Cook...

2024-12-28 厉飞雨 阅读(373) 评论(0) 赞(14)

在开发过程中，我们经常需要对一个 `List` 中的对象进行合计计算。例如，统计一组销售数据、订单金额、用户访问量等，可能需要对某些数值字段进行合计。这些字段可能是 `int`、`Integer` 或 `BigDecimal` 类型。为了简化这类任务，我们可以封装一个通用的工具类，使用 Java 的反射机制动态地对列表中的属性进行合计。 本篇文章将介绍如何实现一个通用的 Li...

2024-12-28 厉飞雨 阅读(384) 评论(0) 赞(19)

<p>本文最后更新于 2024-07-03，文章内容可能已经过时。</p> <h2>1、前言 {#1-前言}</h2> <p>最近想学习一下 halo 主题开发，也为了修改一些现有主题供自己使用（由于大多数主题都是用了 thymeleaf 语法）所以浅浅的学习并记录一下常用语法，方便回头查看。</p> &l...

2024-12-28 厉飞雨 阅读(368) 评论(0) 赞(15)

<blockquote> <p>每一个看似简单的社会现象其实都只露出了冰山一角。------林达</p> </blockquote> <p>遇到这个报错，方案1：</p> <p>在页面上添加：</p> <p>|-----------|-------------------...