FindSecBugs支持的检测规则
很多SAST集成了FindSecBugs这个开源工具,其好处是直接对Class文件进行检测,也就是直接检测二进制问题,可以直接检测war、jar,还是非常方便的。虽然误报率较高,但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的漏洞,所以,可能感觉还不错的。
| 分类 | 规则名称 |
| 加密类 | 使用弱信任管理器 |
| 使用弱密码哈希函数 | |
| 使用弱SSL/TLS协议 | |
| 使用自定义HASH加密算法 | |
| 十六进制转换错误 | |
| 不安全的Hazelcast对称加密 | |
| 使用不安全的NullCipher | |
| 未加密的套接字 | |
| 未加密的服务器Socket | |
| AES应该代替DES | |
| AES应该代替DESede | |
| 没有适当填充的RSA密码 | |
| 使用弱密钥大小的Blowfish算法 | |
| 使用弱密钥大小的RSA | |
| 初始化向量(IV)未正确生成 | |
| 不提供完整性的密码 | |
| 不安全的SMTP SSL链接 | |
| 通过错误消息检测可能的信息泄露 | |
| JSP | 远程包含JSP动态输入文件攻击 |
| Spring表达式动态变量 | |
| 禁用特殊XML字符的转义可能会导致XSS漏洞 | |
| 提供恶意XSLT触发远程控制攻击 | |
| Android | 外部存储上的文件访问 |
| SendBroadcast()方法调用存在安全隐患 | |
| 使用创建模式MODEWORLDREADABLE写入的文件存在安全隐患 | |
| Geolocation API的安全隐患 | |
| 启用了JavaScript的WebView存在安全隐患 | |
| 带JavaScript接口的WebView | |
| CSRF | Spring CSRF(跨站请求伪造)保护禁用 |
| 无限制的Spring的RequestMapping使该方法容易受到CSRF攻击 | |
| 注入类 | AWS查询注入 |
| JavaBean参数注入 | |
| 潜在的命令行注入 | |
| 自定义方法注入 | |
| ActionForward填充了用户控制的参数 | |
| 以格式字符串参数检测用户输入 | |
| 将用户控制的输入连接到URL | |
| 潜在的LDAP注入 | |
| 未经验证的重定向 | |
| 潜在的SQL注入 | |
| 应用程序在会话属性中混合可信和不可信数据 | |
| 密码类 | 对易受定时攻击影响的哈希的不安全比较 |
| 硬编码密码 | |
| 硬编码加密密钥 | |
| Spring类 | 使用Spring Framework进行未经验证的重定向 |
| 模板类 | 使用Velocity模板存在潜在注入 |
| 使用Freemarker模板存在潜在注入 | |
| Xpath注入类 | 潜在的XPath注入 |
| XSS攻击类 | XSSRequestWrapper是一种弱XSS保护机制 |
| JSP中潜在的XSS | |
| Servlet中潜在的XSS | |
| cookie存储类 | Cookie设置时间过长 |
| URL重写安全风险 | |
| 使用Cookie存储敏感信息 | |
| 没有设置安全标志的Cookie | |
| 文件类 | 潜在的路径遍历 |
| 由FileUpload API提供的文件名可以被客户端篡改 | |
| 序列化类 | 不安全的Jackson反序列化配置 |
| 对象反序列化 | |
| LDAP | LDAP实体投毒 |
| 匿名LDAP绑定 | |
| XML | XML解析容易受到XXE外部实体攻击 |
| 使用XMLDecoder解析用户提供的数据是不安全的 | |
| 恶意XSLT可触发远程代码执行 | |
| 其它 | FilenameUtils不过滤空字节 |
| HTTP拆分攻击 | |
| Structs表单没有输入验证 | |
| 定义了一种过度宽松的跨源资源共享(CORS)策略 | |
| 检测可预测伪随机生成器(PRG)的使用 | |
| 正则表达式可以通过一些输入呈指数增长 | |
| 潜在的外部控制配置 | |
| endpoint | Struts Action问题 |
| 使用SpringMVC Controller问题 | |
| 使用Tapestry Pages问题 | |
| 使用Wicket WebPage问题 | |
| 来自ServletRequest和HttpServletRequest请求的参数值不安全 | |
| 使用Struts2问题 |
相关文章:
FindSecBugs支持的检测规则
很多SAST集成了FindSecBugs这个开源工具,其好处是直接对Class文件进行检测,也就是直接检测二进制问题,可以直接检测war、jar,还是非常方便的。虽然误报率较高,但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的…...
【WPF.NET开发】WPF.NET桌面应用开发概述
本文内容 为何从 .NET Framework 升级使用 WPF 进行编程标记和代码隐藏输入和命令控件布局数据绑定图形和动画文本和版式自定义 WPF 应用 Windows Presentation Foundation (WPF) 是一个与分辨率无关的 UI 框架,使用基于矢量的呈现引擎,构建用于利用现…...
态势感知是什么
在当今高度信息化的时代,信息安全风险已经成为企业、政府和个人的重要关注点。为了有效应对这些风险,态势感知成为了一种日益重要的能力。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局…...
Spring MVC常用的注解, Controller注解的作用,RequestMapping注解的作用 @ResponseBody注解的作用
文章目录 Spring MVC常用的注解和注解的相关作用Controller注解的作用RequestMapping注解的作用ResponseBody注解的作用PathVariable和RequestParam的区别 Spring MVC常用的注解和注解的相关作用 RequestMapping:用于处理请求 url 映射的注解,可用于类或…...
「Verilog学习笔记」自动贩售机1
专栏前言 本专栏的内容主要是记录本人学习Verilog过程中的一些知识点,刷题网站用的是牛客网 自动贩售机中可能存在的几种金额:0,0.5,1,1.5,2,2.5,3。然后直接将其作为状态机的几种状…...
【大模型】更强的 ChatGLM3-6B 来了,开源可商用
【大模型】更强的 ChatGLM3-6B 来了,开源可商用 简介ChatGLM3-6B 环境配置环境搭建安装依赖 代码及模型权重拉取拉取 ChatGLM3-6B拉取 ChatGLM3-6B 模型权重及代码 终端测试网页测试安装 gradio加载模型并启动服务 参考 简介 ChatGLM3-6B ChatGLM3-6B 是 ChatGLM …...
Maxscript到Python转换工具教程
Maxscript到Python转换器教程 Maxscript到Python转换器采用MAXScript程序,将其解析为语法树,然后从语法树中生成等效的Python代码。通过提供python的自动翻译,帮助python程序员理解maxscript示例。 【项目状况】 将正确解析最正确的maxcript…...
Spark_日期参数解析参数-spark.sql.legacy.timeParserPolicy
在Apache Spark中,spark.sql.legacy.timeParserPolicy是一个配置选项,它控制着时间和日期解析策略。此选项主要影响如何解析日期和时间字符串。 在Spark 3.0之前的版本中,日期和时间解析使用java.text.SimpleDateFormat,它在解析…...
C语言之结构体
一.前言引入. 我们知道在C语言中有内置类型,如:整型,浮点型等。但是只有这些内置类 型还是不够的,假设我想描述学⽣,描述⼀本书,这时单⼀的内置类型是不⾏的。描述⼀个学⽣需要名字、年龄、学号、⾝⾼、体…...
【蓝桥杯软件赛 零基础备赛20周】第5周——高精度大数运算与队列
文章目录 1. 数组的应用–高精度大数运算1.1 Java和Python计算大数1.2 C/C高精度计算大数1.2.1 高精度加法1.2.2 高精度减法 2. 队列2.1 手写队列2.1.1 C/C手写队列2.1.2 Java手写队列2.1.3 Python手写队列 2.2 C STL队列queue2.3 Java队列Queue2.4 Python队列Queue和deque2.5 …...
C#:程序发布的大小控制
.net不讨喜有个大原因就是.net平台本身太大了,不同版本没有兼容性,程序依赖哪个版本用户就要安装哪个版本,除非你恰好用的是操作系统默认安装的版本——问题是不同版本操作系统默认安装的不一样。 所以打包程序就很头疼,不打包平台…...
、rsplit()、splitlines()的区别)
Python中的split()、rsplit()、splitlines()的区别
split、rsplit、splitlines的区别 1、split()2、rsplit()3、splitlines() Python提供了三种字符串分割的方法:split()、rsplit()和splitlines();本文主要通过案例介绍这三种字符串分割函数的区别 1、split() split()主要用于从左向右匹配分割符进行分割…...
上位机开发框架:QT与winform/wpf对比
QT QT 是一个跨平台的 C 应用程序框架,它提供了丰富的 UI 组件和功能强大的网络通信、数据库操作等模块。QT 的优势在于其良好的跨平台性能,可以方便地部署在 Windows、Linux、macOS 等不同操作系统上。此外,QT 还具有强大的 UI 设计能力&am…...
Halcon tiff 点云读取以及平面矫正
一、读取tiff 图 dev_close_window () dev_open_window (0, 0, 512, 512, black, WindowHandle)xResolution:0.0025 yResolution:0.0025 zResolution:0.001 read_image (IntputImage, C:/Users/alber/Desktop/2023-08-15_16-38-24-982_/Sta5_002.tif) zoom_image_factor (Intpu…...
详解Spring中基于注解的Aop编程以及Spring对于JDK和CGLIB代理方式的切换
😉😉 学习交流群: ✅✅1:这是孙哥suns给大家的福利! ✨✨2:我们免费分享Netty、Dubbo、k8s、Mybatis、Spring...应用和源码级别的视频资料 🥭🥭3:QQ群:583783…...
百度/抖音/小红书/微信搜索品牌形象优化怎么做?
搜索口碑是网络营销不可或缺的一部分,企业如何做好品牌搜索口碑优化呢?小马识途营销顾问建议从以下几方面入手。 1. 通过关键字优化提高自身知名度 通过对竞争对手和目标客户的关键字进行分析,企业可以确定哪些关键字可以提高自身品牌知名度。…...
爬虫学习(三)用beautiful 解析html
安装库 import requests from bs4 import BeautifulSoup headers {"User-Agent" : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.0.0"} for start_num in range(0,250…...
OSG编程指南<十四>:OSG纹理渲染之普通纹理、多重纹理、Mipmap多级渐远纹理及TextureRectangle矩阵纹理
1、纹理映射介绍 物体的外观不仅包括形状,不同物体表面有着不同的颜色和图案。一个简单而有效地实现这种特性的方法就是使用纹理映射。在三维图形中,纹理映射(Texture Mapping)的方法运用广泛,使用该技术可以大大提高物…...
Langchain-Chatchat的安装过程
参考:LLMs之RAG:LangChain-Chatchat(一款中文友好的全流程本地知识库问答应用)的简介(支持 FastChat 接入的ChatGLM-2/LLaMA-2等多款主流LLMs多款embe_一个处女座的程序猿的博客-CSDN博客 1、安装过程中出现了 GPU驱动版本 是11.8 而 python -c "…...
)
Windows系列:Windows Server 2012 R2 安装VMware Tools的正确姿势(实现物理机和虚拟机文件互传)
Windows Server 2012 R2 安装VMware Tools的正确姿势(实现物理机和虚拟机文件互传) 安装环境安装步骤一. 安装补丁下面进入教程首先打开虚拟机,点击"虚拟机"选项中的"安装VMware Tools"点击确定如果出现下图中的问题,说明虚拟机中缺少更新程序,我们需…...
AI智能体记忆框架:向量化存储与混合检索技术解析
1. 项目概述:一个面向AI智能体的记忆与检索框架最近在折腾AI应用开发,特别是智能体(Agent)方向,发现一个挺有意思的痛点:如何让智能体拥有“记忆”?不是那种简单的对话历史记录,而是…...
Harness 中的请求标识染色:端到端追踪
1. 标题选项(核心关键词:Harness、请求标识染色、端到端追踪、可观测性、CI/CD) 「Harness 可观测性实战:请求标识染色实现全链路端到端追踪」 「从0到1搞定Harness请求染色:让微服务调用链路+变更链路无所遁形」 「告别排查黑洞:Harness请求标识染色的端到端追踪落地指南…...
Linux 下用火焰图进行性能分析
软件的性能分析,往往需要查看 CPU 耗时,了解瓶颈在哪里。火焰图 (flame graph) 是性能分析的利器。 1. 火焰图简介 很多人感冒发烧的时候,往往会模仿神农氏尝百草的路子:先尝尝抗病毒的药,再试试抗细菌的药ÿ…...
用HSPICE玩转CMOS反相器:手把手教你分析尺寸、延迟与功耗的权衡
用HSPICE玩转CMOS反相器:手把手教你分析尺寸、延迟与功耗的权衡 在集成电路设计的浩瀚宇宙中,CMOS反相器就像是一颗不起眼却至关重要的基础星体。作为数字电路中最简单的构建模块,它的性能表现直接影响着整个系统的运行效率。对于已经掌握HS…...
从YOLOv1到v5:一个算法工程师的实战避坑与版本选择指南
从YOLOv1到v5:算法工程师的版本选择与实战避坑指南 在计算机视觉领域,目标检测一直是工业界和学术界关注的焦点。作为实时检测领域的标杆算法,YOLO系列从2015年诞生至今已经迭代了五个主要版本。不同于学术论文中的理论比较,本文…...
基于Docker与MCP协议构建AI智能体安全扩展工具箱
1. 项目概述:一个为AI应用量身打造的“服务管家”最近在折腾AI应用开发,特别是那些基于大语言模型(LLM)的智能体(Agent)时,我遇到了一个挺普遍但很棘手的问题:我的AI助手能力很强&am…...
腾讯云轻量服务器镜像搬家到本地硬盘:一个被共享按钮“骗”了的故事
腾讯云轻量服务器镜像本地化实战:从共享陷阱到完整备份指南 第一次在腾讯云控制台点击"共享镜像"按钮时,我天真地以为数据已经安全地躺在我的本地硬盘里了。直到三天后需要紧急调用服务器环境时,才发现那个绿色的对勾图标不过是场…...
连锁品牌万店扩张的破局之道:用数字化营建体系,突破规模化瓶颈
在消费市场竞争日趋激烈的当下,连锁品牌的规模化扩张,早已不是 “砸钱就能跑通” 的简单命题。很多品牌手握充足资金,却在扩张到几十、上百家门店时陷入停滞:门店营建标准混乱、多项目统筹失控、资深项目经理一将难求,…...
)
手把手教你:用Edge/Chrome浏览器把Jupyter Notebook作业直接保存为PDF(含画布大小调整技巧)
手把手教你:用Edge/Chrome浏览器将Jupyter Notebook作业完美导出为PDF 深夜赶作业时,你是否遇到过这样的困境:精心编写的Jupyter Notebook包含复杂公式和可视化图表,却在导出PDF时遭遇格式错乱、中文显示为方框、图表被截断等问题…...
终极B站缓存视频转换指南:快速将m4s无损转换为MP4
终极B站缓存视频转换指南:快速将m4s无损转换为MP4 【免费下载链接】m4s-converter 一个跨平台小工具,将bilibili缓存的m4s格式音视频文件合并成mp4 项目地址: https://gitcode.com/gh_mirrors/m4/m4s-converter 你是否曾经因为B站视频突然下架而感…...