大型项目中很多情况下要分析程序的日志信息,如何管理自己的日志信息至关重要。在应用程序中添加日志记录总的来说基于三个目的 ,
监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;
跟踪代码运行时轨迹,作为日后审计的依据;
担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。
最普通的做法就是在代码中嵌入许多的打印语句,这些打印语句可以输出到控制台...
分类:
其他好文 时间:
2015-06-02 15:21:30
阅读次数:
120
之前,郑维明所开设的上海学信教育一直使用plm@stju.edu.cn对外进行邮件往来,并宣称与交大有合作,不清楚的人(包括我)看了邮箱后缀后,觉得就是交大的,所以就信了,但其实不然,有些东西经不起查。 以下是交通大学督查审计办发过来的官方申明邮件 此邮件说明两点: 1. 所谓的“产品生命周期管理学...
分类:
其他好文 时间:
2015-05-31 06:47:36
阅读次数:
118
0x00前言国内公开的PHP自动化审计技术资料较少,相比之下,国外已经出现了比较优秀的自动化审计实现,比如RIPS是基于token流为基础进行一系列的代码分析。传统静态分析技术如数据流分析、污染传播分析应用于PHP这种动态脚本语言分析相对较少,但是却是实现白盒自动化技术中比较关键的技术点。今天笔者主要介绍一下最近的研究与实现成果,在此抛砖引玉,希望国内更多的安全研究人员将精力投入至PHP自动化审计技...
分类:
Web程序 时间:
2015-05-30 10:47:00
阅读次数:
187
移动应用程序现在变得更复杂,有许多第三方库和成千上万的功能,并且可以访问个人敏感数据和网络,这也导致了个人隐私数据泄露的不断增多。当前应用审计方法主要是静态分析。静态分析由于不可扩展的分析结构,可能遇到代码库的可扩展问题。因此,静态分析通常很耗时,尤其是大型应用。同时,静态分析可能产生误报,因为在实际执行时有一些分析代码路径不可能发生。这些缺点限制了应用审计方法的可用性。因此,针对现有Android应用存在用户隐私数据泄露的问题。
加拿大麦吉尔大学和上海交通大学的研究人员提出了一种基于静态...
分类:
移动开发 时间:
2015-05-24 15:51:48
阅读次数:
2703
有次项目投标,其中有涉及到堡垒机,因为第一次听到这个名词,所以就百度百度涨涨知识。”堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活..
分类:
其他好文 时间:
2015-05-22 19:27:58
阅读次数:
260
一个典型的oralce目录结构如下:/u01└── oracle ├── admin (数据库管理文件位置,以实例划分) │ ├── mydb │ │ ├── adump (审计信息) │ │ ├── bdump (后台进程跟踪文件) │ │ ├── cdump (信息转储文件core dump) ...
分类:
数据库 时间:
2015-05-22 16:27:33
阅读次数:
147
由于php缺少自动升级的机制,导致目前PHP版本并存,也导致很多存在漏洞没有被修补。这些有漏洞的函数也是我们进行WEB应用程序代码审计的重点对象,也是我们字典重要来源。四、其他的因素与应用代码审计很多代码审计者拿到代码就看,他们忽视了“安全是一个整体”,(http://www.fsprefabhou...
分类:
Web程序 时间:
2015-05-21 19:33:56
阅读次数:
112
1.认识MetasploitMetasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,密码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告...
分类:
Web程序 时间:
2015-05-17 21:44:30
阅读次数:
227
Oracle使用大量不同的审计方法来监控使用何种权限,以及访问哪些对象。审计不会防止使用这些权限,但可以提供有用的信息,用于揭示权限的滥用和误用。
下表中总结了Oracle数据库中不同类型的审计。
审 计 类 型
说 明
语句审计
按照语句类型审计SQL语句,而不论访问何种特定的模式对象。也可以在数据库中指定一个或多个用户,针对特...
分类:
数据库 时间:
2015-05-14 08:44:04
阅读次数:
235
虚拟化平台和传统网络环境共存,应用服务器和数据库服务器要在混合云平台进行数据库审计,就要区别于传统的部署方式,本文以vSphere虚拟平台为例,对数据库审计在混合虚拟化平台上的部署进行实践探讨。一、传统数据库审计产品在虚拟化平台下的局限性虚拟化能够应对IT部门面临的..
分类:
数据库 时间:
2015-05-11 18:13:11
阅读次数:
244
