职业感悟：代码审计与编程在渗透中的重要性

   配图：3D立体街头涂鸦.      博客连着断了一个月没更新，期间写过好几篇各个方向的文，都是写到一半就夭折，这篇文章强迫自己耐心写出来的. 最近跟出版社沟通好了在写一本关于代码审计和安全编程的书，算是把我这几年的技术积累做一个总结，刚好昨天跟safekey team几个搞渗透的朋友说到编程的问题，就想写个文来好好讲讲.

现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结. 代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除. 未对输入和输出做过滤，场景：.

本文重点是让大家了解JAVA代码审计的基础，会以漏洞示例的方式介绍JAVA代码中常见Web漏洞的形成和针对的修复方案，文章是在国外网站上看到的，因为在接触JAVA代码审计，感觉挺高大上的文章，很适合对JAVA代码审计感兴趣的童鞋找感觉之用，就根据自己的理解翻译了过来，拿去某平台投稿，被鄙视说太基础，就只好发自己的Blog上了.

之前看了seay写的PHP代码审计的书，全部浏览了一遍，作为一个代码审计小白，希望向一些和我一样的小白的人提供一下我的收获，以及一个整体的框架和常见漏洞函数. 这也算是这本书的一个学习笔记吧，可以结合我捋顺的思路来看这本书. 学习代码审计的目标是能够独立完成对一个CMS的代码安全监测. 通读全文代码，从功能函数代码开始阅读，例如 include文件夹下的 common_fun.php，或者有类似关键字的文件.

本文作者：i春秋作家——索马里的海贼. (http://bbs.ichunqiu.com/thread-13714-1-1.html)说到快速漏洞挖掘中的几个重点关注对象，命令执行，文件操作，sql注入. 并且拿sql做为例子简单做了一次 代码审计，今天换一个思路，从文件操作部分入手，毕竟 文件操作一个搞不好就是getshell，比起注入按部就班慢慢来可要爽快多了.

最近在给一家市值过百亿美金的公司做渗透测试，发现其中一个域名用的亿邮邮件系统，就顺便下了套亿邮的源码看了看，发现这套系统的安全性还停留在零几年，问题一大堆，找到一些getshell，简单列两个，再拧两个稍微有意思的漏洞分享一下，就不写详细分析了. 另外过段时间会更新一版代码审计系统，会加几种漏洞类型的审计规则，还有优化误报.

第一次正式的审一次CMS，虽然只是一个很小的博客系统(提交都不一定收的那种)，漏洞也都很简单，但是也算是积累了不少经验，所以最后想来还是在此做个分享，博客系统的CMS就不说了，毕竟有个官网挂着. 缘起某日翻阅某朋友博客的时候无意间发现有个小型的CMS，反正暑假闲的无聊就去审了一下代码(正好拿来练练手)，问题挺严重的，好多参数都没有进行过滤，光注入就有好多处，因为文章篇幅有限，这里就不一一列举了，这里只把我找到的漏洞中每类最典型的剖析一下.

Hadoop Streaming是Hadoop提供的一个编程工具，它允许用户使用任何可执行文件或者脚本文件作为Mapper和Reducer，例如：. 采用shell脚本语言中的一些命令作为mapper和reducer（cat作为mapper，wc作为reducer）. 本文安排如下，第二节介绍Hadoop Streaming的原理，第三节介绍Hadoop Streaming的使用方法，第四节介绍Hadoop Streaming的程序编写方法，在这一节中，用C++、C、shell脚本 和python实现了WordCount作业，第五节总结了常见的问题.

本来打算寒假回家好好学习Linux的，为以后学习嵌入式打好基础的. 回家之后的学习效率非常低，之前为了搭建Linux环境，折腾了很长时间，学到现在也就勉强才把Shell编程学完了. 今天就把自己学习的相关知识点总结整理一下. 个人感觉shell程序跟windows下的批处理文件有点像，就是将一些系统命令写进一个可执行文件中，然后执行.

至少在部分问题上 AI 程序员能与真正的程序员竞争了. Alphabet 旗下 AI 子公司 DeepMind 宣布了 AI 代码生成系统 AlphaCode（PDF），声称测试显示其水平在编程竞赛中已经具备了竞争力. 计算机科学家 Scott Aaronson 也为 AI 在编程方面的进步 惊叹不已.