笔者某偏远211软件工程专业,学过的语言包括C/C++/C#/Java,奈何实在码不动代码,只好跑来做安全了。然而接触安全之后,才发现如果想成为一个大牛开发能力是多么的必要。
之所以提笔这个系列,只要两个原因:一是,笔者接触代码审计转眼间已经八个多月了,代码审计工作主要是商业代审工具与人工结合的方式,然而也的确积累了不少小思路。二是,大家应该也有所发现,代码审计这个词仿佛是给CTF量身打造的一般,而CTF的代码审计却以PHP为主,所以已经有多个小伙伴私聊我,希望我整理下JAVA的代码审计内容。
于是,就有了今天这个系列《那些年,怼过的开发》,因为工作性质的关系,这个系列真的是跟不少开发血拼打下的江山!然后呢,不要希望我对你的CTF提供多少帮助,顺便说一句,代码审计项目九成以上是Java。当然了,我代码审计做的比较杂,甚至还有C/C++项目,之前也提过两个专业C/C++的代码审计工具,大家有兴趣可以了解下。
今天作为开篇我们就不扯代码了,其次我也保证以后的日子里代码部分讲解尽可能干练简洁。不管是开发人员还是吃瓜群众都可以读懂。
有些话提前点到:笔者也算半个开发狗,此文对开发职业绝无半点偏见。其实说本系列面向对象是安全行业,倒不如说是为了开发行业更确切些。安全开发的概念提了那么久,开发行业和安全行业也一直都是仇家见面,分外眼红。其实,仔细想想,代码审计人员的存在也不过是辅助开发在上线前做好安全加固工作。如果是上线后被渗透测试人员抓住小尾巴,那就不单是下线重改那么简单了。
最后呢,我想在同步此系列的同时,整理一个玩转IDE的系列,用以记录使用过程中的问题。不知道大家是不是感兴趣,出于私心,我习惯的IDE是eclipse,相信这也是大多JAVA开发所使用的,至于说IDE有什么好玩的?给大家看一眼笔者目前的IDE:
eclipse
Android环境,python环境,php环境,Java环境,tomcat部署……
emmmmm,你想要的,这里都有……