分类: 学术高手

2 篇文章

[读论文 ISSTA ’23]Tai-e: A Developer-Friendly Static Analysis Framework for Java by Harnessing the Good Designs of Classics
前言 比起啃代码,感觉还是啃论文舒服点,之前学习了南京大学李樾老师和谭添老师主讲的软件分析课程,对我的帮助很大,这里就来学习一下两位老师的代表作,这篇最初的关于Tai-e的论文。 背景 两位老师这篇论文翻译过来叫做:《利用经典优秀设计的Java开发人员友好型静态分析框架》,从标题也可以看出来,Soot的核心创新点其实就是它是一个开发者友好的静态分析…
[读论文 USENIX Security 23]NAUTILUS: Automated RESTful API Vulnerability Detection
前言 对于一般工业界的漏扫工具,比如xray,它和爬虫之间其实是解耦的,比如xray是外接了一个rad。xray本身专注于漏洞检测逻辑(Payload 发送 + 响应判断),而不负责目标页面/接口的路径发现(URL 枚举),这项工作是由rad完成的,这是一个xray官方推出的专注于信息搜集的爬虫工具。换句话说,xray 专注做漏洞检测逻辑本身,而不…