漏洞类型: 1."@RequestMapping" methods should be "public"漏洞 阻断标注了RequestMapping是controller是处理web请求.既使方法修饰为private,同样也能被外部调用,因为spring通过反射调用方法,没有检查方法可视度,2."enum" fields should not be publicly mutable漏洞 次要枚举类域不应该是public,也不应该进行set3.&q…

1.".equals()" should not be used to test the values of "Atomic" classes.bug 主要不要使用equals方法对AtomicXXX进行是否相等的判断Atomic变量永远只会和自身相等,Atomic变量没有覆写equals()方法.2."=+" should not be used instead of "+="bug 主要"=+" 与 &…

写Code First 时(使用的是MySql数据库),添加好EntityFrame.MySql.Data .MySql.Data.Entity后 ,写好TestDbContext类. 运行时报出一个"MySql.Data.MySqIClient.MySqlProviderSevices"违反了继承安全 性规则.派生类型必须与基类型的安全可访问性匹配或者比基类型的安 全可访问性低. " 如图百度,折腾几个小时后,发现是MySql.Data .MySql.Data.Entity…

https://www.cnblogs.com/guoguochong/p/9117829.html 1.概述SonarQube(sonar)是一个 开源 平台,用于 管理 源代码的 质量 . SonarQube不只是一个质量 数据 报告工具,更是代码质量管理平台. 支持 java , C#, C/C++, PL/SQL , Cobol, JavaScr ip , Groovy 等等二十几种编程语言的代码质量管理与检测. SonarQube可以从以下七个维度检测代码质量,而作为 开发 人员至少需…

1.Abbreviation As Word In Name (默认 关闭)坏味道 主要检查验证标识符名称中的缩写(连续大写字母)长度,还允许执行骆驼案例命名allowedAbbreviationLength 3 6.Annotation Location (默认 关闭)坏味道 主要注释位置allowSamelineSingleParameterlessAnnotationTo allow single parameterless annotation to be located on the…

Q:什么是文件上传漏洞 A:文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像.上传附件等等.当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型.后缀名.大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录. 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell.所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑.比如:验证文件类型.…

Hashtable 是一个很常见的数据结构类型,前段时间阿里的面试官说只要搞懂了HashTable,hashMap,HashSet,treeMap,treeSet这几个数据结构,阿里的数据结构面试没问题. 一查才发现,这里面的知识确实不少,都很经典,因此做一个专题 通过此文章,可以了解到一下内容(我去美团,京东,阿里基本每次都问这几个问题) (1) Hashtable的存储结构 (数组+链表) (2)Hashtable的扩容原理,扩容因子0.75,bucket的初始大小11.(扩容的函数为2N+…

Heap/Stack Overflow(CVE-2017-0541) 漏洞出现在PushcdlStack函数中,如下所示   # /external/sonivox/arm-wt-22k/lib_src/eas_mdls.c static EAS_RESULT PushcdlStack (EAS_U32 *pStack, EAS_INT *pStackPtr, EAS_U32 value) { /* stack overflow, return an error */ if (*pStackPt…

from: http://www.cnblogs.com/yi-meng/p/3213925.html 备注: 排版还不错,建议看以上的链接. iptables规则 规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛.当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句.如果一个包符合所有的条件,我们就用相应的处理动作来处理.书写规则的语法格式为: iptables [-t table] command  chains [creter…

1.SonarQube 1.1 SonarQube介绍 SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误. SonarQube是否可以使用自定义规则由开发人员的开发语言所决定,详见 https://docs.sonarqube.org/display/DEV/Adding+Coding+Rules 1.2  SonarQube分析C# 分析C#项目的步骤 分析.NET解决方案可以在命令行,Jenkins或TFS / VSO中完成.这是一个简单快速的入门示例.…