演讲议题巡展 | CodeQL Java Optimisation
2024-8-13 17:9:37 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

经过精心筹备与多方努力

KCon 2024 黑客大会敲定举办时间

将于8月24日-25日举办

本次大会涵盖了网安领域的不同热点话题

为了展示演讲议题风采

让大家了解更多大会情况

特此开展议题巡展

欢迎围观~

演讲者:

m0d9

来自腾讯云鼎实验室

议题介绍:

CodeQL Java Optimisation:Make CodeQL Data Flow Analysis support java features such as java reflection, threading, etc

CodeQL 是全球最大代码托管平台Github 默认的静态程序分析工具。其自建的QL 语言继承了Datalog 的语义,而且在语法上类似SQL 语言,这使得它具有更好的可读性。

在Java 静态程序分析上,有Native 方法和Reflection 两大难题,CodeQL 目前也没有很好的解决。例如近期出现的ActiveMQ CVE-2023-46604 / RocketMQ CVE-2023-33246,前者因为跨线程,后者还涉及到反射,都无法用CodeQL 通用规则检出。

本文介绍了CodeQL DataFlow 实现原理,在此基础上对其进行改造以支持Java 的一些特性分析,比如Java 反射、跨线程等,并对近期一些原本未能发现的经典漏洞进行回溯发现,最后讲讲增强后的CodeQL新发现。

期待与师傅们在线下相聚,不见不散!

KCon 2024 门票

KCon 2024的线上售票通道已开启

购票网址:

https://www.4hou.com/tickets/eERv

长按识别下方二维码

点击文末“阅读原文”

立即购票

● 学生票:410元(需提供相关证明)

● 团队票:1434元(3张起购)

● 普通票:2048元

● 学生团体票:738(2张)984(3张)1435元(5张)(需提供相关证明)

● KCon XCon联合购票:2069元(名额仅限30人)


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzOTAwNzc1OQ==&mid=2651137854&idx=1&sn=4e02f0d23c7f2bdb0560a0aec81f2cc1&chksm=f2c1265ec5b6af48202eca32e89b64ac2d5a95d9ec57c7a9b83e4ae5f0b9d9ed46e17acfbdaa&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh