1.golandè¿ç¨debugï¼
2.BJDCTF2nd-Web Writeup
3.QEMU与KVM笔记01-系统虚拟化与QEMU/KVM介绍
4.华为自研编程语言“仓颉”来了!无源z无鸿蒙应用开发新语言,源码性能优于 Java、复现Go、无源z无Swift
5.模糊测试工具 AFL的源码原理与实践
6.安全漏洞漏洞发掘方法
golandè¿ç¨debugï¼
vscodeågolandè¿ç¨è¿æ¥Linuxç³»ç»
使ç¨vscodeä¸çsshè¿æ¥è¿ç¨çLinuxæºå¨æ¶ï¼vscodesshserverå¡å¨copyingvscodeservertohostwithscpãææ¶åvscodesshåå¤æ示è¾å ¥å¯ç ï¼è¿æ¯æ æ³è¿æ¥ã
vscodesshæåãç±äºvscodesshåå°ç æ¯å ¥ä¾µï¼å¯¼è´vscodesshæåï¼å æ¤å ¶è¿æ¥linuxç¯å¢åï¼ä¸è½ä½¿ç¨linuxç³»ç»ãvscodesshæ¯ä¸ç§ç½ç»åè®®ï¼ç¨äºå å¯ä¸¤å°è®¡ç®æºä¹é´çéä¿¡ï¼å¹¶ä¸æ¯æåç§èº«ä»½éªè¯æºå¶ã
æ们å å¨windows主æºä¸ä¸è½½TigerVNC软件å ãTigerVNCæ¯ä¸æ¬¾å¼æºå è´¹çVNCè¿æ¥è½¯ä»¶ï¼æ们å¯ä»¥éè¿å®å¯¹å¸¦æ¡é¢çlinux主æºè¿è¡è¿ç¨ãè¿éï¼æ们ä»SourceForgeç½ç«ä¸è½½TigerVNC软件å ã
äºä¸ªé常好ç¨çLinuxè¿ç¨è¿æ¥å·¥å ·ï¼ç¬¬ä¸æ¬¾ï¼Xshell(、QEMU与其他技术的复现Theme源码结合案例、QEMU与主机共享文件夹、无源z无内核开发调试、源码源码阅读等参考资料提供了更深入的复现了解。
华为自研编程语言“仓颉”来了!无源z无鸿蒙应用开发新语言,源码性能优于 Java、复现Go、无源z无Swift
仓颉编程语言,源码华为自主研发的复现国产自主编程语言,于HDC 正式发布,旨在为开发者提供友好开发体验和卓越程序性能。随着万物互联和智能时代的到来,软件开发对编程语言提出了新的需求。仓颉语言面向全场景应用开发,拥有现代语言特性的集成、全方位的编译优化和运行时实现,以及开箱即用的IDE工具链支持,是专为智能化、端边云协同等新场景设计的下一代编程语言。
当前,鸿蒙原生应用开发中,广泛使用了支持声明式UI和一次开发、多端部署的ArkTS语言。仓颉语言作为面向未来的编程语言,已完成设计与实现,并启动了开发者预览,未来将与ArkTS共同发展,为开发者提供极致高效的开发体验。
仓颉编程语言填补了国产编程语言的起名源码 贴吧空白,当前中国开发者使用的主流编程语言主要为Java、JavaScript、Python等,这些语言大多由国外厂商及科研机构把控。在全球编程语言发展水平的高地,主要集中在欧洲和美国。丹麦、荷兰、瑞士等国家在编程语言领域有重要贡献。值得注意的是,在当前复杂的国际形势下,多数主流编程语言可能存在断供风险,例如Java和Go语言的主导性和控制性。
构建编程语言周期长,挑战大。国内尚无规模商用的自研编程语言,国产编程语言稀缺,仅有Go语言的爱好者发起的凹语言、Go+语言、易语言、MoonBit等。国产编程语言的自主可控成为工业和信息化部十四五规划的一项重点工作。
仓颉编程语言定位为现代编程语言,主打高效编程、安全可靠、轻松并发、卓越性能、敏捷扩展,设计时在安全性、易用性和性能之间进行了权衡。它选择居于动态脚本语言和系统编程语言之间,被设计为具备自动内存管理功能、静态类型、面向应用开发的手机游戏源码打包语言,注重“语法简洁低噪音,且能面向领域易扩展”,在性能上注重“垂直整合、性能可伸缩、稳定可预期”,在安全上注重“缺省模式安全、强化编译期安全约束”。
仓颉编程语言在性能上取得了明显优势,在计算机语言基准测试Benchmarks Game上表现优秀。它还支持面向应用开发的一系列工具链,包括语言服务、调试、静态检查、性能分析、包管理、文档生成、Mock工具、测试框架、覆盖率工具、Fuzz工具以及智能辅助编程工具,进一步提升软件开发体验以及效率。
仓颉编程语言特性完备,支持函数式、命令式和面向对象等多种编程范式,包括值类型、类和接口、泛型、代数数据类型、模式匹配、以及高阶函数等特性。它还支持类型推断,降低开发者类型标注的负担,通过一系列简明高效的语法减少冗余书写,提升开发效率,迷你坐骑源码螺旋内置语法糖和宏的能力支持开发者快速开发领域专用语言(DSL),构建领域抽象。
仓颉编程语言提供了多方面技术特色,包括函数是一等公民、高效并发、轻量化线程模型、跨语言互操作和原生智能化。其中,仓颉的线程采用M:N线程模型,是用户态的轻量级线程,支持抢占,内存资源占用更小,轻松实现数千甚至数万个并发任务。仓颉还支持与C、ArkTS/JS、Python等编程语言的互操作,采用便捷的声明式编程范式实现对其他语言库的高效复用和生态兼容。仓颉编程语言通过调试器cjdb提供源码级调试能力,支持跨语言调试,最大程度上提升用户调试体验。
仓颉编程语言正在构建AI原生能力,提供原生AI能力简化开发难度,AI相关功能如模型部署、智能决策等成为语言表达力的一部分,带来高效的开发体验。仓颉团队正尝试构建Agent DSL,一种专为AI Agent开发和多Agent协同设计的领域特定语言,提供内嵌在仓颉语言中的DSL能力,使开发者无需额外学习复杂的库和框架,通过DSL简单直观地使用AI功能。
仓颉编程语言还构建了原生AI应用框架,与语言原生配合给开发者带来全场景智能化时代的应用编程新体验。仓颉团队正在构建的AI赋能能力,希望通过简洁的信号分析软件源码语法表达降低开发者编写AI应用的门槛,提升AI应用开发的效率,使代码更精准地对应AI Agent的操作、决策过程。
模糊测试工具 AFL的原理与实践
在软件开发领域,确保质量和安全是关键。模糊测试作为高效自动化测试策略,专门用于检测程序中的错误和安全漏洞。本文旨在详细介绍AFL(American Fuzzy Lop)的基本原理和实践方法。
模糊测试原理介绍
AFL是一种通过输入异常或随机数据来自动化发现程序错误的测试方法。它利用遗传算法不断生成测试用例,并通过动态插桩技术监控程序行为,尤其关注代码覆盖情况。当新输入引发新代码路径时,该输入会被保存以进一步测试。这一循环不断优化测试用例,探索更多程序状态。
AFL流程图展示了从准备测试用例到监控程序行为的核心步骤,突出其动态性和迭代性。
AFL采用fork运行模式,这使得程序崩溃时,测试进程不会终止,相较于LibFuzzer更具有优势。然而,频繁的fork操作也意味着效率不如LibFuzzer。
AFL安装与运行
AFL主要针对UNIX-like系统,尤其在Linux上表现最佳。Windows用户可通过winafl进行模糊测试,支持多种CPU架构,其中对x和x架构支持最好。若需ARM架构支持,则需使用QEMU模式。
安装步骤包括源码编译,使用afl-fuzz命令启动测试,命令格式如下:
命令中的/path/to/program替换为目标程序路径,[options]为程序运行选项或参数。若测试程序需从文件读取输入,可使用@@占位符。AFL将根据测试需求替换此占位符。
AFL使用示例
下面是一个简单示例,演示如何使用AFL进行模糊测试。目标程序实现四则运算,使用不安全的gets函数可能导致缓冲区溢出。
首先,对源码进行AFL编译,添加代码覆盖插桩。接着,准备初始语料库作为测试起点,无论输入是文件还是stdin,AFL都需要初始数据。在运行AFL前设置系统核心转储文件命名规则,便于检测程序崩溃情况。运行测试时,根据程序输入来源选择是否使用@@占位符。
运行后,AFL界面显示测试结果,包括找到的崩溃和覆盖率信息。结果通过pythia工具分析。输出目录结构清晰,便于后续分析。
AFL的QEMU模式
对于已编译的二进制文件,AFL可通过QEMU模式进行模糊测试,无需源码。QEMU模式使用用户模式仿真运行二进制文件,支持对闭源应用的模糊测试。
QEMU模式安装与使用步骤包括编译QEMU支持和执行AFL-fuzz命令时添加-Q参数。
AFL++升级版
AFL++作为AFL的增强版,改进了调度策略和变异算法,新增CMPLOG和持久化等特性,提高代码覆盖率和测试效率。
CMPLOG功能记录比较操作参数,帮助理解输入逻辑,提高路径覆盖。持久化模式允许程序在单个进程周期内多次执行测试用例,减少启动成本,加快测试速度。
总结
AFL是一款功能强大的模糊测试工具,适用于多种架构和系统环境。尽管存在覆盖率瓶颈,但结合其他技术如符号执行,可有效突破限制,提升测试能力。
安全漏洞漏洞发掘方法
在软件开发中,安全漏洞被视为软件错误的一种,所有软件测试方法都可以用于漏洞的发现。对于漏洞发掘,黑客们运用了一系列可遵循的策略: 首先,fuzz测试,也称为黑盒测试,通过构造可能引发程序错误的输入数据,进行自动化的测试,以此寻找漏洞。 源码审计,即白盒测试,利用现代工具如C语言编译器等,对程序内部进行检查,找出隐藏的安全问题。 IDA反汇编审计,类似于源码审计,但面对的是二进制代码,即使无法获得源码,IDA作为强大的反汇编工具,也能帮助我们基于汇编代码进行安全审查。 动态跟踪分析是另一种策略,它记录程序在不同条件下的执行行为,特别是与安全相关的操作,如文件操作,以此检测竞争条件类漏洞,包括污点传播跟踪。 最后,补丁比较也是一个实用的手段,通过对厂商发布补丁前后文件的源码或反汇编码进行对比,可以揭示漏洞的具体细节。 无论哪种方法,关键都在于人工分析,需要全面覆盖流程路径。这可能包括分析设计文档、深入源码、解析反汇编代码,甚至动态调试程序,以确保漏洞的完整发现和修复。扩展资料
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。Fuzz测试:提升自动驾驶安全性
在汽车制造业的发展历程中,技术创新作为支撑,对世界经济、社会发展及人们的生产生活方式产生了深远影响。从福特公司的T型车生产流水线到本田雅阁汽车的车载导航系统,再到现在的泊车辅助系统,汽车产业在技术层面持续革新。然而,随着新技术的加速落地,安全漏洞问题也随之显现。通过物联网实现网络连接的汽车,正面临着与手机、笔记本电脑相似的网络安全威胁。
Fuzz测试,作为解决汽车安全问题的简单有效方法,提供了必要的预防措施。Fuzz测试,亦称模糊测试,是一种自动化软件测试技术,其核心是将自动或半自动生成的随机数据输入到被测设备中,监测异常情况以发现潜在错误。Fuzz测试可应用于白盒、灰盒或黑盒测试,通过变异测试(mutation-based)或生成测试(generation-based)工具,发现先前未能发现的漏洞,包括零日漏洞。
自动驾驶的出现,将汽车技术推向了新的高度。车联网这一概念,作为IoT(Internet of Things)的一种,为汽车带来了便利与快捷,同时也成为了黑客攻击汽车控制系统的主要渠道。黑客通过网络威胁,对车辆进行攻击,可能导致严重的安全漏洞。根据Upstream Security发布的《年全球汽车网络安全报告》,预计在未来几年内,网络黑客攻击可能导致汽车业损失近亿美元。这表明汽车生态中的网络威胁对道路使用者的安全构成严重威胁。
由于自动驾驶尚未广泛普及,汽车制造商通常在既定的平台标准上开发自己的安全协议,导致相对应的安全漏洞未得到充分研究与记录。美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)在自动驾驶汽车系统和组件的漏洞检测(Common Vulnerabilities & Exposures,CVE)数据库中记录的问题数量虽然较少,但特斯拉等涉及智能驾驶的汽车事故频发,凸显了自动驾驶安全问题的紧迫性。
Fuzz测试在自动驾驶和车联网领域发挥着关键作用。通过模拟攻击场景,Fuzz测试能够确保每辆自动驾驶汽车具备抵御试图破坏程序、绕过登录进行远程操作的攻击者的攻击能力。Fuzz测试的几种方法包括基于变异、基于重放和基于语法生成。每种方法都有其优势,能够对通信特定部分进行测试,确保所有数据包不会立即被被测设备阻塞,避免产生序列错误。
Fuzz测试不仅是一种有效的测试方案,也是解决汽车自动驾驶安全问题的关键工具。它不依赖于被测设备的信息和源代码,能够对整个堆栈进行黑盒化处理,从而在开发阶段和预发布阶段发现潜在漏洞。Fuzz测试的优势在于能够通过需要串行连接的协议进行通信,为没有TCP/IP通信的产品提供强大的测试支持。
综上所述,Fuzz测试是提升自动驾驶安全性的有效途径。通过使用Fuzz测试,开发者能够重现安全攻击、理解协议结构,并据此判断哪些部分更容易受到攻击,从而采取更有效的解决措施。当前阶段,Fuzz测试无疑是解决汽车自动驾驶安全问题必要且有效的测试方案。