轻装上阵：Javassist聚焦代码审计关键点实践

来源： vipread · 发布时间 2025-11-26 22:13 (UTC+08:00) · 抓取时间 2026-03-07 12:41 (UTC+08:00)

摘要

本文链接《轻装上阵：Javassist聚焦代码审计关键点实践》提出用字节码操作库Javassist突破传统正则与SAST瓶颈，精准提取Spring等框架的路由映射、方法参数与注解语义，自动识别Runtime.exec、ScriptEngine.eval等敏感sink；结合参数签名分析，复现JDBC任意文件写入等CVE，实现无源码、低成本的蓝军快速审计。工具已集成路由提取、sink定位、参数校验三大模块，可作为轻量级辅助手段，显著提升代码审计效率。

扩展字段

{
  "time_meta": {
    "applied_timezone": "UTC",
    "fallback": false,
    "raw": "Wed, 26 Nov 2025 14:13:30 +0000",
    "source": "item.pubDate"
  }
}