摘要：思路一 简单正则匹配危险函数，跟入函数看输入变量是否可控。 优点 简单，可用程序完成不少工作。 缺点 误报多，需要一个个确认输入变量。 不容易发现二次注入之类二次漏洞。 参考 1. seay代码审计工具 2. 思路二 解析程序语法树，分析危险函数调用关系 优点 纯静态分析，可全由程序处理 可发现漏洞 阅读全文

摘要：引子 最近一个月每天早上在学Javascript，刚学完基础语法和一点点jQuery，今天忍不住写个Chrome玩玩看看自己对JavaScript的掌握怎么样了。 目标 考虑了一下，打算做个小东西，但是总不能因为要做而做，没有意义。想到了做一个whatweb的探测插件。因为它们的 "官网" 上直接有 阅读全文