加载中
来到这座城市3年了

周末,喜欢独自一个人在海边散步,走过那片熟悉得不能再熟悉的沙滩,不知不觉间,来到这座城市已经整整3年了。有时候会突然感慨,在这座城市的3年里,自己做了什么,得到些什么,又失去了什么...

npc
2021/09/11 23:40
281
DongTai 被动型IAST工具

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态I...

2021/09/06 08:00
243
微信小程序安全需求基线

微信小程序作为一款轻量级的应用,因其有着较强的灵活性,开发成本低,推广裂变快等特点,在很多领域得到广泛的应用。 本文基于小程序在电商领域的应用场景,将常见的安全问题进行分析汇总,...

2021/09/02 08:00
334
openrasp-iast 灰盒扫描工具

openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。 在这里,我们通过docker部署控制台,接入一个PHP应用进行测...

2021/08/23 08:00
281
使用SonarQube实现自动化代码扫描

Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探...

推送一则招聘信息

今天推送一则招聘信息,坐标厦门,一家很有钱的公司,因为银行真的是他们家开的。 故事是这样的,有个认识了好几年的小伙也回厦门了,前两天凌晨三点还在广场上找我倾诉,他们正在组建自己的...

微信小程序渗透测试技巧

随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。 1、小程序解包(反编译) (1)安装手机...

2021/07/19 08:00
3.9K
如何攻击Java Web应用

越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点...

AWVS14,牛逼呀

从刚开始接触AWVS10.5 扫描器开始,一直被我认为是最好的漏洞扫描器。轻量级的客户端,简洁易用的操作界面,可直接观察站点扫描的过程,再加上一些辅助工具,提供了强大的单兵作战能力,一个...

2021/06/29 08:00
23
恶意样本基础分析技巧

当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进...

2021/06/24 08:00
24
企业级静态代码分析工具清单

如果要选择一款企业级静态源代码安全扫描工具,那么Gartner 2021应用程序安全测试 (AST) 魔力象限,就可以给我们在产品选型提供很重要的参考。 本文整理的是一份商业静态源代码分析工具的清单...

IAST 工具初探

近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些IAST开源项目,可以让更多的个人或者企业参与和体验。 本文就目前网络中找到的几款IAST工具进行部署测试,记录一...

记编辑器漏洞引发的应急处理

作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。 ...

2021/05/21 08:00
25
Web渗透漏洞靶场收集

“如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。—-摘自pikachu漏洞靶场的一句话。 初学的时候玩靶场会很有意思,可以练习各种...

2021/05/14 08:00
24
来吧,聊个五毛钱

上周,我发了一个招聘贴,差不多有五六十个人加了微信,有咨询岗位信息投简历的,有加好友聊天混个脸熟的。比较有意思的是,我明明发的是招聘贴,却莫名来了好多个找我要人的Hr。 做了几天的...

2021/05/06 21:49
23
招人,招人,招人啦!

这里是我的安全自留地,汇集了有3w+素未谋面却志同道合的安全爱好者。 我一直在想,和网络中那些熟悉的朋友,那些熟悉的id一起工作,应该是一件很有意思的事情。 今天分享一则招聘信息,如果...

2021/04/29 11:00
25
常用Web安全扫描工具合集

初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。 一款好用的Web...

Linux手工入侵排查思路

当Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。 在这里,结合工...

Windows手工入侵排查思路

Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方...

2021/04/13 08:00
92

没有更多内容

加载失败,请刷新页面

返回顶部
顶部