连击 天
fork: star:
周末,喜欢独自一个人在海边散步,走过那片熟悉得不能再熟悉的沙滩,不知不觉间,来到这座城市已经整整3年了。有时候会突然感慨,在这座城市的3年里,自己做了什么,得到些什么,又失去了什么...
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态I...
微信小程序作为一款轻量级的应用,因其有着较强的灵活性,开发成本低,推广裂变快等特点,在很多领域得到广泛的应用。 本文基于小程序在电商领域的应用场景,将常见的安全问题进行分析汇总,...
openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。 在这里,我们通过docker部署控制台,接入一个PHP应用进行测...
Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探...
今天推送一则招聘信息,坐标厦门,一家很有钱的公司,因为银行真的是他们家开的。 故事是这样的,有个认识了好几年的小伙也回厦门了,前两天凌晨三点还在广场上找我倾诉,他们正在组建自己的...
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。 1、小程序解包(反编译) (1)安装手机...
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点。 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点...
从刚开始接触AWVS10.5 扫描器开始,一直被我认为是最好的漏洞扫描器。轻量级的客户端,简洁易用的操作界面,可直接观察站点扫描的过程,再加上一些辅助工具,提供了强大的单兵作战能力,一个...
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进...
近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些IAST开源项目,可以让更多的个人或者企业参与和体验。 本文就目前网络中找到的几款IAST工具进行部署测试,记录一...
作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。 ...
“如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。—-摘自pikachu漏洞靶场的一句话。 初学的时候玩靶场会很有意思,可以练习各种...
上周,我发了一个招聘贴,差不多有五六十个人加了微信,有咨询岗位信息投简历的,有加好友聊天混个脸熟的。比较有意思的是,我明明发的是招聘贴,却莫名来了好多个找我要人的Hr。 做了几天的...
这里是我的安全自留地,汇集了有3w+素未谋面却志同道合的安全爱好者。 我一直在想,和网络中那些熟悉的朋友,那些熟悉的id一起工作,应该是一件很有意思的事情。 今天分享一则招聘信息,如果...
初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。 一款好用的Web...
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方...
没有更多内容
加载失败,请刷新页面
文章删除后无法恢复,确定删除此文章吗?
动弹删除后,数据将无法恢复
评论删除后,数据将无法恢复