- 博客(266)
- 资源 (9)
- 收藏
- 关注
原创 VMware安装MAC OS 10.15.4
首先,需要https://mirrors.dtops.cc/iso/下载一个需要的版本,我下载的是最新的10.15.4。其次,需要下载unlockder使VMWare可以支持MAC OS的虚拟机,如果要安装比较新的MACOS版本,需要下载VMware15.5或者更新的版本,如果是从低版本升级的Vmware,升级之后需要再运行一次unlockder,创建虚拟机时,才可以选择新的版本:开...
2020-04-03 14:46:23 23344 25
原创 一些机器学习不错的书籍
最近,在学习一些机器学习的相关知识,在Github上居然找到了一个可以下载一些不错的介绍机器学习和大数据挖掘和分析的书籍。
2024-09-11 10:52:02 423
原创 如何判断一个Repo是否是Private还是Internal?
在决定对Gihub的graphql进行扫描时,需要检测是否有Repo在扫描的范围之外,检测出可能遗漏的Repository,同时又需要排除一些私有的Repo。在这里可以看到Repo的三个可见性的属性:INTERNAL,PRIVATE和PUBLIC。Github的Repository分为三种类型,主要是用于决定谁可以访问、查看和克隆该仓库。在这里可以了解到,一个repo是否是private不能通过privacy来判断,但是可以通过visibility来获取。于是,再进一步查询手册,发现有一个可以获取整个。
2024-06-28 12:34:34 376 1
原创 pandas dataframe 的几种过滤数据的方法
Pandas是一个用于数据科学的开源Python库。这个库在整个数据科学行业被广泛使用。它是一个快速和非常强大的python工具来执行数据分析。Pandas为我们提供了读取、过滤、检查、操作、分析和绘制数据的命令。它使用内置函数加载以各种文件格式存储的数据,如csv, json, text等,作为pandas数据框架结构。 本文主要是介绍几种过滤数据的方法。
2024-05-15 15:18:29 1653 1
原创 关于Checkmarx、CodeQL和Semgrep的测试结果比较
对于SAST工具而言,对框架的支持非常重要,它可以有效地发现基于某些框架的漏洞,而且现在系统的开发为了提高开发效率,基本上没有从0开始的,都是基于框架的,因此,对于框架的支持程度对于扫描结果的影响很大。Semgrep是在本地扫描,然后将扫描的结果发送到Semgrep的云上,通过Web Portal再显示扫描结果,虽然在数据流里显示了具体的文件与行号,但是,由于不能和源代码联动,在做甄别问题时,就显得比较费劲,如果上传代码到云上,又有泄露的安全风险。本文列列举了工具的各个方面的比较,比较的方面和结果如下。
2024-05-07 14:06:52 1100 2
原创 已经连接过的网络的密码忘记了,怎么快速找回?
使用笔记本电脑曾经连接过一些无线路由器,时间久了,密码可能就忘记了。再使用其他设备连接时,就需要尝试去找到这个密码。本片文章就是通过几个命令快速找到之前使用笔记本电脑曾经连接过的无线网络的密码。
2024-03-13 17:31:32 495
原创 关于静态应用程序安全测试(SAST)的自动修复(AutoFix)
目前市场上有些产品提出创新的功能就是自动修复,核心功能就是发现有问题的代码,然后自动修复,或者半自动修复。这个功能听起来很美好,工具扫描发现了问题,然后不需要开发人员的干预,自动修复检测到的问题。有的工具甚至还号称“100%的扫描准确度,自动化代码修复”。本文章就是尝试通过对几种号称可以自动修复的工具的调查,看看他们实际的自动修复是什么?是否可以达到预期的宣传的那样。
2024-02-28 21:25:25 936
原创 用pandas实现用前一行的excel的值填充后一行
接下来就需要一个简单的方法,把后面的空的cell的内容填上,这样通过公式计算UniqueKey时,就可以很容易。虽然Excel也提供了可以使用其他的Cell的值填充空白Cell的值,但是操作步骤有点作,而且对于操作有几千上万行的excel文件来说,太不方便,万一出错,就需要重来一遍。如果UniqueKey有重复的,就可以通过Excel的去重复数据的功能,直接将重复的行去掉。正好学习了pandas库,发现用它的dataframe可以很轻松地实现。几行代码就可以轻松搞定几万行的文件的数据处理!
2024-01-18 16:15:54 820
原创 xlrd.biffh.XLRDError: Can‘t find workbook in 0LE2 compound document
本文主要是探讨如何解决xlrd.biffh.XLRDError: Can't find workbook in 0LE2 compound document 错误。
2024-01-03 15:06:13 1058
原创 应用安全四十四:Side Channel
这种攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。这种攻击不是基于协议或算法设计本身的缺陷(例如,密码算法的密码分析中发现的缺陷),也不是实现中的小错误或疏忽,而是基于计算机协议或算法实现方式的本质方式。这种攻击不是基于协议或算法设计本身的缺陷(例如,密码算法的密码分析中发现的缺陷),也不是实现中的小错误或疏忽,而是基于计算机协议或算法实现方式的本质方式。Side Channel攻击的条件是能够建立泄漏的物理信号与处理的数据之间的联系,以及处理的数据与芯片中的数据之间的联系。
2023-12-31 10:39:19 1406
原创 error: urllib3 2.1.8 is installed but urllib3<1.27,>=1.25.4;
本文主要是介绍如何解决python安装过程中遇到的urllib3 的版本不匹配的问题。
2023-12-14 17:14:28 534
原创 URIBuilder与SSRF
在使用一个静态扫描工具时,报了一个SSRF的问题,经过数据流的分析,导致此工具报SSRF的原因是在调用URIBuilder的setPath函数时,参数是从请求里获取的,导致了数据流被污染,因此认为由URIBuilder构造的URL也被污染,最终导致URIBuilder构造出来的URI被污染,所以,认为可能会导致SSRF问题。通过以上实现可以看出,针对URL中的Path的处理是不安全的,但是对Parameter的处理是安全的。可以看出这里的路径如预料的一样没有被处理。
2023-12-11 19:35:14 338
原创 几个查找开源组件CVE的网站和工具
结果中不仅给了严重的级别,还提供了CVSS,最为重要的是它提供了EPSS,EPSS(漏洞利用预测评分系统)是一种利用CVE信息和真实世界的攻击数据来预测漏洞是否以及何时会被利用的系统。它是一款由OWASP提供的一款免费的查找整个项目含有哪些组件和CVE的工具,根据可能性提供了可能的CVE列表,显示的结果可以是HTML和JSON。不过,针对输出结果需要进一步解析才能得到最直观的信息。不过这个网站用起来不太方便,如果有具体的CVE查找还比较方便,如果查找其他的信息,例如:组件名称和版本以及时间,就不太方便了。
2023-12-06 15:00:16 2722
原创 应用安全四十三:无密码认证安全
无密码认证是一种新兴的安全技术和身份认证手段,是用密码以外的东西验证软件用户身份的过程,旨在替代传统的用户账号和密码认证方法,提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权,可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。本文主要介绍了无密码认证的概念、类型、威胁和相关的预防措施。
2023-12-03 11:18:14 668
原创 pandas 如何获取dataframe的行的数量
pandas的dataframe提供了多种方法获取其中数据的行的数量,本偏文章就是介绍几种获取dataframe行和列出量的方法。
2023-11-26 19:53:50 3142
原创 scapy No such device exists (No such device exists)
如何解决错误:“scapy No such device exists (No such device exists)”
2023-11-20 16:07:07 234
原创 services.Jenkins Additional property tags is not allowed
本文章描述了Additional property tags is not allowed问题的原因和解决方案。
2023-11-09 11:00:21 1149
原创 应用安全系列之四十:登录常见问题以及预防方法
本片文章尝试列举了在实现登录功能时可能出现的问题,并针对每种可能的攻击原理和预防给与了详细的解释,希望通过本片文章可以让你了解与掌握在实现登录的功能时可能存在的各种可能的攻击,并且在开始实现登录功能的时候,能够在设计里考虑到各种可能的攻击,在第一时间能够正确地把登录功能做的更安全,守护好整个应用程序的大门。
2023-10-08 18:06:39 430
原创 应用安全系列之三十九:JWT 相关安全问题以及最佳实践
本文主要简单介绍JWT的功能,以及常见的安全问题,并针对相关的安全问题提供一些有针对性的解决方案。 希望对JWT的使用者和实现者能够有所帮助。
2023-10-07 19:47:18 404
原创 Mac:运行docker遇到Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker ...
如何解决Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
2023-09-07 14:55:39 8197
原创 Expected a mapping or list of mappings for merging, but found scalar
在CircleCI集成的过程中,难免会遇到各种问题,遇到问题注意收集,可以为以后的集成带来方便。
2023-09-04 14:10:05 161
原创 关于hardcoded账号和密码的问题的想法
但是,程序员在实现时为了方便经常会使用一些不太安全的方法,容易导致系统的存储系统的访问账号和密码的泄露。如果使用不同的配置文件,但是使用相同的账号和密码,这个和使用同一个配置文件也没什么区别,主要的区别就是修改产品线上的账号和密码时,比较容易一些。总之,无论如何,尽量避免hardcoded的关键敏感信息,包括:密码、token、加密的密钥等,需要在实现之初就应该规划好如何管理这些内容,如何能够基于当前的系统架构实现动态更新,这样才能保证一旦出现泄漏问题,可以及时更换泄露的内容,保护系统的安全。
2023-08-03 10:41:10 226
原创 Java如何获取一个文件的MIME-TYPE
在介绍文件上传漏洞时,介绍了针对输入的文件需要判断:文件大小、文件扩展名、文件名称还有文件类型。其中关键的就是检测文件的内容的类型,如果避免一些不符合实际需求的内容上传就是其中最关键的,探测准确的内容类型,可以预防上传恶意代码或者恶意文件。
2023-06-16 18:11:25 3529
原创 富文本输出如何避免XSS
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
2023-05-12 17:12:17 3347 1
原创 使用chatgpt探索XSS问题
通过本次提问和获得答案的记过来看,通过Chatgpt可以大概了解一下XSS的原理和预防方法,但是,要真正动手写代码彻底解决XSS问题,还需要再进一步学习掌握才可。
2023-04-26 11:30:54 576
原创 使用chatgpt探索SQL注入
所以,chatgpt的回答不一定就是正确地, 要想判断答案的正确性,还必须要查询者自己有一定的知识基础,可以判断其中的一些不足的地方。通过以上几个问题,可以发现chatgpt确实在解决问题上很方便,同样的问题,通过google,baidu和bing几个大的搜索引擎,搜索结果很多,而且没有针对性。
2023-04-24 17:37:48 1534
原创 UnicodeDecodeError: ‘utf-8‘ codec: invalid continuation byte
在未知名读取文件爱你编码的情况下,默认的编码是UTF-8,说明文件里有字符使用UTF-8读取不出来,这种情况可以通过将文件改成UTF-8编码来解决。网上搜索了一些方法,感觉都不对,都是在读取的时候,设置编码之类的。如果文件的内容不是ISO-8859-1还是会导致读取出错。一个文件可以正常读取,但是,其中有一个文件却始终不可以。
2023-03-14 14:44:39 2221
原创 Grafana 如何使用本地CSV文件作为数据源
我是在本地使用命令行grafana-cli plugins install marcusolsson-csv-datasource安装的。重启Grafana之后,在Grafana的主页,在Configuration里如果能够看到CSV,就说明安装成功了。然后再重启一下grafana服务,就可以创建本地CSV数据源并且使用此数据源了。再转到[Data Source]界面添加数据源,可以看到有CSV选项了。安装之后,需要重启一下Grafana服务才可以加载进来。点击CSV插件,可以添加CSV数据源。
2023-03-07 12:01:28 3837
原创 应用安全系列之三十八:注入问题的成因以及预防原理
自从有了OWASP TOP的排名依赖,注入问题就一直排名前三,这就说明了注入问题对系统的影响是十分严重的,而且,注入问题一般比较容易被利用。注入问题产生的根本原因就是程序在接受到请求中的参数时,没有经过严格的验证和正确地使用就直接被使用于解释型语言、结构化查询语言或者标签语言等语言的环境里用作程序执行的一部分。它的发生需要两个条件:
2023-02-13 11:31:39 704
原创 nmap的用法大全
Nmap是一款比较常用的开源工具,可以从https://nmap.org/下载,它可以用来探测目标机器开放了哪些端口,使用的操作系统类型和启用了哪些服务,同时,可以针对具体的服务发起一些枚举攻击以及漏洞扫描,并且根据漏扫发现的漏洞使用某个CVE发起攻击。本文主要对一些常用的nmap命令进行说明,并且针对一些功能举行实例说明。
2022-11-08 21:31:05 4113
unlocker-3.0.3.zip
2020-03-30
web hacking - attacks and defense
2014-09-18
OCCI 接口封装包
2009-08-05
嵌入式Linux性能详解
2009-07-01
gdb 培训材料 ppt
2009-01-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人