yukialiu-CSDN博客

原创安全建设思考

在安全部门待了几年，一直按部就班，看到很多大咖的分享，也没有什么进一步往下行动的想法，因为大咖的分享，无非是他们做了哪些，对一些模型的解读，如SDL、devsecops; 都没有给到更多的触动，接下来应该怎么做，做什么。后来加入到一些讨论群（一级潜水运动员），能经常看到大家在群里讨论一些东西，一些选型交流、文章文档分享。至少知道业内大家都在研究什么。前段时间去和一家电商的安全人聊过，一方面把他们目前部门的情况摸清楚了。二面的面试官就比较犀利，一来就问我第一家公司做的产品具体叫什么名字，讲...

2021-11-25 17:29:56 98

原创 Dependency-track -（1）安装

一、安装/初始化首先在拉取的时候就出现了问题。官方文档提供了3种方式：Quickstart (Docker Compose)# Downloads the latest Docker Compose filecurl -LO https://dependencytrack.org/docker-compose.yml# Starts the stack using Docker Composedocker-compose up -dQuickstart (Docker Swa

2021-09-06 17:46:19 1708

转载 SDK与API

SDK 就是 Software Development Kit 的缩写，翻译过来——软件开发工具包。这是一个覆盖面相当广泛的名词，可以这么说：辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK。那么API与SDK有什么区别？可以把SDK想象成一个虚拟的程序包，在这个程序包中有一份做好的软件功能，这份程序包几乎是全封闭的，只有一个小小接口可以联通外界，这个接口就是API。SDK＝放着你想要的软件功能的软件包API＝SDK上的接口...

2021-09-02 15:41:38 127

原创 PGSql注入tips

1、postgresql支持堆叠查询，所以可以加入分号之后执行下一条语句，所以在注入的时候可以用 select * from a where b='注入点';select pg_sleep(10);-- 这样会有10秒的延迟，可以利用这点去盲注PostgreSQL2、php pdo 支持exec()、query()、execute()执行函数。其中exec可执行多条语句并...

2018-09-19 10:33:13 947

原创齐博CMS1.0全版本的sql注入漏洞

详见：http://dingody.iteye.com/blog/2195864这里只说一下最后的利用，还是使用原作者指出的那个注入点，虽然value值保存在了两个sql语句里面，这两个语句的列不一样，如果利用第二个语句，会在第一个语句的时候报列不一致的错误；尝试利用第一个语句。我构造的语句是 1' union select password from qibosoft_members;#这里最...

2018-04-03 11:36:29 3352

原创齐博1.0全版本后台getshell漏洞复现

思路整理并详细说明了一下01用户登陆判断的地方admin/global.php在用户不存在地方呢执行了一个eval()：eval(base64_decode("Y$webdb[_Notice]"));该参数打印出来：copy("http://www.php168.com/Notice/?url=$webdb[www_url]",PHP168_PATH."cache/Notice.php");将一个...

2018-04-02 19:43:24 1770

原创齐博1.0老版本的变量覆盖与命令执行漏洞。

齐博1.0老版本的变量覆盖与命令执行漏洞。详见niexinming的博客：http://blog.csdn.net/niexinming/article/details/53153629此处主要记录一下思路；首先，fujsarticle.php中，在中部有一个请求加载其他文件require_once(dirname(__FILE__)."/global.php");，在require_once前后...

2018-03-21 11:00:03 689

原创记一次网站渗透乌龙引发的头脑风暴

一次实战，网站为www.aaa.com。进入网站主页，会发现一个登陆框，只有用户名和密码。1、首先用admin/admin尝试一下，惊喜，居然登陆成功。但仍然在网站主页；主页溜达一圈之后发现，全是静态页面，完全无可操作的地方。主页上还有另外两个入口，一个是邮件系统，查了一下，是专门厂商做的，放弃爆破，直接放弃；一个是另外一个系统，有点像后台管理，使用admin登陆失败，爆破失败。2

2017-09-18 16:33:32 660

wanwan的博客