- 博客(20)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 安全开发之持续集成相关工具
A.1 版本控制工具subversion http://subversion.tigris.org/git http://www.kernel.org/pub/software/scm/git/clearcase http://ibm.com 需要的朋友可以找我,我有安装包visual sourcesafe 比较古老了Startteam 需要的可以找我TFS 需要的可以
2012-06-30 09:36:35
1446
转载 HttpTunnel防火墙穿透指南
局域网穿透防火墙,可以使用HTTPTUNNEL,这个软件需要服务端做配合,要运行httptunnel的服务端,这种方法对局域网端口限制很有效。隐通道技术就是借助一些软件,可以把防火墙不允许的协议封装在已被授权的可行协议内,从而通过防火墙,端口转换技术也是把不允许的端口转换成允许通过的端口,从而突破防火墙的限制。这类技术现在有些软件可以做到,HACKER经常用到这类技术。HTTPTu
2012-06-29 15:39:14
1828
原创 zend framework 视频
http://www.qujon.com/play/?931-0-1.html《Zend Framework技术大全》内容简介:Zend Framework是Zend公司推出的一套PHP开发框架,该框架技术在PHP业界已经受到越来越多的关注。《Zend Framework技术大全》全面、系统、深入地介绍了Zend Framework的5大类30多类组件,全书内容涵盖Zend Framework
2012-06-26 21:34:44
932
原创 linux系统安全简述
linux安全系统主要包括下面这些:1.BIOS安全 主要是grub.conf以及ctl+alt+delete热键关机等物理安全特性2.账号安全 例如口令,过期时间,密码最大使用天数,账号注销时间timeout,sudo ,su等等3.特殊账号的处理 例如不启动sendmail的话就删除[root@localhost ~]# userdel adm[root@localhost
2012-06-26 18:10:44
1425
1
原创 安全工作推动经验谈
在各个大公司中的安全白帽子们都知道让每个人都参与进来是非常重要的一步,那么究竟如何做到呢?下面来简单分析一下 1. 让你的上司或者CEO来推动 a)安全的产品是高质量的产品,你可以问你的上司或者CEO想要搞质量的产品吗,回答是,那你就说明安全就是高质量的产品的观点,如果回答不是,那么你可以滚蛋了 b)媒体(和竞争对手)将会在安全问题上大做文章,而且严重的安全事件也会影响到你
2012-06-23 19:16:10
1215
1
转载 WEB应用安全设计思想
[目录]1. 前言2. 信任关系的划分是安全设计的基础3. 访问控制是安全设计的核心4. 数据与代码分离的思想是安全设计的原则5. 最佳实践一:Secure By Default6. 最佳实践二:Unpredictable7. 总结8. 参考资料一、前言 我一直在思考的一个问题,就是安全问题的本质到底是什么。我们见到过各种各样的攻击,也做过各种各样
2012-06-23 15:20:29
2012
1
原创 安全开发工作总结v1.0
经过了凤凰网以及完美世界开发工作的锻炼,对于安全开发工作有了一些很好的认识,下面总结一下过去的经验和教训 对于安全开发一定要有一套成熟度模型,例如公司刚开始做的时候定义的级别可以低一些,可做的事情要少一些。但是随着熟练程度的增加以及大家对于安全开发的理解的加深,逐步加深高级别的安全成熟度模型。 下面就简单介绍一下我心中的成熟度模型的相关控制,未分级大家可以依靠公司自己的特性来进行
2012-06-23 13:13:39
1432
转载 anymacro mail 严重漏洞
设置邮件系统管理密码密 码: 重输密码: class=bgcolor1>Copyright © 2002 BeijingAnymacro Investment Ltd. All Rights Reserved.北京安宁投资有限公司 版权所有
2012-06-19 09:05:47
2973
转载 Huawei HG866 Authentication Bypass
# Exploit Title: Huawei HG866 Authentication Bypass# Date: Jun 14 2012# Exploit Author: hkm# Vendor Homepage: http://www.huawei.com
2012-06-18 11:17:04
1565
转载 Data retrieval over DNS in SQL injection attacks
We have recently implemented data retrieval over DNS in sqlmap. Thisdata exfiltration technique adds up to the six existing techniques already implemented: boolean-based blind, time-based blind, f
2012-06-18 10:45:56
1061
转载 PostgreSQL基于错误XML外部实体攻击
最近国外安全人员发现了一个PostgreSQL(所有版本)基于错误XML外部实体执行的高危漏洞。经测试,该漏洞可以从数据库服务器请求到内网(SSRF-服务器端请求伪造),并可以利用xml实体注入读取任意本地文件。实例:DoS:select xmlparse(document ']>&abc;')SSRF:select xmlparse(document ']>&abc;')
2012-06-12 09:41:45
1276
转载 WebDAV Server to Download Custom Executable or MSF Generated Executables
The current module does not allow you to download exe's, in fact these are specifically blacklisted. This makes sense because that's not what the exploit is for. Anyway, someone asked me if it was p
2012-06-08 09:02:53
962
转载 十本必读之书
http://wenku.baidu.com/view/b59d13e8856a561252d36fb9.htmlhttp://www.sino-manager.com/2011329_23010.htmlhttp://www.verycd.com/search/folders/%E4%BD%99%E4%B8%96%E7%BB%B4
2012-06-02 20:04:13
891
转载 Oracle Databases, a Penetration Tester’s View of Unauthorized Access to Customer Records
When penetration-testing you get to see lots of seemingly unbelievable security failures, but they’re so common that as penetration testers you’re never really surprised.We know from our Global
2012-06-01 11:26:55
834
转载 From LOW to PWNED [12] Trace.axd
"Trace.axd is an Http Handler for .Net that can be used to view the trace details for an application. This file resides in the application’s root directory. A request to this file through a browser d
2012-06-01 11:06:10
1247
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人