安全开发
关注
分享
扫一扫
文章平均质量分 78
god_Zeo
专注网络安全、安全开发、代码审计、红蓝对抗
展开
-
企业 SDLC 安全生命周期管理
SDL是微软提出的一种软件开发安全生命周期管理的一种最佳安全实践,全称为Security Development Lifecycle。原创 2022-11-15 22:03:44 · 2001 阅读 · 0 评论 -
Java代码审计: ClassLoader应用
0x00 前提首先说明一下为啥要搞这个?1、挖洞比如挖洞的时候遇到反序列化,一般都是cc回显是将构造的回显类塞进TemplatesImpl中,如果禁用了就得找其他的方法,一般都是找ClassLoader的子类,并且实现defineClass的类。2、webshell对抗类似于冰蝎的webshell也是使用自定义的ClassLoader,下面讲的方法都可以转化为webshell,这种特征都不台明显,有一定的迷惑性。3、漏洞利用还是在漏洞回显方面的问题,一般多利用 TemplatesImpl原创 2022-05-10 16:21:21 · 810 阅读 · 0 评论 -
CodeQL基础语法
基础QL语法CodeQL的查询语法有点像SQL,如果你学过基本的SQL语句,基本模式应该不会陌生。结构import java // 导入使用的库from int i /* ... 变量声明... */where i = 100 /* ... 逻辑公式 ... */select i /* ... 表达式 ... */import java,导入使用的库,因为我们分析的项目是java的from int i,表示我们定义一个变量i,它的类型是int,表示我们获取所有的int类型的数据;whe原创 2022-04-22 12:01:39 · 4095 阅读 · 0 评论 -
反爬虫SSL TLS指纹识别和绕过JA3算法.md
0x00 前言 有时候会发现一种情况,用正常浏览器可以访问,但是用脚本或者挂一下代理访问https的网站就直接405禁止访问了。 这种情况就有可能是 识别了你的TLS指纹,这种情况换随机UA都是没什么用的。 查阅资料之后,发现应该是waf识别你的TLS指纹,标记为恶意直接禁止了,其中识别的算法主要是利用JA3和JA3S实现TLS指纹识别功能,所以学习了一下。0x01 实际测试一下测试代码第一步,我们就看看我们的特征是什么,测试一下到底改hearder方法行不行。代码是测试代码,主要就是重原创 2022-02-18 20:26:42 · 9788 阅读 · 0 评论 -
内网代理流量:Socks5协议原理分析和编程
0x00 前情提要日常渗透演练中,代理是必不可少的,我们用的一般也都是CS自带socks4和代理工具的socks5协议,我们此时还要考虑在这个过程中的流量免杀的问题,所以还是要对底层的协议详细的看一下,然后对流量中的特征分析和修改一下0x01 简介和流程以下摘自维基百科SOCKS是一种网络传输协议,主要用于客户端与外网服务器之间通讯的中间传递。SOCKS是”SOCKetS”的缩写[注 1]。 当防火墙后的客户端要访问外部的服务器时,就跟SOCKS代理服务器连接。这个代理服务器控制客户端访问外网的资原创 2021-10-29 21:42:22 · 3809 阅读 · 0 评论 -
快速掌握GO语言面向对象类的实现
结构体structpackage mainimport "fmt"//声明一种行的数据类型 myint, 是int的一个别名type myint int//定义一个结构体type Book struct { title string auth string}func changeBook(book Book) { //传递一个book的副本 book.auth = "666"}func changeBook2(book *Book) { //指针原创 2021-10-25 21:45:23 · 458 阅读 · 0 评论 -
go语言快速掌握语法特色--基本语法
0x00 背景主要是针对:想快速低成本掌握golang开发人群,主要是讲区别其他语言的特色语法、用法和思想。最好是已经熟悉了一门后段语言,可以快速的掌握和上手go语言因为编程思想是想通的,对于已经熟练一门语言的开发者,只要掌握开发这个语言的特性,很快就能上手了。下面的每个知识点,没有单独去拿出来讲,知识点都是在代码旁边的注释里面,我感觉还是蛮不错的,有代码例子应该很快就能理解0x01 GO基本语法0x011 基本的函数编写格式:(括号、;)package main //程序原创 2021-09-29 19:42:47 · 299 阅读 · 0 评论 -
关于红队武器库项目介绍
0x00 武器库前后端分离项目:https://github.com/godzeo/ArsenalWeb本项目是一个红队武器库平台,包含常用的一些红队功能,也会集合一些其他好用的工具到里面正在开发中…暂时不全部开源,因为还有很多bug和代码质量有点烂…开发前后端分离项目:后端:采用django+django-rest-framework,前端采用vue+ElementUIJWT认证,支持swagger必要环境Redis+npm+Python3.70x02 组件(功能)原创 2021-07-12 16:13:46 · 2267 阅读 · 9 评论 -
Celery在DJANGO中的简单使用
Celery 简介 除了redis,还可以使用另外一个神器—Celery。Celery是一个异步任务的调度工具。 Celery 是 Distributed Task Queue,分布式任务队列,分布式决定了可以有多个 worker 的存在,队列表示其是异步操作,即存在一个产生任务提出需求的工头,和一群等着被分配工作的码农。 在 Python 中定义 Celery 的时候,我们要引入 Broker,中文翻译过来就是“中间人”的意思,在这里 Broker 起到一个中间人的角色。在工原创 2021-06-23 20:16:03 · 530 阅读 · 1 评论 -
进程池,线程池使用
进程的概念第一,进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data region)和堆栈(stack region)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。第二,进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时...原创 2019-12-31 14:12:41 · 284 阅读 · 0 评论 -
Python中prettytable输出美化再加进度条
- Python通过prettytable模块将输出内容如表格输出 比自己那个高端的多了而且十分简单的使用1安装得有吧pip install PrettyTable2导入模块import prettytable as pt直接给例子import prettytable as pt# 添加表头table = pt.PrettyTable(["URL", "参数", "沙雕...原创 2020-03-10 18:53:52 · 1990 阅读 · 0 评论 -
Django-数据库操作-未完
Django-数据库操作在settings.py文件中:import pymysql # 一定要添加这两行!通过pip install pymysql!pymysql.install_as_MySQLdb()# 修改DATABASES的值DATABASES = { 'default': { 'ENGINE': 'django.db.backends...原创 2020-02-07 15:19:15 · 284 阅读 · 0 评论 -
Django-笔记-创建
创建项目django-admin startproject Your_Project_NameYour_Project_Name/ # 你存放项目的文件夹 manage.py # 命令行工具,可以用来启动Django,等等做很多事 Your_Project_Name/ # 目录是真正的项目文件包裹目录,它的名字是你引用内部文件的包名 __init__...原创 2020-02-07 11:26:54 · 208 阅读 · 0 评论 -
Python 正则表达式
Python 正则表达式速查import sysimport rereload(sys)sys.setdefaultencoding('utf-8')匹配次数. 匹配任意字符一次* 匹配前面的表达式0/n次+ 匹配前面的表达式1/n次? 匹配前面的表达式0/1次{m} 匹配前面的表达式m次{m,n...原创 2020-02-07 11:05:07 · 186 阅读 · 0 评论 -
Python执行定时任务
Python执行定时任务python使用内置库和第三方库执行定时任务。使用 sched 模块sched相当于一个延时处理任务schedule是简单明了的一个第三方定时任务库,需要先pip安装一下一个很好的例子import scheduleimport time# 定义你要周期运行的函数def job(): print("I'm working...")schedul...原创 2020-02-07 10:50:33 · 655 阅读 · 1 评论