yib0y的博客

request 请求调试获取详细信息

背景广泛的讲安全，大致分为 网络安全 主机安全 应用安全在互联网，网络安全基本指的就是办公网的整体安全建设，IDC机房因为现在使用的都是云，所以基本不用操心这类安全。主机安全一般HIDS来做。应用安全从项目立项到上线之后的监控和SRC整套流程涉及的细节都非常的多，幸运的是我基本都做过，现在有幸参与公司的办公网安全建设。现在总结一下办公网安全建设,每一个场景都是亲身经历。其次，办公网流量分...

平时遇到的一些零星的安全问题，总结一下：1.在SDL中，越权类漏洞如何检测？在应用安全实践中，目前已知的OWASP TOP10 很多都是可以通过框架或者一些组件解决的，再加上DAST/IAST/SAST这些产品的集成，一般的漏洞类型都是可以检测出来的并处理掉的，但是业务逻辑类漏洞是个例外，以至于现在很多的SRC上爆出来的都是越权这类的业务逻辑类漏洞，越权类漏洞分3种，未授权访问/平行越权/垂直...

入职第一天,部署环境踩坑笔记系统: Mac OS语言：python框架：django1.brew首先是brew的安装，系统报403https://zhuanlan.zhihu.com/p/111014448通过该脚本一键安装，并导入国内源，简单方便一步到位2.python3 安装brew install python3重启 pycharm最好使用虚环境3.pip安装...

视频链接：http://picture.17wclass.com/kc/20200228/13293828022063d5f518194200.mp4内容摘要：物理边界曾经是可信网络和不可信网络之间的有效分割，防火墙通常位于网络的边缘，基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源，因为他们被默认是可信的。但随着业务迁移到云端，APT攻击的泛滥，以及...

做安全研发太难了。。。。渗透得懂，开发得会，企业安全建设得精。WEB渗透测试：https://www.jianshu.com/p/bce07495b77chttps://blog.csdn.net/yexudengzhidao/article/details/93527586https://blog.csdn.net/autumn20080101/article/details/5107...

科普：什么是爬虫：百度百科：网络爬虫（又被称为网页蜘蛛，网络机器人，在FOAF社区中间，更经常的称为网页追逐者），是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫什么是反爬虫：百度百科：很多网站开始保护他们的数据，他们根据ip访问频率，浏览网页速度，账户登录，输入验证码，flash封装，ajax混淆，js加密，图片，cs...

内外安全建设：背景：对于内网安全建设，存在的很多通用并且很棘手的问题，比如弱密码，比如账号泄露，账号共享,默认账号，员工一般认为在内网我就是安全的，所以放松警惕，当出现安全问题的时候,又说这不是自己的行为，这就给安全造成很被动的处境(我账号很多人都在用,凭啥是我干的,等理由)基于上述的场景。我们可以做一套类似风控的系统将上述行为管控起来。对公司涉及到登陆的操作以及敏感系统的登陆操作,提供登...

使用过程参考：https://blog.csdn.net/Amor_Leo/article/details/101018008我使用的ES版本是最新的。目前最新的版本是7.5.0<dependency> <groupId>org.elasticsearch</groupId> <artifactId>...

背景：反爬涉及的内容太大了。之前给公司内部写过一篇文章，往细节了写发现内容真的是太大了。随着2019年法律的健全，搞爬虫的公司各种被抓，没被抓的又是人心惶惶。就算如此，有利益的地方就有商业。取决于收益和成本的较量。反爬就是提高爬虫的成本。写写最近接触过的反爬虫产品。很多公司做产品都会对标一些大厂，学习他们的实现方案，这里可以参考阿里的霸下-七层流量清洗系统我一直觉得业务安全做好了，反爬虫肯定...

如何评估一个好的风控系统，如何判断一个公司风控做的好坏。作为一名安全工程师,总结一下之前做风控坑坑洼洼github上关于业务风控的项目：##风控相关的github：https://github.com/sunpeak/riskcontrolhttps://github.com/aalansehaiyang/risk-talkhttps://github.com/WalterInSH/ri...

环境：macchrome:版本 75.0.3770.100（正式版本） （64 位）这个是自己chrome 客户端的版本安装chromedriver下载地址：http://chromedriver.storage.googleapis.com/index.html下载完成后，解压。直接copy 到/usr/local/bin/...

第一个版本：场景：我有一个函数，传入一个参数，执行需要耗时5s,现在我有一个列表存着1000个参数,需要遍历 让这个函数去执行。实现方式：多线程(必须保证线程安全)# !/usr/bin/env python# -*- coding:utf-8 -*-import Queueimport threadingimport timeclass WorkManager(objec...