安全研发备战笔记

最新推荐文章于 2023-01-19 10:45:52 发布
最新推荐文章于 2023-01-19 10:45:52 发布
阅读量284 收藏 2
点赞数
分类专栏: 安全 文章标签: 面试 kafka java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25834767/article/details/104772764
版权

做安全研发太难了。。。。
渗透得懂,开发得会,企业安全建设得精。
WEB渗透测试:
https://www.jianshu.com/p/bce07495b77c
https://blog.csdn.net/yexudengzhidao/article/details/93527586
https://blog.csdn.net/autumn20080101/article/details/51071945
企业安全建设:
看书吧,大型互联网企业安全建设 等等
开发内容就太多了。JAVA基础,高并发,JVM等,没事记得刷刷算法
https://www.cnblogs.com/williamjie/p/9099130.html
https://www.cnblogs.com/zhaosq/p/9857713.html
https://blog.csdn.net/xlgen157387/article/details/45044655
https://www.cnblogs.com/niceyoo/p/11074010.html
https://blog.csdn.net/sammie123321/article/details/97007895
https://www.cnblogs.com/bingshu/p/9789841.html
https://blog.csdn.net/zxd1435513775/article/details/80556034?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task
https://blog.csdn.net/aabbyyz/article/details/83722459
https://blog.csdn.net/GitChat/article/details/79019454
https://www.cnblogs.com/yuechuan/p/8984262.html
ES:
https://segmentfault.com/p/1210000009823111/read
redis:
https://www.cnblogs.com/zxs117/p/11242026.html
fastjson反序列漏洞原理:
https://www.cnblogs.com/Welk1n/p/11446519.html
算法:
时间复杂度:
https://www.cnblogs.com/zhangqb/p/10297882.html
https://www.xuebuyuan.com/3266498.html
线程,进程,协程:
https://blog.csdn.net/zlx_csdn/article/details/79886705
JAVA 动态代理:
https://www.jianshu.com/p/95970b089360
java 反射机制:
https://blog.csdn.net/a745233700/article/details/82893076
安全:
网站被黑溯源:
https://www.freebuf.com/news/179638.html
最后看一下人肉代码审计吧
威胁建模:
https://xz.aliyun.com/t/2061
内存泄露
算法:2个堆模拟队列,数据持续进行
zk 各种锁实现机制
kafka 原理
MySQL 原理
事物隔离级别
CC攻击原理:
https://www.cnblogs.com/wpjamer/p/9030259.html
https建立原理:
https://blog.csdn.net/qq_32998153/article/details/80022489
kafka 底层原理实现:和redis,rebitmq的不同
sqlmap 检测原理
nmap ping禁用的情况下如何实现探测,以及探测机制如何实现的
滴滴面试:
熟悉哪些常见算法
hmac 算法使用场景
系统间方法调用openkey + xx 请求返回来的数据就是hmac算法算出来的。
jwt oather2 等认证的不同之处,各自的优势在哪里
AES 算法的缺点 如果私钥泄露的话存在风险
证书授信,如何保证层层授信,授信之上的授信。。。
sping boot bean的实现机制,如何实现的
mybatis SQL 注入检测 $ 检测后判断# 号,什么情况下可以使用# 什么情况下不能使用#,底层如何实现的。
代码审计在一些自研框架上如何实现,数据流如何检测
java 反序列化漏洞:
讲讲java 反序列化漏洞
为什么java才有反序列化漏洞,别的语言没有
java都有哪些反序列的方式 RPC/json/
给你一个项目,讲讲如何做威胁评估
ssrf 通过DNS渗透方案
哪些类型的漏洞可以通过框架检测,哪些不行

问题:1.Java类加载机制
2.sync锁 用在方法上是锁的什么
https://www.cnblogs.com/showstone/p/4438539.html
3.hashtable currenthashmap区别
4.iast 实现机制
5.groovy类加载时有什么问题
6.groovy java类加载机制
7.内存泄露的原因都有那些
8.IAST RASP原理
9. https://mp.weixin.qq.com/s/nRAplKDI4vYaYlHKGnfW7w
10.算法篇。还知道那些算法。具体的使用场景
11.上传类漏洞如何根本解决
12.还熟悉哪些算法
这2个算法研究一下

  1. 基于划分的Kmeans算法
    一种典型的划分聚类算法,它用一个聚类的中心来代表一个簇,即在迭代过程中选择的聚点不一定是聚类中的一个点。其目的是使各个簇(共k个)中的数据点与所在簇质心的误差平方和SSE(Sum of Squared Error)达到最小,这也是评价Kmeans算法最后聚类效果的评价标准。
  2. 基于密度的DBSCAN算法

流量去重具体实现。算法上
组件检测问题:
1.同一个pom里面不同的层级引用相同的依赖
2.对于直接引入jar包的如何检测
代码检测:具体的fortify和chemarx区别。语法上的。太难了
很多人关注的还是扫描器的检测。扫描引擎和流量之间的如何打通关系。
流量去重后。再由引擎去消费。

yib0y
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAther2【代码实现认证流程】
m0_73647713的博客
12-26 394
1.访问getcode--这个类发送认证请求给回调地址(CLIENT_ID,CALLBACKCODE,RESPONSE_TYPE) OAuthClientRequest。1.用户访问相关网站gitee-->选择第三方登录(授权码模式,重定向路径redirec_uri,clint_id)5.gitee收到授权码,根据授权码获取令牌(这里要判断code,client_id,client_密钥)4.第三方返回授权码(重定向路径redirec_uri)2.跳转第三方授权(第三方的账号密码或者扫码授权)
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
SpringSecurity灵魂剖析
qq_38181949的博客
11-10 161
SpringSecurity原理剖析 一.前言 ​ 在SpringBoot大行其道的时代里,安全认证也被加入Spring家族中。SpringSecurity和Spring做了很好的集成,也是倍受欢迎。但是在使用SpringSecurity的时候会很苦恼,只是按照网上的帖子配置一下,但是具体的运行流程与原理很多人却是很蒙蔽。具体的原理也是一知半解的,源码看不懂,很多人在学习的道路上走着走着就不见了… 本人也苦于SpringSecurity原理的困扰很久,经过了九九八十一天的刻苦钻研,得到一些领悟,特此记
什么是OAuth2
weixin_60257072的博客
01-19 1565
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码,授权码的获取需要资源拥有者亲自授权同意才可以获取。
微信oauth2授权登录实践
热门推荐
MJ的博客
11-01 1万+
1、准备工作 微信公众平台测试号申请一个帐号,扫码登录 扫码关注一下,否则获取授权码时报错 授权成功回调地址redirect_url配置,可配置baidu.com,有些域名会有问题 绑定微信开发者账号 二、按照文档走oauth2授权码流程 1.获取授权码。scope为snsapi_base为静默模式及自动授权不会弹框,而snsapi_userinfo则必须显示点击确认授权按钮。redirecurl需要URLencode一下。 https://open.weixin.qq.com
计算机网络备战面试笔记1
08-08
2、数据校验3、数据合理分片和排序: UDP:IP数据报大于1500字节,大于MTU.这个时候发送方IP层就需要分片(fragmentation).把数据报分
我的1+X的高级备战笔记
最新发布
12-17
我的1+X的高级备战笔记
Javaq备战秋招面试题-重点学习笔记.zip
09-03
备战秋招Java开发工程师实习的面试题学习笔记整理,全部是重点,背好十分有用!
“美赛备战”-B站清风老师视频学习笔记
02-10
文件包括美赛常用数据网站、模型的分析与检验部分写作内容及例题讲解、简要列出美赛常用十大模型及30种算法、针对评价类问题的层次分析法和TOPSIS模型进行原理概括(包含计算公式)、步骤讲解、模型实现、例题解析及...
美赛备战学习资料-B站清风老师学习手写笔记
02-10
资源适合正在备战数学建模比赛(美赛、国赛等)、有学习数学模型需求的同学们下载观看,常用的预测模型有:线性回归模型、移动平均模型、指数平滑模型、趋势外推模型、 ARIMA预测模型、马尔可夫预测模型、投入产出...
网络安全开发系列--笔记(1)
zy627836411的博客
11-05 1600
网络安全技术 1.数据包捕获技术操作系统提供的数据包捕获技术主要存在三种: SOCK_PACKET类型套接口:利用操作系统提供的编程接口来实现 数据链路提供者接口DLPI: 伯克利数据包过滤(BPF):高效数据包捕获技术,工作操作系统内核层 2.网络协议分析三个内容          捕获数据包:使用专业的捕获数据包的开发包。例如Libpcap和Winpcap          过滤...
Spring Cloud:认证 授权 OAuth2、JWT
泛泛之素
06-09 6879
OAuth2 OAuth2是当前授权的行业标准,其重点在于为Web应用程序、桌面应用程序、移动设备以及室内设备的授权流程提供简单的客户端开发方式。它为第三方应用提供对HTTP服务的有限访问,既可以是资源拥有者通过授权允许第三方应用获取HTTP服务,也可以是第三方以自己的名义获取访问权限。 角色 OAuth2中主要分为了4种角色: Resource Owner(资源所有者),是能够对受保护的资源授予访问权限的实体,可以是一个用户,这时会称为终端用户(end-user)。 Resource Server(资源
SOC系统规划
yib0y的博客
10-14 3773
安全2年多,前期做web渗透,后期做安全开发,准备将自己用的系统和一些开源的系统整合成一套,统一管理,方便使用。业余整理了一下。如图: 一条一条的来介绍一下吧! 1.sec漏洞管理是安全最基础的系统搭建了。毕竟每天都面对这漏洞的产生和修复。这个中间流程也变的多了起来。漏洞待认领,漏洞已认领,漏洞修复中,漏洞已修复、漏洞被驳回、这样的一个闭环的实现,我们通过钉钉工单使其成为一个闭环。其次是SDL...
基于SDP技术构建零信任安全
yib0y的博客
03-11 7036
视频链接: http://picture.17wclass.com/kc/20200228/13293828022063d5f518194200.mp4 内容摘要: 物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。 但随着业务迁移到云端,APT攻击的泛滥,以及...
爬虫与反爬虫技术分析
yib0y的博客
02-27 6997
科普: 什么是爬虫: 百度百科:网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫 什么是反爬虫: 百度百科:很多网站开始保护他们的数据,他们根据ip访问频率,浏览网页速度,账户登录,输入验证码,flash封装,ajax混淆,js加密,图片,cs...
关于被动式扫描的一些看法
yib0y的博客
02-25 2964
被动式扫描,其实是一个非常好的想法,可以让安全人员躺着挖洞,但是也有很多的缺陷,比如存储型XSS,挖不动,逻辑漏洞,越权漏洞不行。这不仅仅是被动式扫描的缺陷,就是业内商业产品也不行。要不怎么安全渗透工作无可替代呢。 现在就来聊聊2款开源的被动式扫描吧。 1.https://github.com/ysrc/GourdScanV2 Gourdscan 2.https://github.com/...
越权类漏洞检测总结
yib0y的博客
05-04 2668
平时遇到的一些零星的安全问题,总结一下: 1.在SDL中,越权类漏洞如何检测? 在应用安全实践中,目前已知的OWASP TOP10 很多都是可以通过框架或者一些组件解决的,再加上DAST/IAST/SAST这些产品的集成,一般的漏洞类型都是可以检测出来的并处理掉的,但是业务逻辑类漏洞是个例外,以至于现在很多的SRC上爆出来的都是越权这类的业务逻辑类漏洞,越权类漏洞分3种,未授权访问/平行越权/垂直...
企业内网安全账号风控
yib0y的博客
02-16 680
内外安全建设: 背景: 对于内网安全建设,存在的很多通用并且很棘手的问题,比如弱密码,比如账号泄露,账号共享,默认账号,员工一般认为在内网我就是安全的,所以放松警惕,当出现安全问题的时候, 又说这不是自己的行为,这就给安全造成很被动的处境(我账号很多人都在用,凭啥是我干的,等理由) 基于上述的场景。我们可以做一套类似风控的系统将上述行为管控起来。对公司涉及到登陆的操作以及敏感系统的登陆操作,提供登...
python备战蓝桥杯
10-24
Python是一种高级编程语言,易于学习和使用,因此备战蓝桥杯使用Python是一个不错的选择。在备战蓝桥杯时,需要掌握Python的基础语法和常用库函数,同时需要多做一些编程练习题,提高自己的编程能力。此外,还需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值