安全
文章平均质量分 91
yib0y
将代码写成诗,让安全融入呼吸
展开
-
越权类漏洞检测总结
平时遇到的一些零星的安全问题,总结一下:1.在SDL中,越权类漏洞如何检测?在应用安全实践中,目前已知的OWASP TOP10 很多都是可以通过框架或者一些组件解决的,再加上DAST/IAST/SAST这些产品的集成,一般的漏洞类型都是可以检测出来的并处理掉的,但是业务逻辑类漏洞是个例外,以至于现在很多的SRC上爆出来的都是越权这类的业务逻辑类漏洞,越权类漏洞分3种,未授权访问/平行越权/垂直...原创 2020-05-04 23:18:45 · 2676 阅读 · 0 评论 -
基于SDP技术构建零信任安全
视频链接:http://picture.17wclass.com/kc/20200228/13293828022063d5f518194200.mp4内容摘要:物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。但随着业务迁移到云端,APT攻击的泛滥,以及...原创 2020-03-11 18:44:25 · 7079 阅读 · 0 评论 -
安全研发备战笔记
做安全研发太难了。。。。渗透得懂,开发得会,企业安全建设得精。WEB渗透测试:https://www.jianshu.com/p/bce07495b77chttps://blog.csdn.net/yexudengzhidao/article/details/93527586https://blog.csdn.net/autumn20080101/article/details/5107...原创 2020-03-10 13:46:24 · 287 阅读 · 0 评论 -
爬虫与反爬虫技术分析
科普:什么是爬虫:百度百科:网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫什么是反爬虫:百度百科:很多网站开始保护他们的数据,他们根据ip访问频率,浏览网页速度,账户登录,输入验证码,flash封装,ajax混淆,js加密,图片,cs...原创 2020-02-27 11:28:15 · 7023 阅读 · 0 评论 -
企业内网安全账号风控
内外安全建设:背景:对于内网安全建设,存在的很多通用并且很棘手的问题,比如弱密码,比如账号泄露,账号共享,默认账号,员工一般认为在内网我就是安全的,所以放松警惕,当出现安全问题的时候,又说这不是自己的行为,这就给安全造成很被动的处境(我账号很多人都在用,凭啥是我干的,等理由)基于上述的场景。我们可以做一套类似风控的系统将上述行为管控起来。对公司涉及到登陆的操作以及敏感系统的登陆操作,提供登...原创 2020-02-16 20:14:56 · 686 阅读 · 0 评论 -
反爬虫机制实践中可能遇到的坑
背景:反爬涉及的内容太大了。之前给公司内部写过一篇文章,往细节了写发现内容真的是太大了。随着2019年法律的健全,搞爬虫的公司各种被抓,没被抓的又是人心惶惶。就算如此,有利益的地方就有商业。取决于收益和成本的较量。反爬就是提高爬虫的成本。写写最近接触过的反爬虫产品。很多公司做产品都会对标一些大厂,学习他们的实现方案,这里可以参考阿里的霸下-七层流量清洗系统我一直觉得业务安全做好了,反爬虫肯定...原创 2019-12-15 11:40:01 · 536 阅读 · 0 评论 -
业务安全风控探究
如何评估一个好的风控系统,如何判断一个公司风控做的好坏。作为一名安全工程师,总结一下之前做风控坑坑洼洼github上关于业务风控的项目:##风控相关的github:https://github.com/sunpeak/riskcontrolhttps://github.com/aalansehaiyang/risk-talkhttps://github.com/WalterInSH/ri...原创 2019-11-15 17:03:41 · 391 阅读 · 0 评论 -
selenium chrome 爬虫
环境:macchrome:版本 75.0.3770.100(正式版本) (64 位)这个是自己chrome 客户端的版本安装chromedriver下载地址:http://chromedriver.storage.googleapis.com/index.html下载完成后,解压。直接copy 到/usr/local/bin/...原创 2019-06-19 23:10:40 · 529 阅读 · 0 评论 -
关于被动式扫描的一些看法
被动式扫描,其实是一个非常好的想法,可以让安全人员躺着挖洞,但是也有很多的缺陷,比如存储型XSS,挖不动,逻辑漏洞,越权漏洞不行。这不仅仅是被动式扫描的缺陷,就是业内商业产品也不行。要不怎么安全渗透工作无可替代呢。现在就来聊聊2款开源的被动式扫描吧。1.https://github.com/ysrc/GourdScanV2 Gourdscan2.https://github.com/...原创 2019-02-25 10:25:03 · 2968 阅读 · 0 评论