我也要用- 博客(309)
- 资源 (91)
- 论坛 (1)
- 收藏
- 关注
RSS订阅
原创 值得推荐的威胁情报平台--2020.10更新
0x00 前言威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。0x01目的预测(基于数据)将要来临的的攻击。威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。组建一个安全预警机制,在攻击发起之前知...
2020-02-27 10:00:27
22285
原创 SOC安全运营中心产品
0x00 背景 SOC( Security Operations Center) 安全运营中心,单独依赖于某些安全产品,在效果上总感觉有一个孤岛效应,从安全工程的角度来说,将安全工程化、系统化、流程化是一个更好的趋势,把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,尝试先构建一个完整的底层基础平台,再有的放矢地去完善管理、制度、策略...
2020-01-06 16:15:09
2765
2
转载 应用安全测试技术DAST、SAST、IAST对比分析-持续更新
应用安全测试技术DAST、SAST、IAST对比分析-持续更新版权来源:安全牛首发文章,本文仅补充完善。一、全球面临软件安全危机我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人...
2019-06-16 17:31:45
11701
2
原创 android应用APP常见安全问题
0x00前言 我们都知道在当下互联网时代,手机移动端的普及已经是非常普遍的事情了,同时APP风险漏洞也逐渐暴露出来。所谓的风险漏洞一般来说是应用代码编写过程中出现的安全漏洞、编码隐患、甚至业务逻辑上的缺陷。APP风险漏洞往往带来很多危害,诸如成应用内信息泄露、远程代码执行、本地拒绝服务等多种安全问题,严重的可能影响应用正常运行,更为严重的是导致手机系统的权限沦陷,手机被控制...
2016-09-22 23:18:55
7288
2
原创 Metasploit 渗透测试02-安装和疑难解决
0x00背景 渗透测试的定义:通过实际攻击进行安全测试与评估,Metasploit是一个免费的、可下载的渗透框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。...
2021-03-17 18:11:02
494
原创 Metasploit 渗透测试01-背景和功能介绍
0x00背景 渗透测试的定义:通过实际攻击进行安全测试与评估,Metasploit是一个免费的、可下载的渗透框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。 黑盒测试(外部测试):设计模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。优点:能更逼真地模拟一次真正的攻击过程;缺点:费时费力,渗透测试者需要具备较高的技术能力。 白盒测试(内部测试):渗透测试者拥有客户组织所有知识的情况下所进行的渗...
2021-01-16 22:26:37
1000
1
原创 HFish 配置supervisor定时监控
0x00背景HFish是一款基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录黑客攻击手段,实现防护自主化。多功能不仅仅支持HTTP(S)蜜罐,还支持SSH**、SFTP、Redis、Mysql、FTP、Telnet、暗网** 等 扩展性提供API接口,使用者可以随意扩展蜜罐模块 (WEB**、PC、APP** ) 便捷性使用Golang+SQLite开发,使用者可以在Win+Mac+Linux上...
2020-12-30 18:13:18
700
原创 Legion使用:半自动化网络渗透工具
0x00背景Legion,SECFORCE's Sparta的一个副本,Sparta已停止维护,所以Legion作为Sparta的优化升级版本,它是一个开源、易用、超级可扩展和半自动化的网络渗透测试工具,有助于信息系统的发现、侦察和利用。项目官网:https://govanguard.com/legion/GitHub地址:https://github.com/GoVanguard/legion0x01功能1、 使用NMAP、whataweb、nikto、Vulners、Hyd...
2020-12-17 18:26:24
1690
1
原创 AppScan 使用疑难解决
0x00背景 多年前使用Appscan,在安装过程中,难免会遇到一些很少见的故障,故总结该类故障。0x01NetFramework4.7.2安装失败appscan在正常安装过程中,会自动提示需要安装NetFramework4.7.2.。正常情况下appscan可以自动下载安装NetFramework4.72.但是有些时候可能会安装失败。解决办法:先导入官方证书,再按照安装NetFramework4.7.2导入证书的方法1:下载官方证书,或者搜索:MicrosoftRo...
2020-12-11 09:44:38
2813
原创 burpsuite联动xray进行web渗透测试
目录0x00背景0x01下载运行下载地址0x02自动配置xray0x03 burp联动xray0x04参考文档0x00背景xray(https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。...
2020-12-08 15:50:21
1174
原创 Notepad ++正则表达式
0x00背景 有时需要使用正则表达式进行一些复杂的匹配,以便快速完成操作,以此做笔记。以便后续翻阅。0x01常见表达式.匹配任何一个字符,每行逐一匹配,而不匹配换行序列(\r或\n)。单独.将匹配每行的每一个字符* 其左边的字符被匹配任意次(0次或者多次). 例如 "be*" 匹配 "b", "be" 或者 "bee".+ 其左边的字符被匹配至少一次(1次或者多次). 例如 "be+" 匹配 "be" 或者 "bee" 但是不匹配 "b".? 其左边的字符被匹配0次或...
2020-11-04 11:19:51
1456
1
原创 基于Electron的CS客户端-安全设计清单
Electron 安全检查清单0x00背景 如果你可以建一个网站,你就可以建一个桌面应用程序。 Electron 是一个使用 JavaScript, HTML 和 CSS 等 Web 技术创建原生程序的框架,它负责比较难搞的部分,你只需把精力放在你的应用的核心上即可。 简单来说,Electron 基于 Chromium 和 Node.js, 让你可以使用 HTML, CSS 和 JavaScript 构建应用。把一个浏览器的标签视图去掉,并且只限定访问特定的网页。0x01安全性,原生能...
2020-09-28 17:49:26
967
原创 26种未授权访问漏洞总结
0x00背景0x01 常见应用的未授权访问1.Redis 未授权访问漏洞漏洞描述redis端口对外开放并且没有配置认证选项,未授权用户可直接获取数据库中所有信息,造成严重的信息泄露。解决方法方法一: 可以修改绑定的IP、端口和指定访问者IP。默认情况下,Redis 监听 127.0.0.1。如果仅仅是本地通信,请确保监听在本地,这种方式可以在一定程度上缓解 Redis 未授权访问的风险(例外情况下,如果 Redis 以 root 用户运行,攻击者借助已有的 webshel..
2020-09-04 18:02:18
7169
1
原创 Python 执行文件编译为exe或者sh文件
0x00前言Python 执行文件编译为Windows的exe或者Linux的sh文件,pyinstaller参数介绍,常用的主要是-F、-p、-i、-w这几个参数:-a:不包含编码.在支持Unicode的python版本上默认包含所有的编码-c:使用控制台子系统执行(默认)(只对Windows有效)-d:产生debug版本的可执行文件-i :指定打包程序使用的图标(icon)文件-F:打包成可执行程序-h:查看帮助-p:添加使用的第三方库路径-v:查看 PyInstaller 版本.
2020-09-04 09:05:05
1712
原创 信息安全工程师参考试题
一、选择题与答案1、《中华人民共和国网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。A、国务院B、国家网信部门C、省级以上人民政府D、网络服务提供商参考答案:A2、2018年10月,含有我国SM3杂凑算法的IS0/IEC10118-3: 2018《信息安全技术...
2020-07-16 11:44:26
916
原创 network phishing风险评估方案
0x00背景 网络钓鱼风险评估是APT攻击的主要攻击方式,模拟网络钓鱼训练是测试员工信息安全意识的最有效评估手段。通过实战实训实践,让员工进行体验式、参与式、实战性的网络钓鱼,从而得出公司内部员工整体的信息安全意识水平。0x01 国内网络钓鱼风险评估360,网络安全意识培训:https://university.360.cn/class4.html红山瑞达,防网络钓...
2020-07-10 09:20:10
397
原创 使用grep分析web攻击日志
0x00前言 当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。 如果无法提取web日志到本地或者上传到日志分析系统,只能手工检测。可以提供以下方法0x01检测web是否存在攻击日志根据web攻击特征,检索分析日志是否包含攻击特征,如果检索结果里面包含攻击日志,证明web正在遭受攻击。1.SQ...
2020-07-10 09:11:33
1333
原创 Web日志安全分析
0x00前言当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。0x01排查思路1. 应急响应的原则3W1H原则:3W即Who、What、Why,1H即How,做应急响应要带着疑问来做事,一定要收集清楚这些信息。 易失性原则:免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失的据,应该最先...
2020-07-10 09:03:18
1163
原创 越权漏洞介绍和修复参考
0x00 背景https://www.xx.com/service/order.do?orderid=2280582085200280582上图,选择orderid作为参数, 越权遍历爬取其他人的信息,类似选择某个参数或者某个接口,通过拼接或者篡改数据的ID进行请求其他ID的内容,并且返回的数据存在敏感信息,简称为越权漏洞。恶意攻击者可以利用漏洞攻击做到:水平越权,可以访问同级用户的身份证、手机号码、纳税信息等 垂直越权,可以访问管理员的敏感信息等。 修复思路1、针对具有不同权限.
2020-07-07 18:33:24
2755
1
原创 短信轰炸漏洞介绍和修复参考
0x00 漏洞背景短信轰炸攻击时常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。攻击者通过填写他人的手机号,使用软件burpsuite的intruder功能重复提交发送短信的请求包,达到短时间内向他人的手机上发送大量垃圾短信的目的。恶意攻击者可以利用漏洞攻击做到:可对任意手机号轰炸 只可对当前手机号轰炸0x01 修复思路1、合理配置后台短信.
2020-07-07 18:32:09
2598
1
原创 任意用户密码修改重置漏洞修复
0x00 背景密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。重置密码过程一般是首先验证注册的邮箱或者手机号,获取重置密码的链接(一般会包含一串唯一的字符串)或者验证码,然后访问重置密码链接或者输入验证码,最后输入新密码。密码重置机制绕过攻击是指在未知他人的重置密码链接或手机验证码的情况下,通过构造重置密码链接或穷举手机验证码的方式直接重置他人的密码。恶意攻击者可以利用漏洞攻击做到:重置他人的密码; 利用他人的账号和密码进行恶意操作,如偷取金钱
2020-07-01 19:47:49
2931
原创 挖矿病毒攻击的排查处置手册
一、背景在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。二、为什么会感染恶意挖矿程序通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式:2.1.利用类似其他病毒木
2020-07-01 19:46:58
2153
原创 常见运维安全漏洞
0x00背景 常见的不安全的运维意识与运维漏洞,前车之鉴,后者可鉴。0x01 常见薄弱的安全意识敏感端口对外开放数据库或者缓存应用属于敏感应用,通常部署在内网,但是如果部署的机器有内外网ip,且默认监听地址为0.0.0.0的话,则敏感端口会对外开放。如mysql/mongodb/redis/rsync/docker daemon api等端口对外开放。敏感应用无认证、空口令或者弱口令如果敏感应用使用默认配置,则不会开启认证,mysql/mongodb/redis/rsync...
2020-07-01 19:46:16
1119
原创 Cookie 缺失secure漏洞修复
0x00 漏洞背景Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。攻击者即使窃听网络,也无法获取用户明文cookie。0x01 修复思路设置cookie时,加入属性
2020-06-27 11:36:02
2030
原创 XML注入漏洞修复参考
XML注入漏洞修复参考1. 漏洞背景可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞,这可能导致较为严重的安全问题,使得攻击者可能可
2020-06-20 10:30:17
847
原创 Fastjson漏洞修复参考
Fastjson漏洞修复参考1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。受影响的版本:fastjson <=1.2.68fas
2020-06-20 10:27:52
1370
原创 HTML表单没有CSRF保护漏洞
0x00 背景CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。0x01 修复思路CSRF的防御可以从服务端和客户端两方面着手,防御
2020-06-20 10:22:56
4636
原创 X-Frame-Options未配置漏洞修复
0x00 背景X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。恶意攻击者可以利用漏洞攻击做到:击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。0x01
2020-06-20 10:20:56
767
原创 Web容器版本泄露漏洞修复
0x00 背景恶意攻击者可以根据版本信息寻找相关漏洞,进行利用漏洞攻击0x01 修复思路通过修改配置或者配置错误提示页面,隐藏 web容器的版本号及其它敏感信息。0x02 代码修复Apache 版本号隐藏 Apache 的版本号及其它敏感信息,配置操作,修改 httpd.conf 配置文件:在Apache配置文件中添加ServerTokens ProductOnly#ServerTokens OS # 注释掉改行Servertoke...
2020-06-20 10:17:51
1578
原创 XSS-Protection未配置漏洞
0x00 背景HTTP XSS-Protection响应标头是Internet Explorer,Chrome和Safari的功能,当页面检测到反射的跨站点脚本(XSS)攻击时,该页面将阻止加载页面。 尽管当站点实施强大的Content-Security-Policy禁止使用内JavaScript(“不安全内联”)时。在现代浏览器中这些保护在很大程度上是不必要的,但它们仍可以为尚未使用旧版Web浏览器的用户提供保护 支持CSP。0x01 修复思路配置XSS-Protection响应标头值
2020-06-20 10:16:56
1727
原创 Github代码安全监控
0x00背景 Github 类的代码平台是个研发和安全人员的大宝库,阿里云效平台的代码权限事件历历在目,密码泄露到公开代码平台的事件层出不穷,为企业内外部的各种源代码管理系统(gitlab\stash\github\gitee)做好合理配置是新生事物。开发各种 github 敏感信息监控工具均属于事后管理,做好安全配置和培养员工良好的习惯才是安全管理的重中之重。Unit 42研究人员(以下简称我们)使用eth0izzle开发的shhgit来近实时读取GitHub事件,研究人员发现了一些潜在的敏感数据..
2020-06-19 19:54:36
1092
原创 容器安全01:docker漏洞扫描
0x00背景 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这仅仅是基础运行环境的软件漏洞。对于镜像的安全控制可以在三个地方:1、构建时,在使用持续集成平台自动...
2020-06-19 19:21:47
1350
原创 fastjson 1.2.68 反序列化远程代码执行漏洞
0x00背景fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。0x01影响范围fastjson < 1.2.69fastjson sec 版本 < sec100x02漏洞修复1、升级至安全...
2020-06-01 14:06:11
9987
原创 burpsuite导入网站的客户端证书
0x00背景 个别网站需要导入客户端的XX.P12证书,如果没有导入直接访问网站,浏览器会提示:400 Bad Request ,出现:No required SSL certificate was sent等提示,如下图0x01网站客户端证书在burp导入网站客户端xx.p12证书的会提示要求输入密码,如果我们知道密码当然就直接输入,0x02不知道网站客户端证书的密码网站客户端xx.p12证书的会提示要求输入密码,但是有时候生成XX.p12证书时候,网站根...
2020-05-09 17:42:27
949
2
原创 应用安全测试产品(代码安全产品)
00背景Web应用安全测试技术经过多年的发展,目前业界常用的技术主要分为3大类别。SAST:静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。DAST:动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的.
2020-05-09 10:12:15
467
原创 github下载单个文件夹
0x00 背景 一般来说,Github 默认是下载仓库的所有内容,但是我们有时仅需要下载某个项目的某个文件或者某个文件。这时应该怎么办呢?0x01 下载单个文件1、直接查看文件点击某个链接,直接查看raw或者download0x02 下载某个文件夹1、GitZipGitZip for Github 是一款可以快速从 GitHub 上快速下载文件或目录的 ...
2020-02-22 12:24:21
2525
原创 网上银行系统信息安全通用规范【学习笔记】
0x00 背景 中华人民共和国金融行业标准JR/T 0068—2020 网上银行系统信息安全通用规范是2019年10月份推出代替 JR/T 0068—2012,在2020年2月5日开展实施执行,作为一部通用规范合规要求,很有研读意义。本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件,针对性地提出安全要求。本标准旨在有效增强现有网上银行系统安全防范能...
2020-02-19 16:38:01
1781
原创 xhydra使用说明
0x00 前言 THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆破解工具。这个工具是一个验证性质的工具,它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的!并且支持多种协议和服务:asterisk cisco cisco-enable cvs firebird ftp ftps http[s]-{head|get} http[s]-{ge...
2020-02-18 15:05:59
14843
4
原创 软件安全建设【学习笔记】
0x00 背景 学习研读了钉钉安全白皮书,将一些关键点记录如下:0x01 全链路安全防护1、客户端安全应用完整性 重新编译 加壳保护 修改指令调用顺序环境可信性 模拟器运行检测 越狱和 ROOT 检测 终端进程注入检测 提供应用沙箱环境 病毒检测数据机密性 安全加密 安全沙箱...
2020-02-18 14:02:35
2357
原创 网络发现扫描的基础知识
0x00 网络发现技术网络发现扫描使用多种技术对一系列 E 地址进行扫描, 搜索配有开放网络端 口 的系统。网络发现扫描器实际上不能探测系统的漏洞, 只是提供一份网络检测 的系统显示报告和一份端 口清单, 这份清单通过网络和服务器防火墙公开了隐藏在扫描器和扫描系统之间网络路径中的端 口 。0x01 常见类型TCP SYN 扫描 向每个被扫描的端 口 发送带有 SYN 标志设置的单个数据...
2020-01-17 16:53:27
490
1
PC客户端(cs架构)渗透测试
2020-06-19
NIST.SP.800-190容器安全指南.pdf
2019-10-18
CMMI(能力成熟度模型集成)V2.0.docx
2020-02-22
X-Frame-Options未配置漏洞修复参考v1.0.docx
2020-06-03
数据安全构建思维导图.xmind
2020-03-03
商用密码产品认证业务指南(第一版:带目录标签)
2020-12-17
bsimm10-框架-记分卡-119项活动.xlsx
2019-11-29
网上银行系统信息安全通用规范-2020(带书签目录).pdf
2020-02-22
AppScan10.0安装使用手册2020版.pdf
2020-08-07
bsimm10-cn.docx(官方)
2019-11-29
HTTP拒绝服务整改方案
2018-11-30
BSIMM 11 应用安全的十二个最低参照基准.pdf
2020-10-09
Violent Python中文版全本
2016-03-27
Nexpose6.0 中文使用手册
2016-09-08
android渗透测试指导及其工具
2016-03-26
OWASP Zed2.7使用文档
2018-01-07
bsimm10-cn.pdf
2020-02-22
OWASP Mobile Top 10 -2016
2016-10-04
bsimm11.pdf
2020-10-09
2019企业安全威胁统一应对指南.pdf(带目录标签)
2019-05-28
区块链安全Top 10 2019.pdf
2019-10-28
附件1:商用密码产品认证目录(第一批).pdf
2020-12-17
wireshark多种协议分析样本流量
2016-09-10
OWASP软件保证成熟度模型v1.0-中文(带标签目录).pdf
2020-02-22
xray run with burpsuite|xray_run_with_burp.zip
2020-12-08
Electron 安全检查清单.docx|Electron 安全检查清单.docx
2020-09-28
hashcat-gui-0.5.1.7z
2020-08-19
xray_run_with_burp.zip
2020-08-19
煜铭2011的留言板
发表于 2020-01-02 最后回复 2020-04-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人 TA的粉丝