犬大犬小-CSDN博客

原创 maven 依赖机制

安全工程师sbom review maybe 有用呢。。。

2024-03-29 17:39:37 573

Arachni Web Application Security Scanner Framework 看名字就知道了，针对web app 的安全工具，DAST+IAST吧。这个数据库要自己准备 ./bin/scnr_pro_task db:create db:migrate db:seed。解压之后bin/scnr_activate KEY 来激活，可以申请30天试用，申请个trial key就行了。到这就可以cli直接扫描了，想搭建web 扫描的话需要运行bin/scnr_pro。

2024-03-21 13:56:51 651 1

原创安全工程师说telnet

telnet 命令通常用来远程登录。telnet 程序是基于 TELNET 协议的远程登录客户端程序。Telnet 协议是 TCP/IP 协议族中的一员，是 Internet 远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用 telnet 程序，用它连接到服务器。终端使用者可以在 telnet 程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。

2024-03-14 14:40:57 479 1

原创管理application的secret，在哪个level呢

level 0 hardcode everywhere 导出硬编码，写个代码里面各种token key password，这会是非常大的问题，代码传到git后就完成不受控了啊谁都可能下载代码，然后这个secret就到处都是，想删都不知道去哪里删，坏菜不。谁在什么时候访问了，没有logging 没有audit，，不够安全。有secret managment，数据加密，，，，，，level-1 所有的密码都是password，这个比level-2 强点，但也没强到哪里去，随便一猜就能猜到了。

2024-03-13 15:39:03 386

原创 mobile app 安全扫描工具MobSF了解下

整体安全分数，发现漏洞数，app 信息，文件信息，app 组件，app权限，网络安全，certificate 分析，manifest分析。到这服务就起来了，直接去访问就行了，http://0.0.0.0:8000 不行就用。到静态页面，上传个apk 试试，就可以静态分析了。docker image 下载地址。dynamic 动态分析。static 静态分析。setup 两行即可。

2024-02-29 19:25:40 560

原创 websocket了解下

websocket，sec-websocket-key

2024-02-23 18:16:04 632 1

原创 identification 和authentication中的安全考量

2 session 管理。

2023-10-31 21:14:04 138

原创 sourcemap 代码泄露漏洞

source map 漏洞和修复

2023-08-21 17:56:09 1763 1

原创 AWS security 培训笔记

aws 安全培训

2023-08-18 09:34:00 690

原创代码保护 code protection

为了保护知识产权并让攻击者的利用更加困难，组织应该为其软件的逆向工程设置障碍(例如，反篡改、调试保护、反盗版特性、运行时完整性)，增加攻击者分析和利用你的软件所需的投入。代码保护对于广泛分布的代码尤其重要，例如分布在浏览器上的移动应用程序和JavaScript。使用允许组织证明重要代码的来源、完整性和授权的代码保护机制(例如，代码签名)。有各种各样的混淆技术可用，包括重命名变量和函数、添加冗余或无意义的代码、更改控制流和加密字符串。不太关键的部分，如UI组件或实用程序功能，可能不需要相同级别的混淆。

2023-08-16 17:34:31 228

原创 appscan 应用

appscan

2023-07-21 19:21:55 372

原创恶意文件检测

恶意文件

2023-07-17 15:08:54 347

原创 burp suit设置上行代理服务upstream proxy servers

burp 代理设置，渗透测试

2023-04-23 18:31:56 805 1

原创 key vault 秘钥库

secret vault 云安全，秘钥库

2023-03-20 18:35:22 346

原创关于文件上传漏洞

文件上传漏洞

2023-03-10 16:12:05 314

原创 k8s secret

k8s secret

2023-02-23 18:42:32 128

原创 how https works？https工作原理

https 工作原理，cipher，秘钥交换

2023-02-12 13:07:37 423

原创给ChatGPT打几分啊？apk 渗透测试

chatGPT 渗透测试 apk

2023-02-09 19:26:27 661

原创说说恶意软件吧~~Malware 分析

恶意软件，恶意软件分析

2023-01-29 23:17:21 949

原创 k8s vs Docker Swarm

k8s docker swarm

2023-01-16 17:51:27 679

原创 kube-bench初体验

k8s 加固，audit工具

2023-01-11 20:26:38 694

原创微软威胁建模工具 STRIDE

威胁建模，stride，微软威胁建模工具

2022-11-30 12:28:19 1485

原创初识 Azure Sentinel

azure sentinel

2022-11-28 23:32:29 527

原创 tenable 镜像扫描

tenable扫描镜像的步骤，查看结果巴啦啦

2022-11-25 19:20:52 462

原创 k8s加固 hardening

k8s安全加固

2022-11-25 14:25:57 409

翻译 CIS Critical Security Controls (CIS Controls) 18项关键安全控制

CIS控制的关键18项目

2022-11-25 11:27:09 384

原创云原生安全：4C~

云原生安全，4C，云，集群，容器，代码安全

2022-11-24 19:10:38 498

原创 OWASP API SECURITY TOP 10

api security owasp top 10

2022-11-18 18:55:07 1726

原创关于应用安全application secuirty

应用安全，appsec，开发安全，SDLC

2022-09-22 22:57:50 164

原创 OWASP web渗透测试清单checklist -1-

owasp web渗透 checklist

2022-09-22 17:12:45 588

原创密码套件 and 弱密码套件漏洞

弱密码套件

2022-09-18 01:11:38 4507

原创 web安全常见漏洞之CSRF

csrf，token，安全，webapp

2022-09-09 11:40:33 1172

原创 web渗透之攻击 Authentication-1-

web安全，web渗透，认证authention

2022-08-26 13:46:47 703

原创 portswigger lab：SQLI 盲注：利用conditional error

sqli lab 盲注 portswigger SQL注入，安全测试，burp

2022-08-17 23:48:37 312

原创 sqli blind injection盲注，以马冬梅为例

sqli 盲注 intruder burp

2022-08-16 23:48:56 136

原创 SQLi lab： Equivalent to information schema on Oracle

sqli lab

2022-08-15 22:43:13 148

原创 sqli lab解题： sql iunion攻击，单列获取多个值

sqli lab

2022-08-15 22:42:47 144

原创 Encoding & Decoding

encoding和decoding

2022-08-15 19:42:09 1283

原创学习笔记：白帽子讲web安全11章：加密算法和随机数

web应用安全，加密算法，随机数

2022-07-17 22:36:38 904

原创学习笔记：k8s

k8s，docker swarm

2022-07-12 21:23:30 156

The Challenges of Threat Modeling Modern Applications现代威胁建模的挑战

The process of decomposing an application or computing system into components, in order to address areas of cybersecurity weakness or potential cyber threat, is commonly referred to as threat modeling. Secure software development lifecycles (SDL/SSDL) and other formal application security programs often include threat modeling in the program activity portfolio, making threat modeling a required exercise as part of application development. The Building Security In Maturing Model (BSIMM) measures

2022-03-12

Robust Defenses for Cross-Site Request Forgery

Cross-Site Request Forgery (CSRF) is a widely exploited web site vulnerability. In this paper, we present a new vari- ation on CSRF attacks, login CSRF, in which the attacker forges a cross-site request to the login form, logging the vic- tim into the honest web site as the attacker. The severity of

2020-09-29

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人