Security
文章平均质量分 62
犬大犬小
你你你你要跳舞吗
展开
-
sourcemap 代码泄露漏洞
source map 漏洞和修复原创 2023-08-21 17:56:09 · 1794 阅读 · 1 评论 -
代码保护 code protection
为了保护知识产权并让攻击者的利用更加困难,组织应该为其软件的逆向工程设置障碍(例如,反篡改、调试保护、反盗版特性、运行时完整性),增加攻击者分析和利用你的软件所需的投入。代码保护对于广泛分布的代码尤其重要,例如分布在浏览器上的移动应用程序和JavaScript。使用允许组织证明重要代码的来源、完整性和授权的代码保护机制(例如,代码签名)。有各种各样的混淆技术可用,包括重命名变量和函数、添加冗余或无意义的代码、更改控制流和加密字符串。不太关键的部分,如UI组件或实用程序功能,可能不需要相同级别的混淆。原创 2023-08-16 17:34:31 · 232 阅读 · 0 评论 -
k8s secret
k8s secret原创 2023-02-23 18:42:32 · 128 阅读 · 0 评论 -
how https works?https工作原理
https 工作原理,cipher,秘钥交换原创 2023-02-12 13:07:37 · 426 阅读 · 0 评论 -
给ChatGPT打几分啊?apk 渗透测试
chatGPT 渗透测试 apk原创 2023-02-09 19:26:27 · 661 阅读 · 0 评论 -
说说恶意软件吧~~Malware 分析
恶意软件,恶意软件分析原创 2023-01-29 23:17:21 · 964 阅读 · 0 评论 -
kube-bench初体验
k8s 加固 ,audit工具原创 2023-01-11 20:26:38 · 694 阅读 · 0 评论 -
微软威胁建模工具 STRIDE
威胁建模,stride,微软威胁建模工具原创 2022-11-30 12:28:19 · 1490 阅读 · 0 评论 -
初识 Azure Sentinel
azure sentinel原创 2022-11-28 23:32:29 · 531 阅读 · 0 评论 -
tenable 镜像扫描
tenable扫描镜像的步骤,查看结果 巴啦啦原创 2022-11-25 19:20:52 · 462 阅读 · 0 评论 -
k8s加固 hardening
k8s安全加固原创 2022-11-25 14:25:57 · 410 阅读 · 0 评论 -
CIS Critical Security Controls (CIS Controls) 18项关键安全控制
CIS控制的关键18项目翻译 2022-11-25 11:27:09 · 385 阅读 · 0 评论 -
云原生安全:4C~
云原生安全,4C,云,集群,容器,代码 安全原创 2022-11-24 19:10:38 · 500 阅读 · 0 评论 -
OWASP API SECURITY TOP 10
api security owasp top 10原创 2022-11-18 18:55:07 · 1734 阅读 · 0 评论 -
关于应用安全application secuirty
应用安全,appsec,开发安全,SDLC原创 2022-09-22 22:57:50 · 165 阅读 · 0 评论 -
OWASP web渗透测试清单checklist -1-
owasp web渗透 checklist原创 2022-09-22 17:12:45 · 593 阅读 · 0 评论 -
密码套件 and 弱密码套件漏洞
弱密码套件原创 2022-09-18 01:11:38 · 4531 阅读 · 0 评论 -
web安全常见漏洞 之CSRF
csrf,token,安全,webapp原创 2022-09-09 11:40:33 · 1173 阅读 · 0 评论 -
web渗透之攻击 Authentication-1-
web安全,web渗透,认证authention原创 2022-08-26 13:46:47 · 708 阅读 · 0 评论 -
portswigger lab:SQLI 盲注:利用conditional error
sqli lab 盲注 portswigger SQL注入,安全测试,burp原创 2022-08-17 23:48:37 · 313 阅读 · 0 评论 -
sqli blind injection盲注,以马冬梅为例
sqli 盲注 intruder burp原创 2022-08-16 23:48:56 · 136 阅读 · 0 评论 -
sqli lab解题: sql iunion攻击,单列获取多个值
sqli lab原创 2022-08-15 22:42:47 · 146 阅读 · 0 评论 -
SQLi lab: Equivalent to information schema on Oracle
sqli lab原创 2022-08-15 22:43:13 · 148 阅读 · 0 评论 -
学习笔记:白帽子讲web安全11章:加密算法和随机数
web应用安全,加密算法,随机数原创 2022-07-17 22:36:38 · 909 阅读 · 0 评论 -
NIST cybersecurity framework的五个核心功能
cybersecurity framework原创 2022-07-11 18:29:08 · 946 阅读 · 0 评论 -
关于防御式编程 (Defensive programming )和安全编码
安全编码,防御式编程,安全原创 2022-05-11 22:25:57 · 593 阅读 · 0 评论 -
漏洞管理/漏洞描述
漏洞管理/漏洞描述原创 2022-05-10 22:01:45 · 275 阅读 · 0 评论 -
跨站脚本xss
目录什么是xss原理攻击类型反射型xss存储型xss基于dom的xss攻击者用xss干啥内容安全策略csp如何防止xssxss是个web漏洞,攻击者可以破坏用户和web app之间的交互,攻击者可规避同源策略。什么是xss通常攻击者伪装成受害者用户,执行用户能够执行的操作,访问用户的数据,如果用户具有特权访问权限,攻击者就能够完成控制应用程序的所有功能和数据原理操作一个易受攻击的网站,利用其向用户返回恶意的js,当恶意代码在受害者的浏览器执行的..原创 2022-04-24 17:36:06 · 336 阅读 · 0 评论 -
Dvwa漏洞之代码执行漏洞
代码执行漏洞 code execution允许攻击者执行操作系统命令 windows or linux 可以用来得到一个反向shell 或者使用wget上传文件原创 2022-04-14 00:01:23 · 4015 阅读 · 0 评论 -
Dvwa漏洞之 local file inclusion 本地文件包含
local file inclusion运行攻击者读取同一台服务器上的认可文件访问www目录外的文件如果用户账号密码保存在某个文件里,就可以读了,这个是很危险的如果多个网站部署在一台服务器上,通过a网站的此漏洞,就可以访问B网站的文件,从而进一步实施攻击...原创 2022-04-10 22:08:22 · 3519 阅读 · 0 评论 -
dvwa的文件上传漏洞验证upload
DVWA = Damn Vulnerable Web App长这样upload漏洞upload 可上传文件来实现利用利用weevly生成一个shell脚本weevely简介:weevely是一款基于python编写的webshell生成、管理工具。weevely generate 123456 /root/shell.php然后上传这个shell出现successful uploaded,然后呢,构造url看这个shell是否上传成功。如...原创 2022-03-28 17:18:16 · 3823 阅读 · 0 评论 -
SQLi 的例子-1-获取隐藏的数据 & bypass
sqli例子,构造request,执行sqli原创 2022-03-21 13:10:33 · 705 阅读 · 0 评论 -
信息管理控制
安全是关于风险管理,不管哪方面思路都是这么个情况识别资产,要保护的是什么 识别威胁,谁可能是你的威胁,什么场景 评估目前的控制措施 定期review目前的措施,如果不够了,需要重新配置...原创 2022-03-20 16:39:51 · 70 阅读 · 0 评论 -
手机 app GDPR 合规的9个关键步骤
1. Think about the data you collect from users 从用户收集了什么信息,这些信息是否是必须必要的。邮件,电话,地址。。。。2. 分析如何处理这些信息。如何接受,如何传输,如何存储,什么时候删除。。。系统全过程有文档3. 获得授权4 加密数据,肯定不能明文存储5 双重认证6 教育通知用户 :教育:让用户了解数据如何处理,如何保证安全的You need to help them understand how data securit...原创 2022-03-17 16:15:56 · 646 阅读 · 0 评论 -
关于威胁建模
威胁建模威胁建模是 Microsoft 安全开发生命周期 (SDL) 的核心元素。是一种工程技术,可以使用它来识别可能影响应用的威胁、攻击、漏洞和对策。可以使用威胁建模来塑造应用程序的设计、满足公司的安全目标并降低风险。五个步骤定义安全要求。 创建应用流程图。 识别威胁。 消解威胁。 验证。威胁建模应该是日常开发生命周期的一部分,应该逐步完善威胁模型并进一步降低风险...原创 2022-03-08 14:14:38 · 344 阅读 · 0 评论 -
什么是stride模型
威胁建模威胁建模是一个结构化的过程,用于识别和枚举出潜在的威胁(如漏洞或缺乏防御机制的情况),并对安全缓解措施进行优先级排序。威胁建模旨在根据当前的信息系统和威胁状况、最有可能的攻击、方法、动机和目标系统,为防御者和安全团队提供需要的安全控制分析。威胁建模的重要性威胁建模帮助分析师识别,分类威胁,并为其排列优先级,输出有效的文档。威胁建模报告帮助安全防御和安全运维团队保护it资产免于漏洞和威胁六个常见的威胁建模方法论STRIDESTRIDE 是微软开发的用于威胁建..原创 2022-03-07 01:48:29 · 9305 阅读 · 0 评论 -
关于Insecure Deserialization,不安全的反序列化
不安全的反序列化,owasp top 10,web安全原创 2022-03-06 16:44:30 · 3481 阅读 · 0 评论 -
关于copyright 跟 license,开源相关的了解下
什么是copyright?张三拍了张照片,张三有copyright,张三可以决定谁可以用什么样的方式使用这张照片:打印出来展出或者被某篇文章引用。不是通过口头的认同,张三在发布作品的同时附上license,说明关于如何使用该照片,那么这张照片就是copyrighted并且被认为是IP当然不仅限于照片,还包括文字,书,音乐,艺术创作。。。。什么是license?License是作者授权的;张三有对作品使用和分配的权利。他可能决定免费提供照片或收费;无论哪种方式,他都可以限制许可证,并且保留版权原创 2022-01-19 16:14:20 · 758 阅读 · 0 评论 -
OWSAP TOP 10
OWASP(Open Web Application Security Project - 开放式 Web 应用程序安全项目)基金会是一家国际组织,其使命是推进安全软件事业。作为其活动的一部分,OWASP 发布了一份关于 Web 应用程序最严重安全漏洞的报告,根据来自世界各地的安全专家小组的意见,按顺序进行了排列。OWSAP 十大安全风险包括以下类别: 注入 失效的身份认证和会...原创 2019-07-21 18:01:58 · 1555 阅读 · 0 评论