自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(9)
  • 收藏
  • 关注

原创 解决maven依赖组件升级遇到的2个小坑

简单说两句今年公司开始推进软件依赖组件的漏洞修复,结合内部的CI/CD流程开发了SCA系统,并以此推动组件漏洞的升级工作。在推进修复过程中,java的maven构建管理的项目总是会有开发同学遇到各种各样的小问题。下面就列举其中我遇到的2个小问题,以供遇到相似问题的同学参考。(2020.2.2 春节后疫情中的通州)开始正文基础知识普及什么是maven?Maven 是一个项目管理工具,可以对 Java 项目进行构建、依赖管理。Maven 依赖管理pom.xml 的 dependencies 列表

2020-09-30 17:23:56 97

原创 分享一个wiki敏感信息扫描工具

背景日常的安全运营中总是发现很多开发的同学将代码片段和一些技术文档在企业内部搭建的wiki中进行记录,其中经常会包含一些密码、数据库连接字符串、认证token之类的敏感信息。而这些文章往往是public的权限任何wiki普通用户都可以浏览到,因此带来了极大的内部安全风险。一旦黑客获得其中一个员工的账号权限进入内网,wiki往往是获得大量可用敏感信息的首选途径,因此减少public权限的公开敏感信息就尤为重要。另外账号的暴露也不利于内部的安全审计,账户、口令被员工获取后恶意利用,进行未授权的访问,增加了企业

2020-08-08 17:06:23 1104 6

原创 OpenRASP 初探(三)之 IAST

前言Openrasp 初探系列最后一篇,前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署,感兴趣可以移步:OpenRASP 初探(一)之项目介绍、OpenRASP 初探(二)之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。(2020.5.4 京东通州大运河畔)一、IAST 简介其实在第一篇中也介绍过 iast 的一些技术背景,这里再作下补充,以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起

2020-06-06 12:25:13 494

原创 Nginx/OpenResty内存泄漏/目录穿越漏洞复现

前言最近一直在忙cissp的备考,好多前阵子做的一些技术调研没来得及整理成文章发出来,为了坚持每月至少一篇的更新,这次发的质量稍微水一些。前阵子Nginx/OpenResty爆出了2个漏洞,一个内存泄漏另一个目录遍历。当时在公司做了应急,复现的情况也一并做了记录,这两个漏洞原理相对比较简单,但影响面还是比较大的。漏洞通报概况2020 年 03 月 18 日,360 CERT 监测发现 op...

2020-05-02 12:58:10 1504

原创 OpenRASP 初探(二)之项目部署

一、软件兼容性(openrasp 目前支持 java 和 php)管理后台:操作系统兼容 Linux (CentOS 6+ / Ubuntu 14.04 + / 其他不要太老的系统)和 Mac OS XJAVA agent :-操作系统:MacOS 10.10+、Windows x64、Linux(RHEL/CentOS 6.X ~ 7.X/Ubuntu 14+/Debian 6+/其他 g...

2020-04-06 13:48:07 701

原创 OpenRASP 初探(一)之项目介绍

前言在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括wa...

2020-03-05 22:04:20 818

原创 推荐文章

推荐文章spark搭建和简单使用https://www.cnblogs.com/dion-90/articles/9058500.htmlssl证书黑特征库https://sslbl.abuse.ch/集成snort、surcaita等sochttps://securityonion.net/suricata 开源规则https://github.com/ptresearch/At...

2020-03-02 20:54:38 68

原创 ELK在安全运营中的应用实践

一、前言本文不会涉及具体的平台搭建步骤以及具体的方案架构讨论,在这里只是想和大家分享一下我们在运营当中遇到的一些问题以及解决的思路,可能文中提及的技术架构也并非适合每一位读者。闲暇时写下本文,仅仅希望能够帮助在甲方企业和机构从事安全运营工作的同仁们获得一些启示和灵感,为大家提供更多的解决方向。本文前面的章节会简要给大家介绍下SIEM产品目前在市场上的几种分类和应用情况,接着会给大家介绍下我们为...

2020-03-02 20:52:55 894

原创 云点播视频-DRM-方案调研

前段时间,朋友的一个公司网站视频点播接口被疯狂遍历请求,同时网上还出现了很多的针对这个网站视频的自动化视频下载工具。虽说是都是公开视频,但内容本身就是这个网站最大的价值,如果都通过工具下载视频观看,网站的DAU等数据肯定会受影响,广告的收益也会下降。为了帮助朋友解决这个困扰的难题,我调研了市面上常见的一些云点播视频的DRM解决方案。首先说什么是「DRM」呢,根据某百科解释,DRM英文全称Digi...

2020-03-02 20:33:52 560

空空如也

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除