汤青松
文章平均质量分 87
汤青松
汤青松 外号 daxia 安全工程师
展开
-
GitLab结合fortify实现自动化代码审计实践
比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。本篇文章以甲方安全代码安全建设为主线,分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供了一个便捷的实验环境供大家测试。原创 2022-12-08 17:48:55 · 1031 阅读 · 0 评论 -
高效率开发Web安全扫描器之路(一)
为了达到高效率的同时又能自主可控,我决定做一个有水平的缝合侠,简单理解就是我要把很多工具巧妙的融入到我开发的工具来,这里需要考虑的第一个问题是每个工具的使用方法、输入的参数、输出的结果都是不一样的,工具A的结果工具B不一定认识。作为一个只想挖漏洞的我,我更偏向于综合型的扫描器开发,可是综合型的扫描器开发难度真的很大,要清晰地了解各种漏洞的原理,而且还需要把他们使用代码去实现,如果是我一个人从头开发我压根做不到啊。我希望是我只要给他一个URL地址,它就可以帮我扫描网站的漏洞,以及这个主机本身的漏洞。原创 2022-11-30 14:06:36 · 1351 阅读 · 1 评论 -
蜻蜓低代码安全工具平台开发之路
蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台。在安全行业中,我们可以想到两类群体,开发大佬,和脚本小子;开发大佬能力强,可以写出很厉害的工具,但一个人或者一个团队的精力终究是有限的的,功能相对单一,很难做出类似想AWVS类似综合型工具;每个团队开发出来的工具都在某一方面比较好用,很难做到全方面,而且不会考虑太多外置接口用于集成上下游;而原创 2022-06-23 14:40:58 · 1065 阅读 · 0 评论 -
QingScan 快速集成自定义工具
QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完成。一、添加插件在 黑盒扫描-》插件列表-》添加插件 里填写插件信息 在上图中填写的插件信息,插件名字可以自己随意命名,插件执行的命令就是你在命令行时候执行的命令,工具有一个对应的目标,这个目标用_####_替代;扫描类型分为域名、主机、代码、URL:域名是黑盒目标中的一个目标,一个站点通常是一个域名主机是原创 2022-01-14 15:27:23 · 300 阅读 · 0 评论 -
QingScan v1.1.0 版本发布会实录
一、背景QingScan今天晚上要发布v1.1.0版本了,这个版本黑盒详情页改版还是蛮大的,另外添加了队列功能和扫描进度信息;那今天晚上主要是讲解这个QingScan的一个新版本的一个使用方法以及搭建方法。那这次的搭建方法还是有所改变的。但是据总的来说了,方法还是一致的,在安装界面当中可能有一小部分的一些变化,然后也给大家整体的走一遍。那现在我就开始来安装。我们安装环节可能会比较快,那我们会花 5 分钟进行安装,然后花 10 分钟进行一个演练。 class="video_iframe rich_pages"原创 2022-01-11 18:30:36 · 504 阅读 · 0 评论 -
聚合型代码审计工具QingScan使用实践
一、简介笔者最近看到很多公众号在推荐QingScan这款扫描器平台,也好奇了起来,花了半小时将QingScan搭建了起来;搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~二、功能概览我安装好QingScan后,进入Qi原创 2022-01-09 14:26:10 · 2421 阅读 · 0 评论 -
使用Portainer部署Docker容器实践
一、背景最近在使用rancher2.5.5部署Redis主从复制的时候,发现rancher会产生很多iptables的规则,这些规则导致我们在部署了rancher的机器上无法使用Redis的主从复制功能,因为我对rancher和k8s的了解也仅限于了解网络架构和使用,对底层并不深入,短期内无法解决这个网络冲突的问题;因此我将rancher管理docker的模式换成使用protainer的方式,这个portainer相对来说更加轻量级,在搭建过程中也使用了几个小时学习,现在讲整个过程尽量复原给大家一些参考原创 2021-04-11 22:48:07 · 4809 阅读 · 0 评论 -
使用Docker进行Redis主从复制实践
一、背景最近在做零信任安全网关,需要使用Redis作为认证缓存服务器,因为网关服务器分布在多个集群,每次都跨机房认证不太实现;所以需要使用Redis主从同步,将过程记录下来,希望可以给需要的同学一点参考。二、操作步骤安装Docker主服务配置从服务配置验证同步效果三、安装Docker本篇文章主要是问了记录主从配置的过程,因此我采用最简单的docker方式来搭建Redis服务,安装docker的命令如下所示curl -sSL https://get.daocloud.io/docker原创 2021-04-11 22:45:31 · 179 阅读 · 0 评论 -
Mac下使用pecl安装PHP的swoole扩展实践
一、背景前段时间把Mac系统重装了,PHP的一些扩展都没了,昨天需要调试一个swoole开发的项目,发现命令行中的PHP是系统自带的,如果安装swoole扩展很不方便;需要自己手动去下载swoole的源码,然后去编译swoole的源码,并自己配置,整个过程非常繁琐;我记得之前用brew安装的PHP,再使用pecl很方便就可以安装swoole,于是我把自带的PHP卸载然后重新使用brew安装,并...原创 2019-12-03 11:39:55 · 804 阅读 · 0 评论