我也要用
产品安全与加固
汇总产品开发过程中的用到的安全加固操作,问题追踪过程,以及研究安全组件的笔记,小问题汇总成大知识。
毕小宝
从事 Java 开发 7 年+,精于 Java 服务器端程序开发,熟悉设计模式及其在各大主流框架中的应用原理,研究过 Java 并发包源码,搭建过 ORM 框架。路漫漫,仍然在路上的 Java 程序员!
-
原创 Cuckoo Sandbox 在Ubuntu上安装问题及解决方法
上周领导让我研究一下 Cuckoo Sandbox这个开源项目,花了两天时间安装环境,周六终于安装起来了。虽然是对着官方文档执行的每一步,但是中间有两个步骤始终过不去,本文来整理下安装过程中碰到的问题及解决方法。2020-12-27 07:33:14
142
0
-
原创 Burpsuit 抓火狐浏览器包配置操作整理
由于工作需要,弄了一下午的 Burpsuit 抓包工具,工具的学习是有时间成本的。两年前用过,当时没有整理用法,导致今天又重新搜资料、学习使用方法,耗费了不少时间。本文记录一下使用过程,万一以后又需要用到呢!话说回来,一个工具要用到第三次,大概也不会忘记了吧。2020-04-26 18:57:02
513
0
-
原创 OpenRASP Agent 源码导入教程
背景OpenRASP 是百度安全推出的一款免费、开源的应用运行时自我保护产品,近期需要了解源码,对其进行二次开发,所以导入源码,分析了一下 Java Agent 端的工程,本文即为整理 OpenRASP Agent 源码导入的过程。Agent 基本结构百度开源的 OpenRASP 项目地址为 openrasp ,在 windows 系统下,下载该项目到本地。前面已经安装并验证过官方的一些案例...2019-09-27 13:59:24
673
1
-
原创 互联网开源的自适应安全产品OpenRASP 客户端使用基础
1 介质下载rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。2 Java客户端安装支持自动安装,进入 rasp 所在目录,执行安装命令即可:java -jar RaspInstall.jar -install <tomcat_root>3 拦截启用官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的...2019-08-01 18:06:06
1535
0
-
原创 复盘一个因预防 DDOS 攻击的配置而导致的 ajax 请求超时异常
去年客户对部署的产品漏扫时,发现产品的应用系统存在 DDOS 缓慢攻击、拒绝服务的风险:专业渗透测试人员通过一台配置特别低的机器,不停地缓慢发送请求,最终导致该应用系统无法提供正常的服务。2019-07-25 19:14:45
1278
3
-
原创 提高 Web 开发的安全意识,警惕第三方包的 0day 漏洞
上周公司针对 Fastjson 低版本的 0day 漏洞问题,发布了排查通知,要求各项目组检查已发布的产品是否有 0day 漏洞风险,并提供升级包。这是我入职以来遇到的第二次漏洞升级事件,第一次是 Tomcat 的低版本的 “CVE-2018-1305” 漏洞。2019-06-29 19:41:39
299
0
-
原创 Java web应用中的安全问题整理
背景几年前在CSDN的C币商城换购过一本《白帽子讲Web安全》,了解过Web网站在渗透测试过程中常见的安全问题。近来,自己开发的Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对安全要求不高的开发流程中,很可能被忽略。密码明文传输当年初学Java We2017-09-10 09:19:13
3834
0
-
原创 Cuckoo Sandbox 启动过程遭遇的问题及解决过程
Unbuntu 操作系统对权限有相当高的要求,在部署 Cuckoo Sandbox 环境过程中,因安裝远程桌面用的是 root 帐号,并用 root 帐号创建的 vncserver 访问 virtualbox 创建的客机,折腾一圈,终于搞明白了 Cuckoo Sandbox 的启动流程。核心就是权限一致,用什么帐号启动 Cuckoo ,所有的环境部署都应该基于该帐号,建议用普通帐号。2021-01-09 07:23:31
98
0
-
原创 动态解析521响应Cookie失效后,爬虫如何继续?
前面章节介绍了网站使用两次 JS 混淆反爬技术,模拟请求流程得到的动态 Cookie 信息,它的有效期是一个小时。Cookie 失效后,WebMagic 后面依旧是 521 响应码。本文探讨的问题是:动态解析到的 Cookie 失效后,WebMagic 如何动态修改 Cookie 信息呢?Site 类的 addHeader 和 addCookie ,哪个是决定最终请求头域的要素呢?2020-12-16 06:49:34
183
0
-
原创 两次 JS 动态混淆反爬虫策略导致的 521 响应码,如果破?
521 可不是浪漫的表白数字哦,它还是一个http 请求响应码,碰到它能让你头大啊。最近在做一个漏洞爬取项目,上周发现 CNVD 网站升级了,使用了动态 JS 混淆技术,导致爬虫程序大量返回 521 响应码。解决过程,颇费周折,希望爬虫能维持一段时间、这个网站不要继续升级才好。2020-12-13 10:13:47
209
3
-
原创 Java Web 应用 Cookie 安全指南
Java Web 应用中,如果没有对 JESSIONID 这类 Cookie 信息设置 httpOnly 属性,会有什么风险呢?不同服务器对该属性的支持情况如何?登录成功后会话 ID 不变有问题吗?本文将介绍这些关于 Cookie 的问题。2020-04-29 08:51:04
208
0
-
原创 Tomcat8.5.23 版本漏洞分析
背景系统漏洞扫描发现了tomcat版本存在安全绕过漏洞,百度了一下这个漏洞的信息: Apache Tomcat中存在安全绕过漏洞。攻击者可借助恶意的Web应用程序利用该漏洞绕过安全限制。以下版本受到影响:Apach Tomcat 9.0.0.M1至9.0.0.M9版本,8.5.0至8.5.4版本,8.0.0.RC1至8.0.36版本,7.0.0至7.0.70版本,6.0.0至6.0.4...2018-08-07 10:51:51
6234
0
-
原创 html 文件中毒导致Java mail发邮件失败问题复盘
项目中有一个邮件发送的功能,实时监控服务器系统信息,并定时发邮件给系统管理员,邮件发送使用的是 html 格式的邮件正文。但是最近一次部署后,所有发送邮件操作均没有后台异常,但是收件箱没有收到任何邮件。这是怎么回事儿呢?邮件为什么被送达呢?2017-02-28 09:10:47
839
0
-
原创 400年都破解不了的密码长啥样,你知道吗?
信息时代,每个人都会访问很多的应用、网站、软件等,密码是访问它们的钥匙。拿起手机数一数,里面有多少个应用,哪一个应用是不需要密码或者手机验证就能够登陆的呢?这么多应用的密码你都是怎么设置的呢?有没有密码安全性意识呢?本文来聊一聊什么样的密码最安全,以及手机作为重要金融工具的今天,如何保重手机的安全。2020-09-25 19:32:35
1760
2