自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

随亦的博客

淡泊以明志,宁静以致远

原创 【置顶帖】关于博主/关于博客

关于博主 信息安全从业者 CISP-CISO CSDN安全博客专家 核心技能树:移动安全、代码审计、web渗透、安全开发、隐私合规、安全运维 关于博客 特别声明A:本博客只撰写通用性基础理论与技术研究实践,不存在任何可能涉及纠纷的内容,如敏感高级安全技术、公司内部安全方案、违反知识产权或法律的技...

2020-04-23 19:23:08 1118 2

原创 【专帖】遇到的好文章收藏专帖

为了提高本博客原创率,将阅读过的,具有价值的好文章收藏之!不进行转载……

2018-09-17 10:54:29 728 4

原创 Java开发--8--面向对象(下)

6.3 方法 1、理论基础 方法的定义:方法是解决一类问题的步骤的有序组合,其包含于类或对象中,它在程序中被创建,在其他地方被引用。 方法的优点:使程序变得更简短而清晰。有利于程序维护。可以提高程序开发的效率。提高了代码的重用性。 方法的命名规则:方法的名字的第一个单词应以小写字母作为开头,后面...

2020-06-02 21:24:03 32 0

原创 Java开发--7--面向对象(上)

6.1 对象 1、使用关键字new创建对象,主要是为了给它开辟空间 类定义完成后,使用new关键字创建对象,创建对象需要以下3步: 1、声明:声明一个对象,包括对象名称和对象类型。 2、实例化:创建对象的过程称为实例化。 3、初始化:使用new创建对象时,会调用构造方法初始化对象。 new运算的...

2020-06-02 21:06:23 34 0

原创 Java开发--6--异常处理(下)

5.3 异常的使用 异常处理需要经过捕获-处理过程,常用的语句有try-catch捕获处理结构、finally语句块、throws语句块、printStackTrace()方法等。 1、捕获异常 伪代码 try{ 可能存在异常的代码块 }catch(异常类型 异常变量){ 如果可能存在异常的...

2020-06-01 20:17:44 33 0

原创 Java开发--5--异常处理(上)

5.1 基础理论 1、要理解Java异常处理是如何工作的,需要掌握以下三种类型的异常 检查性异常:最具代表的检查性异常是用户错误或问题引起的异常,这是程序员无法预见的。例如要打开一个不存在文件时,一个异常就发生了,这些异常在编译时不能被简单地忽略。 运行时异常: 运行时异常是可能被程序员避免的异...

2020-06-01 17:20:32 43 0

原创 Java开发--4--数组

4.1 理论基础 程序=算法+数据结构 算法:解决问题的流程。第一步、第二步、第三步……干什么。有顺序、分支、循环三种方式。 数据结构:把数据按特定的某种结构保存,设计合理的数据结构是解决问题的前提。 数组就是最基本的一种数据结构。它用来存储一系列数据,其中的每一项都具有相同的基本数据类型、类或...

2020-06-01 16:21:08 27 0

原创 代码审计--40--PHP代码审计中常见的漏洞(三)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 文件包含 6 路径遍历 2 文件权限控制...

2020-05-31 13:18:17 192 0

原创 代码审计--39--PHP代码审计中常见的漏洞(二)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 资源注入 6 不安全的密码形式 2 Ob...

2020-05-31 13:17:32 173 0

原创 代码审计--38--PHP代码审计中常见的漏洞(一)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 Cookie传输未加密 6 SQL注入 ...

2020-05-31 13:16:35 187 0

原创 代码审计--37--Python代码审计中常见的漏洞(三)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 服务器禁用SSL校验 6 路径遍历 2 ...

2020-05-31 13:05:21 198 0

原创 代码审计--36--Python代码审计中常见的漏洞(二)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 文件权限控制 6 不安全的加密方式 2 ...

2020-05-31 13:04:16 184 0

原创 代码审计--35--Python代码审计中常见的漏洞(一)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 命令注入 6 XPath注入 2 动态解...

2020-05-31 13:03:41 174 0

原创 Java开发--3--控制流程

3.1 条件结构 1、if语句逻辑 if (逻辑表达式){ //若逻辑为true,则执行if中的语句,否则if中的语句不执行 语句1; 语句2; } 2、if-else语句逻辑 if (逻辑表达式){ //若逻辑为true,则执行if中的语句 ...

2020-05-25 21:38:07 115 0

原创 Java开发--2--语法基础
原力计划

2.1 相关基础 Java所有的组成部分都需要名字。 类名、变量名以及方法名都被称为标识符。 标识符命名规则: 1、由字母、数字、下划线、$组成,不能以数字开头。 2、注意大小写敏感。即hello和Hello是不一样的。 3、不得使用java中的关键字和保留字。 标准的变量命名示例: int l...

2020-05-25 15:26:15 25 0

原创 Java开发--1--基础常识

1.1 Java相关理论 程序员编写的Java源文件(.java文件)首先会编译为字节码文件(.class文件)。字节码文件(.class文件)再通过Java虚拟机(JVM)实现运行。 不同平台下的Java虚拟机不同(因为系统不相同),但各种虚拟机均可运行字节码文件(.class),以此Java...

2020-05-25 14:05:50 155 0

原创 Java开发--0--写在开始

博主不是计算机相关专业的科班生,自然而然的,大学也就没学过Java了,我在2017年才接触的Java,入门算挺晚的。那时候正值进行“个人能力知识库构建”计划,其中一项是系统的学习Android,其输出成果也就是现在博客中的《移动安全》主体部分,开发Android APP当然需要用Java语言啦,于...

2020-05-25 10:54:26 48 0

原创 关于甲方安全体系建设历程的思考
原力计划

博主是涂鸦安全部门最早期成员之一,虽然不是安全负责人,却也有幸参与和见证了涂鸦安全体系从无到有的建设历程。本文是博主关于甲方安全体系建设历程的思考,分为三部分: 一、安全体系建设v1.0---快速治理 二、安全体系建设v2.0---系统化建设 三、安全体系建设v3.0---全面完善 附:安全制度...

2020-04-12 17:41:36 338 1

原创 甲方基础安全运营平台建设实践

基础安全运营平台是集威胁情报、漏洞检测、入侵感知、主动防御、后门查杀、安全基线、安全大脑于一体的综合安全平台,承担着企业抵御各种网络攻击和防范内部风险的重任。 首先通过威胁情报从外部获取最新的攻击数据和趋势,其次通过漏洞检测统计企业资产并周期性巡检、修补安全漏洞,再基于入侵感知发现各种网络、主机、...

2020-04-12 17:41:10 248 1

原创 SDL安全与企业办公安全落地实践

安全开发生命周期的管理是保障互联网企业业务正常运营的重要举措,直接关系到企业线上业务运行的安全性。而企业办公安全涉及的安全隐患则更加复杂多样,各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。 一、安全开发生命周期 互联网公司的SDL必须和现有的CI/CD(持续集成/持续部署)系统(如ID...

2020-04-12 17:40:48 441 1

原创 Android安全/软件壳--42--说说Android软件壳

本博文实际发布于:2019年11月1日,2020年3月19日修改过部分内容 最近忙里抽闲研究了一段时间Andorid软件壳,有两个感想: 1、以前的低级软件壳很低级,现在的高级软件壳很高级 2、作为一个偏业务的安全人员,研究软件壳尤其是脱壳,实际上没有太大意义,因此以后大概率不会再深究这东西

2020-03-19 17:58:22 472 0

原创 移动安全--45--我设计的Java代码混淆解决方案

特别声明:本文是博主阅读大量硕博论文和知网文献后原创,非公司内部解决方案。 一 、代码混淆方案图 各模块功能简介: 程序预处理分析:对原应用程序进行程序分析预处理,为后续混淆奠定结构基础。 布局混淆模块:对代码中有意义的标识符进行重命名。 控制流混淆模块:对程序进行控制流混淆,包括插入多余的分支...

2020-03-01 11:12:31 1686 1

原创 web渗透--64--常见的WAF绕过方法
原力计划

本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法 一、网络架构层 一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。 具体方法如下: 1、查找相关的二级域名及同一域名注册者的其他域名解析记录。 2、通过查看邮件MX解析记录来发现真...

2020-02-11 12:07:56 3663 2

原创 安全合规--31--企业安全隐私合规体系建设经验总结(五)

本篇介绍:维护和审核数据隐私合规制度 本篇为第5篇/共5篇 上一篇:企业安全隐私合规体系建设经验总结(四) 引子 在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCP...

2020-02-04 19:26:00 1563 1

原创 安全合规--30--企业安全隐私合规体系建设经验总结(四)

本篇介绍:撰写数据隐私合规文件 本篇为第4篇/共5篇 上一篇:企业安全隐私合规体系建设经验总结(三) 下一篇:企业安全隐私合规体系建设经验总结(五) 引子 在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO ...

2020-02-04 19:22:53 3420 1

原创 安全合规--29--企业安全隐私合规体系建设经验总结(三)

本篇介绍:以恰当的合规机制实现数据跨国传输 本篇为第3篇/共5篇 上一篇:企业安全隐私合规体系建设经验总结(二) 下一篇:企业安全隐私合规体系建设经验总结(四) 引子 在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 2701...

2020-02-04 19:07:19 3156 1

原创 安全合规--28--企业安全隐私合规体系建设经验总结(二)

本篇介绍:创建数据保护合规制度 本篇为第2篇/共5篇 上一篇:企业安全隐私合规体系建设经验总结(一) 下一篇:企业安全隐私合规体系建设经验总结(三) 引子 在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO ...

2020-02-04 18:54:31 3854 1

原创 安全合规--27--企业安全隐私合规体系建设经验总结(一)

本篇介绍:一些关键概念 本篇为第1篇/共5篇 下一篇:企业安全隐私合规体系建设经验总结(二) 引子 在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合...

2020-02-04 17:53:34 4228 1

原创 移动安全--44--MobSF-v3.0beta源代码分析【长文巨献】

一、项目说明 分析日期:2020-01-17 源码地址:https://github.com/MobSF/Mobile-Security-Framework-MobSF 关于如何搭建源码分析环境,请阅读我的另一篇博客:MobSF移动安全框架实践–基于3.0beta版 移动安全框架(MobSF)是一...

2020-01-17 17:06:38 3816 9

原创 代码审计--34--Java代码审计自动化实现

准备:语法树和词法树 首先,需要了解一下语法树和词法树的概念,这是代码审计工具实现审计功能的根本。 简单举例介绍: 源码: const a = 1; const b = a + 1; 词法树与语法树解析: 它的词法树: [ { "type": &quo...

2020-01-06 20:08:00 474 0

原创 代码审计--33--NodeJS代码审计中常见的漏洞(二)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 template标签使用v-show指令...

2020-01-03 10:39:10 209 0

原创 代码审计--32--NodeJS代码审计中常见的漏洞(一)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 JavaScript劫持 9 跨站脚本X...

2020-01-03 10:13:08 470 0

原创 代码审计--31--数据库代码审计中常见的漏洞

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 命令注入 7 跨站脚本XSS 2 SQL...

2019-12-12 20:34:39 228 0

原创 代码审计--30--嵌入式代码审计中常见的漏洞(三)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 内存释放对象错误 7 迭代器尾部解引用 ...

2019-12-12 19:49:24 158 0

原创 代码审计--29--嵌入式代码审计中常见的漏洞(二)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 除数为零 6 常用的不安全函数 2 死循...

2019-12-12 19:28:29 178 0

原创 代码审计--28--嵌入式代码审计中常见的漏洞(一)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 迭代器使用不匹配 7 加锁未解锁 2 字...

2019-12-12 19:11:10 345 0

原创 代码审计--27--APP代码审计中常见的漏洞(二)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 不安全的信息传输置 6 不安全的RFCO...

2019-12-11 20:36:32 293 0

原创 代码审计--26--APP代码审计中常见的漏洞(一)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 SQLite注入 7 Android查询...

2019-12-11 20:14:04 214 0

原创 代码审计--25--Java代码审计中常见的漏洞(四)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 文件上传 8 固定的Session ID...

2019-12-11 19:38:15 231 0

原创 代码审计--24--Java代码审计中常见的漏洞(三)

经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 编号 漏洞 1 路径遍历 8 不安全的加密算法 2 Se...

2019-12-10 20:48:37 282 0

提示
确定要删除当前文章?
取消 删除