- 博客(142)
- 资源 (4)
- 收藏
- 关注
RSS订阅
原创 浅谈系列之DevSecOps(一)目标及优点
一、DevOps目标 说到DevSecOps就不得不提DevOps,后者的目标是提升整个研发效能,进行更便捷、更快捷、更可靠的交付,从而提高产品竞争优势。DevOps模糊了以往研发模式中开发、测速、运维等岗位和角色的界限,加强了他们之间的协作,甚至鼓励将各个角色从传统的专家团队的组织结构,重新编制成全功能团队,用以加强协作。 技术层面通过流水线和一系列自动化机制、成熟的可伸缩的基础设施(如云)等,使开发人员获得更高的效能,从而更加频繁且快速地将代码变为产品,并从这种快速中获得...
2022-02-04 23:44:46
2194
原创 浅谈系列之CSRF攻守之道
浅谈系列之CSRF攻守之道本文涉及简称:Session:在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息;Cookie:储存在用户本地终端上的数据帮助,用户实现记录用户个人信息;URL:统一资源定位符,程序上用于指定信息位置的表示方法,可以理解为大家口中常说的网址;Token:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一、CSRF原理回顾 我们简单回顾一下CSRF的概念,王麻子盗用你的身份,用你的名义发送恶...
2021-12-05 21:09:49
595
原创 闲谈安全测试左移三板斧
1、背景 我在闲谈自动化应用安全测试工具中提到这么句话“如果能将安全融到DevOps里,又不影响现有的状态,那当然是最好不过了”,这个时候你可能就有疑问了,现有的安全测试模式是怎样的,为啥要做改变呢?为啥非要融到DevOps里面呢?我们来盘盘安全测试几大经典痛点。 DevOps的终极目标:提升软件交付的质量內建以加速流程。那么问题来了,这里的质量侧重点在功能,在于功能能用,好用。那么交付物的安全要如何保证呢?以前基本都是在程序/软件上线后,对其进行渗透、漏扫等待工作,来排除一...
2021-06-28 06:59:43
763
2
原创 hacker远程控制的艺术之fastjson-1.2.47利用原理分析
前言 Fastjson是咱们中国人发明的一个Java库,来自阿里巴巴的温少,它可以把Java对象转换为Json格式,同时,它也可以把json字符串转换为Java对象。它可以操作任何的Java对象,即便是一些预先存在,但没有源码的对象。正是因为这一点,给了安全界大佬们可乘之机,自1.2.24版本开始,温少就一直和他们不断斡旋,打着回合战。修复一个版本,过没多久又来一个绕过,攻防过程好不精彩。 截止今天现在2020.11.15 22:30,已经更新到1.2.75版本了,在此版本之...
2020-11-19 10:45:55
758
2
原创 五虎上将图之iptables详解
【简介】 官方曰:ptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Since Network Address Translation is also configured from the packet filter...
2020-07-20 18:15:00
678
原创 神奇的三次握手和四次挥手详解
【前言】 其实早在一年前的这段时间我有写过一篇类似的文章,后来因为要忙毕业,此文就只写了三次握手,也没有后续更新了。过了这么久,今天再来回忆回忆,把文章补充完整吧。【相关的一些名词】报文:是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息TCP:传输控制协议(Transmission Control Protocol)是一...
2020-03-22 23:27:30
2931
原创 HTTPS建立连接详细过程
一、客户端发起https连接 当用户在浏览器(后文称作客户端)地址栏敲击https://www.scwipe.com时,浏览器去到dns服务器获取此url对应的ip,然后客户端连接上服务端的443端口,将此请求发送给到服务端,此时客户端同时将自己支持的加密算法带给服务端;二、服务端发送证书 在讲这一段之前插播一条小知识点:私钥加密的密文只有公钥才能解开;公钥加密...
2020-02-17 18:19:46
16782
5
原创 浅谈应用安全之S-SDLC和DevSecOps(一)
有人的地方就有江湖,有江湖的地方就有争论,豆花是甜的好还是咸的好?S-SDLC好还是DevSecOps好?
2023-05-01 14:32:28
979
1
原创 浅谈系列之服务器端请求伪造(SSRF)
一、SSRF简介 SSRF,英文全称Server-Side Request Forgery,服务器端请求伪造。通俗来说,是坏家伙通过构造的一串特殊话术,哄骗站点背后的服务器,发起特殊请求的一种漏洞。一句话总结:利用一个可以发起网络请求的服务,利用服务背后的服务器当跳板,实现各种公积。二、SSRF基本原理 在辽阔的互联网上搜寻了一圈,大家翻来覆去都是同一句话,“由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。”这句话说的倒也没错,我个人的理解是,...
2021-11-07 15:35:37
585
原创 浅谈系列之跨站请求伪造(CSRF)
一、CSRF简介 CSRF,英文全称Cross-Site Request Forgery,跨站请求伪造,坏家伙冒充用户身份执行用户操作。百度上是这么说的:是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的方法。 简而言之就是,坏家伙盗用你的身份,用你的名义发送恶意的请求。突然想到几个成语,CSRF似乎都有点狐假虎威、借刀杀人的味道。二、CSRF的危害 坏家伙可以用你的名义发邮件、发消息、买东西、转账......甚至,能假借你的名义进行一系列...
2021-10-31 20:56:03
366
原创 浅谈系列之跨站脚本攻击(XSS)
一、XSS简介XSS,英文全称Cross Site Scripting,翻译过来就是跨站脚本,本应该写作CSS,但是为了和层叠样式表(Cascading Style Sheet)有所区分,所以改写为XSS。二、XSS攻击基本原理跨站脚本攻击顾名思义是通过脚本来完成攻击的,也就是通过将恶意的Script代码通过某些方式插入Web网页中,当用户访问这个网页的时候,插入的恶意Script代码就会执行,从而实现攻击的效果。个人总结XSS攻击四步曲:1、攻击者在正经url后某个参数中添加...
2021-09-18 07:39:13
993
原创 闲谈安全测试之IAST
前言 在之前的文章谈到的安全测试所在的三个阶段,并大概分析了三个阶段对应技术的优劣势,但是IAST那块因为内容太多并没有铺开来说,今天将着重来谈谈这个在安全测试里举足轻重的一员。一、简介 IAST,全称是“Interactive application security testing”,翻译过来叫交互式应用安全测试,是一个能自动识别判断应用和API漏洞的一种工具,或者说一种技术。1、产品上线前闭环漏洞 传统的漏扫工具是在应用上线后,对http(s)请...
2021-07-08 23:17:31
1692
1
原创 闲谈自动化应用安全测试工具
一、频发的安全事件 道哥曾说过,互联网本来是安全的,自从有了研究安全的人,就变得不安全了。2020年7月,美国著名电子设备制造商佳明Garmin遭遇勒索软件攻击,许多在线服务受到了影响,全球的Garmin用户无法同步自己的运动和健康数据,最后被迫支付了1000万美金花钱消灾; 2021年5月,美国最大输油管道商Colonial Pipeline遭遇勒索软件攻击,暂停运营,最后被迫支付了500万美金了事;二、DevSecOps 软件的快速发展和应用,不仅带动了时代的发展...
2021-06-23 07:22:08
435
2
原创 SQL注入之union联合注入
特别申明本文章仅供学习使用,其余利用本文章内容进行的任何行为与本人无关!做任何渗透操作前,请一定三思,做个遵纪守法的好公民!简介在初见SQL注入提到三种分类方式,其中一个是根据注入是否有回显来进行分类,本文将详细讲解有回显这类的注入方式。有有回显的注入,顾名思义,程序会将后端执行SQL查询语句的结果,返回显到页面中,通过各种巧妙的方式让各种你想要知道的关键信息显示在页面中。有回显的注入常见的有联合注入和报错注入,本文将详细讲解union联合注入。正文...
2021-06-12 21:21:39
3469
7
原创 初见SQL注入
前言在《OWASP-TOP10之注入》一文中讲了注入的出现原因:一个恶意输入是,并且应用程序并未判断为无效输入或者说并未进行拦截和过滤,这时候注入漏洞就出现了。那么本文要讲的sql注入,就是针对数据库的一个恶意输入。一、定义SQL注入是什么呢?百度曰:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到
2021-06-05 00:33:21
268
1
原创 OWASP-TOP10 之 注入
注入,汉语解释为泵入、灌入或流入。站在应用程序的角度来说就是输入,如果这个输入是恶意的,并且应用程序并未判断为无效输入或者说并未进行拦截和过滤,这时候注入漏洞就出现了,OWASP的官方解释可以见这里,http://www.owasp.org/index.php/Injection_Flaws。注入漏洞的攻击向量 在概述中我就有描述过攻击向量,用来描述攻击者的攻击路径(方法),那么注入的攻击向量是什么呢?一般指的是恶意攻击者可以进行控制或者进行输入的每一个地方。注入漏洞一...
2021-05-05 20:10:37
617
4
原创 sql注入和xss注入有什么不一样呢?
在OWASP Top10中注入排在第一位,xss排在第七位,那么问题问题就来了,sql注入和xss注入都是注入,为什么要单独把xss单独拿出来排个名呢?他俩到底有啥区别,各自的特点是啥?本文不对它俩做详细的讲解,后续会出详细讲解的文章,本文仅从概念、注入方式、危害三个方向进行对比。概念简介sql注入百度曰:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来
2021-05-01 19:30:28
3993
1
原创 OWASP-TOP10解读之概述
OWASP全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。 圈内有这么一句话,“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了”。还有这么一句话,“这世界上只分两种公司,一种是被黑过,另一种是被黑了还不知道的”,那么你公司是哪种呢?随着互联网的爆发,安全漏洞也连年增长,2020年NVD漏...
2021-04-28 23:15:33
1224
原创 Kali Linux2021.1安装详细教程
特此声明本文仅供学习kali 2021安装,其余使用kali导致的任何违法违规行为与本人无关!江湖上有句传闻--“只要kali学的好,监狱就能蹲到老”,这句可真不是一句瞎话,所以当你使用kali进行“某些”操作的时候,一定要三思而后行,要做个遵纪守法的好公民!前言那年夏天,在Hard Target的带领下和六个小伙伴一起成立了我们学校的网安实验室,第一次接触到kali,印象非常深刻的是当时Hard Target用kali上集成的sqlmap,成功拿到某站点的账号密码,从那以后便深深的迷上了kal
2021-04-27 23:40:18
11702
8
原创 HTTP协议详解(一)
前言 在之前的博客里有说到tcp/ip、https是什么、https如何建立连接、三次握手四次挥手,但是似乎就是没有对http展开详细讲解,那么今天这就来细细品下http吧。HTTP的前世今生 英文名为HyperText Transfer Protocol,缩写:HTTP。中文名叫超文本传输协议。 1989年,CERN(欧洲核子研究组织)的蒂姆·伯纳斯·李(Tim BernerLee)提出了一种能让远隔两地的研究者们共享知识的设想。最初设想的基本理念是:借...
2021-04-03 12:08:56
323
原创 hacker远程控制的艺术之fastjson1.2.47漏洞利用
前言 Fastjson能将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。从一出生到现在,几乎凭阿里巴巴温少一己之力在维护着,从1.2.24版本到现在,一直和各路白帽/黑客进行着拉锯战,不同版本有着不同的漏洞利用点,今天我着重复现1.2.47版本的漏洞,本文会大致讲解利用过程和原理,至于源码层次的原理实在太多,之后有空单独出一篇文章。 这里有个小插曲,我复现洞后,告诉开发同学这个消息,被问了句,既然只要升级版本的话,你跟我说就好...
2020-11-06 16:32:00
543
原创 CentOS 8系统时间校准
前言 最近发现我的Centos8总是出现时间不对劲,于是乎,去yum install ntpdate,发现竟然没有这个包,如下图一所示。以为自己忘了安装epel源,奈何安装后还是这样,莫不是centos又升级了?改了什么东西? 去了神通广大的某搜索平台万里挑一发现了一篇可行的文章,告知CentOS8去掉了ntpdate,改为了chrony这个东西,下面开始教程吧正文 首先进到/etc/chrony.conf里面,添加如下两行,如图二所示server 210.72.145.44
2020-11-04 11:30:24
3794
3
原创 hacker远程控制的艺术之Shiro反序列漏洞利用
前言过去的几个月里,发生了太多的事,导致多日未更新,不过,却发现粉丝不减反增,让我甚是感慨,感谢各位的关注,话不多说,开干。近日,由于种种不可描述的原因,扫到个Shiro反序列化漏洞,于是乎开始研究如何复现,便有了下面这篇文章,我将会从以下几个方面进行展开讲述:1.Shiro反序列化漏洞是什么;2.如何复现shiro反序列化漏洞;3.如何修复Shiro反序列化漏洞;Shiro反序列化漏洞是什么?我们先来了解下Shiro是什么吧,百度曰:Apache Shiro是一个强大且易用的Java.
2020-10-27 11:26:40
1127
原创 Nginx平滑(不停服)升级、openssl模块添加
【前言】前段时间扫描出来发现线上业务存在Heartbleed漏洞,听着名字挺瘆人的。百度老哥告诉我,这个是OpenSSL在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),会导致攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露,在后面的升级版本中得以修复,看来我们使用的版本还是处于低版本,于是乎就需要升级OpenSSL。因为种种原因,我们必须要手动在nginx中添加此升级后的模块,
2020-08-20 11:51:51
861
原创 CentOS LVM扩展已有磁盘
【前言】 干运维一年以来,已经遇到好几次需要扩展目录空间的情景,每次都是同事帮忙解决,这次花一点时间了解下。在某搜索引擎上查阅大量资料以及咨询大佬们的帮助下,有了点自己的小小的理解,如有不对,还请各位指出~【相关名词】 在进行步骤之前,先来了解几个名词,在Linux存储系统中,有以下概念名词:物理存储介质: 系统的物理存储设备,也就是常说的磁盘/硬盘,在linux系统中查看标识如:/dev/sda、/dev/hda等。物理卷(Physical Vo...
2020-07-03 16:44:49
1857
3
原创 基于OpenSSL的CA建立及证书签发(签发多域名/IP)
自签SSL证书(多域名/IP)本文基于以下环境:内核信息:Linux zabbix 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux系统版本:CentOS Linux release 7.6.1810 (Core) OpenSSL版本:OpenSSL 1.0.2k-fips 26 Jan 2017【前言】在基于OpenSSL的CA建立及证书签发一文中(后面统.
2020-06-09 10:06:20
3542
1
原创 Python3合并多个csv为一个文件不同sheet
因业务需要,现在需要每半小时抓取haproxy相关数据,并合并为一个表格,话不多说,代码如下,你需要安装pandas和openpyxl包# 安装用到的模块如下pip install pandaspip install openpyxl#!/usr/bin/env python# -*- coding: utf-8 -*-import pandas as pdimport o...
2020-04-16 14:58:30
2752
原创 基于OpenSSL的CA建立及证书签发(签发单域名/IP)
【前言】 说来惭愧,干了快一年的运维,能力还是很欠缺,前些天因为ToB项目需求,需要用nginx搭建一个正向代理,研究了一番,在本地环境搭建一套七层代理,请移步这里查看。自认为理解了,其实不然,真正到ToB客户环境搭建的时候还是无从下手。听我扯了这么多,这些和本文有什么关系呢?当然有,这个七层代理的是https,中间人代理的话,就需要用到自建CA证书,那么问题来了,CA证书是什么呢...
2020-04-15 15:09:54
3808
7
原创 SFTP搭建
SFTP搭建【前言】前段时间被告知需要搭建一个sftp,用来和tob客户进行文件传递,虽然不是很紧急,但是最终还是得弄出来,由于最近一直在忙另外两个项目,一直没时间搞,直到这两天稍微有点时间,之前确实仅仅局限于了解,并没有动手搭建,估记录一下。【SFTP简介】各位看官老爷对FTP应该不陌生吧,文件传输协议,TCP/IP协议簇之一,用来进行双向传输文件,前端时间刚刚写过HTTP和HT...
2020-04-12 23:31:01
519
1
原创 SSL数字证书之CA根证书、CA中间证书和SSL证书
【前言】 说一下大背景吧,我们的一个后台服务需要部署在一个没法上外网的环境,但是我们的后台服务需要访问七牛云进行对象存储,于是乎,需要一个代理来完成这个访问,我门采用nginx七层来做这个代理,因为七牛访问是https,那么必然就需要自签证书咯。然后就开始吭哧吭哧造自签证书(具体签发过程请移步这里:基于OpenSSL的CA建立及证书签发)。 造完根证书以及中间证书后...
2020-04-10 10:17:44
6134
7
原创 Linux日常小操作之rpm命令
【前言】 最近,因为给tob客户安装中间件的时候需要编译一些东西,但是由于对方给的权限太小了,以至于都不允许我编译,那么就用rpm包来进行操作吧,虽然到现在为了保护自己,我已决定不再进行过多的其他操作,下这个决定之前发生了太多太多闹心的事,等有时间再单独来一篇文章说说事情的来龙去脉吧。今天单独讲rpm的一些操作命令。【正文】rpm我们常常用来对rpm包进行相关操作rpm...
2020-03-28 15:49:20
406
原创 Linux(CentOS/Red Hat)中使用yum安装保留安装包
【前言】最近需要给ToB客户部署东西,很多中间件他们都没有,并且告诉我他们的机器不能去广阔的互联网冲浪,于是乎问题来了,如果有网,咱们缺啥依赖包咱就yum install就好了,但是他们这个环境,那就只能自己去找咯,你可以选择去阿里镜像站找(点击即可跳转),也可以选择在自己可以上网的机器上yum下来依赖包,废话不多说,开干~【正文】我这边用的是redhat和centos,他们默认的是y...
2020-03-27 09:53:24
778
原创 修改linux中的pip源为清华
windows在C:\Users\用户名\pip\pip.ini中添加这一行,保存即可 [global] index-url = https://pypi.tuna.tsinghua.edu.cn/simpleLinux中如此操作,先升级pip为最新版本,再改源 pip install pip -U pip config set global.index-url...
2020-03-25 16:09:12
2874
原创 linux日常小操作之根据时间过滤日志
开始我用grep命令直接过滤今天的日期,发现信息不全,原来grep是通过对每一行进行扫描,有这个指定过滤字符的就过滤出来,它才不会管你中间是不是有其他的信息,所以用sed会更合适点,可以过滤出从指定的开始字符所在行到指定的结束字符所在行中间所有的内容。具体操作如下:sed -n "/2020-03-24 00:00:00/,/2020-03-24 17:30:00./p" ngi...
2020-03-24 17:48:50
2360
1
原创 对HTTPS的思考之HTTPS如何做到数据传输安全的呢?
本文主要讲述了我的两点思考:1、HTTPS凭什么保证数据的传输安全2、为什么要使用混合加密的方式【前言】 前段时间被同事问到一些安全相关东西,问题是这样的:我们的软件做了哪些安全相关的工作呢?我的回答是:1、采用了HTTPS加密协议,防止被截取数据进行分析;2、做了数据校验,对发送过来的东西进行过滤,以防被sql注入等;3、限流策略;之后要是有必要的话,我们还可以上个w...
2020-03-18 16:11:40
1497
2
原创 SUSE 12 编译安装openldap 2.4.40(centos redhat也适用)
之前出过一篇OpenLDAP2.4.40rpm安装和配置(点击就能过去看),rpm看起来固然简单方便,但是缺少依赖搞起来很难受,最关键的是,还要删除之前的自带的不同版本的openldap,这样会导致yum命令不能使用,一定程度上来说并不合适。所以,我又开始发掘编译安装的路子,话不多说,开炮!!!啊不,开干~安装环境:SUSE Linux Enterprise Server 1...
2020-03-11 18:43:04
822
原创 关于跨域的那些问题及解决办法
首先我们先来了解一下跨域到底是什么,从字面意思来说,就是跨了域名,在不同的域名直接访问,通信是不通的,具体规则如下图所示。跨域解决方案1、 通过jsonp跨域2、 document.domain + iframe跨域3、 location.hash + iframe4、 window.name + iframe跨域5、 postMessage跨域6、 跨域资源共享(CORS)...
2020-03-10 17:14:33
466
zabbix_agent_script(3.0.4).sh
2020-05-15
SUSE-SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.txt
2019-11-19
suse_installer_update-sle12sp3-x86_64-1.0.txt
2019-11-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人