随笔分类 - DevSecOps
摘要:雷池(SafeLine)是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。旨在提供卓越的安全保护。本文将带您一步步了解如何安装、配置和测试SafeLine,以及如何利用它保护您的Web应用程序。 一、在线安装雷池 在开始进行任何操作之前,需要确保你的系统符合以下最低配
阅读全文
摘要:账户安全 用户的基本概念 账户风险与安全策略 特权用户排查 # 不能包含root以外的UID为0的用户 awk -F: '($3 ==0){print $1}' /etc/passwd 文件系统安全 文件系统的格式 安全访问与权限设置 排查任何人都有写权限的目录 find / -xdev -type
阅读全文
摘要:一、系统安装 1.1 配置网卡为eth0 如下图所示: 点击Tab,开发kernel启动选项,增加net.ifnames=0 biosdevname= 二、系统配置 1.1 关闭NetworkManager和防火墙开机自启动 systemctl disable firewalld systemctl
阅读全文
摘要:什么是Prometheus? Prometheus是一个开源的系统监控和报警框架,其本身是一个时序数据库(TSDB),它的设计灵感来源于Google的Borgmon,就像Kubernetes是基于Borg系统开源的。 Prometheus是由SoundCloud的Google前员工设计并开源的,官方
阅读全文
摘要:XSS是什么 XSS攻击通常是通过利用网页开发是留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上可以包括Java、VBScript、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于
阅读全文
摘要:struts2漏洞 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上
阅读全文
摘要:域名(子域名)信息 Whois查询根据已知的域名反查,分析出此域名的注册人、公司地址、电话、邮箱、姓名等 子域名信息收集 subDomainsBrute layer 使用谷歌、百度等搜索引擎使用site:baidu.com等语法进行检索,查看其子域名信息。 https://fofa.so/ 域名检索
阅读全文
摘要:nmap Nmap是一款针对大型网络的端口扫描工具,尽管它也适用于单机扫描。在不同情况下,你可能需要隐藏扫描、越过防火墙扫描或者使用不同的协议进行扫描,比如:UDP、TCP、ICMP 等)。它支持:Vanilla TCP connect 扫描、TCP SYN(半开式)扫描、TCP FIN、Xmas、
阅读全文
摘要:什么是文件上传漏洞 文件上传(File Upload)例如:用户上传附件、改头像、分享图片、简历投递等。 文件上传漏洞是开发者没有做充足验证(包括前端、后端)情况下,允许用户上传恶意文件,这里上传的文件可以是木马、病毒、恶意脚本或者WebShell等。 测试环境 bwapp docker pull
阅读全文
摘要:MySQL简介 SQL注入的危害 手工检测是否存在注入漏洞 and 1=1 及and 1=2 | and '1'= '1 及 and '1' = '2 -0 / 单引号 ' 无论是str类型还是int类型都会因为单引号个数不匹配而报错,页面返回错误,则存在SQL注入 GET注入 源码 使用order
阅读全文
