摘要:
很久之前看到HACK学习呀有一个Github 安全搬运工的系列文章,个人觉得很不错,想要在自己的公众号上也做这方面的内容,内容的编辑排版相对来说比较容易,这样问题就回归到Github安全内容的获取上 这篇文章整体比较长,如果想直接使用的话可以跳转去仓库 https://github.com/Cl0u 阅读全文 »
发表于 2022-08-27 20:47阅读:1512评论:0推荐:1
发表于 2022-08-07 15:13阅读:2709评论:0推荐:0
摘要:
本文的内容大部分来自于2022北京网络安全大会上星舆安全实验室 - Kevin2600师傅的视频 车联网安全入门该部分应该会出一个系列,等待后续更新吧 前言 汽车HACKING是黑客学科的前沿领域之一,随着我们的汽车变得越来越聪明,它们使用了越来越多的电子元件,这也使它们变得越来越脆弱。 随着我们从 阅读全文 »
发表于 2022-06-23 16:13阅读:5557评论:0推荐:2
摘要:
安装环境 JDK 最好用JDK8,问就是坑太多了 Android Studio 官网安装即可,安装教程如下 https://www.runoob.com/android/android-studio-install.html 实际上还有一些杂七杂八的东西,后面遇到的时候再安装 编写第一个Androi 阅读全文 »
发表于 2022-05-21 16:17阅读:638评论:0推荐:0
摘要:
本文首发先知社区:https://xz.aliyun.com/t/11341 Bandit是一个用来检查python代码中安全问题的静态分析工具,它会处理各个各个源代码文件,解析出AST抽象语法树,然后对AST节点运行对应的插件,当Bandit扫描结束后会生成安全报告 项目地址:https://gi 阅读全文 »
发表于 2022-05-06 22:11阅读:1777评论:0推荐:1
摘要:
五一过后,春招就差不多结束了,今年的春招面过的小伙伴懂的都懂,铜三铁四orz,在没有大的技术突破之前互联网就业环境只会一年不如一年。然后因为我自己更想要留在川渝这边工作,觉得北上广深的生活节奏太快不适合自己这种慢性子的人,所以大部分也都面的是川渝的公司,360 oc之后就停止面试其他公司了,面经按照 阅读全文 »
发表于 2022-05-01 17:14阅读:3597评论:0推荐:1
摘要:
总结一下python里面常见安全问题,文章大部分内容来自MisakiKata师傅的python_code_audit项目,对原文进行了一些修改,后续会使用编写了规则对代码里面是否用到这些危险函数进行相应检测 SQL注入 SQL注入漏洞的原因是用户输入直接拼接到了SQL查询语句里面,在python W 阅读全文 »
发表于 2022-03-27 23:28阅读:1495评论:0推荐:0
摘要:
前言 在扫描一个网站的时候,在扫描的生命周期的不同阶段有一些信息是我们想要获取的:比如在一个网站的基础信息搜集之后,我们还想对它进行端口扫描;比如我们想要检测这个网站是否存在WAF,WAF的版本,如果存在WAF的话后续的扫描就不用继续执行了;又比如在获取了一个网站中的动态URL之后,我们想要得到JS 阅读全文 »
发表于 2022-03-13 00:54阅读:1320评论:0推荐:1
摘要:
我们在渗透测试的过程中,如果存在phpinfo界面,我们会想到什么? 大部分内容摘抄自:https://www.k0rz3n.com/2019/02/12/PHPINFO%20%E4%B8%AD%E7%9A%84%E9%87%8D%E8%A6%81%E4%BF%A1%E6%81%AF/ 关于phpi 阅读全文 »
发表于 2022-03-11 13:52阅读:2731评论:0推荐:2
摘要:
代码执行的危险函数 eval() 把字符串作为php代码执行 早期php一句话木马都用这个 <?php @eval($_POST['shell']);?> assert() 检查一个断言是否为false,将字符串作为php代码执行 同样经常被用作一句话木马 <?php assert(@$_POST[ 阅读全文 »
发表于 2022-03-03 13:43阅读:613评论:0推荐:0
摘要:
污点追踪概述 污点追踪是指分析项目代码运行过程中可能存在安全隐患或者受污染的数据的流动情况。 在代码自动化安全审计的理论中,有一个最核心的三元组概念,就是source,sink和sanitizer source 是指漏洞污染链条的输入点,比如获取http请求的参数部分 sink 是指漏洞污染链条的执 阅读全文 »
