摘要:
DevSecOps资讯汇编 第四期 2019年10月30日 + "浅谈企业 DevSecOps 实践: 安全测试集成" + 这篇是收录在第三期Enterprise DevSecOps: New Series 文章的中文译文。目前已有三个篇章 + "DevSecOps: Embrace DevOps 阅读全文
摘要:
APP密码算法通用分析方法 + 在APP测试过程经常会遇到报文被加密的情况,之前在大部分的情况,可能需要进行脱壳,逐行分析代码,获取算法,编写解密的程序(工具)—— 适用于任何情况下的万能解法。 + 因为过程实在是有些繁琐,文章里是我尝试分析app加密算法的一些取巧的方式,可以进行尝试。 密码算法介 阅读全文
摘要:
DevSecOps资讯汇编 第三期 2019年10月16日 + "10 Books Every DevSecOps Enthusiast Must Read | 每个DevSecOps爱好者必须阅读的10本书" + "2019加速度 DevOps 全球状态报告 中文版" + 介绍报告的第四节第二部分 阅读全文
摘要:
DevSecOps资讯汇编 第二期 2019年 9月26日 + [OpenRASP v1.2.0 正式发布 | 发布DevSecOps轻量级解决方案,Java内存占用减少一半]( https://mp.weixin.qq.com/s/geGO8klz_a6TNLNNtW9dyg "OpenRASP 阅读全文
摘要:
管中窥豹——框架下的SQL注入 Java篇 背景 + SQL注入漏洞应该算是很有年代感的漏洞了,但是现在依然活跃在各大漏洞榜单中,究其原因还是 数据 和 代码 的问题。 + SQL 语句在DBMS系统中作为表达式被解析,从存储的内容中取出相应的数据, 而在应用系统中只能作为数据进行处理 。 + 各个 阅读全文
摘要:
DevSecOps资讯汇编 第一期 9月12日 + [What Is GitOps and Why It Might Be The Next Big Thing for DevOps (GitOps是什么以及为什么会成为DevOps下一个重点)]( https://thenewstack.io/wh 阅读全文
摘要:
管中窥豹——框架下的SQL注入 Java篇 背景 + SQL注入漏洞应该算是很有年代感的漏洞了,但是现在依然活跃在各大漏洞榜单中,究其原因还是 数据 和 代码 的问题。 + SQL 语句在DBMS系统中作为表达式被解析,从存储的内容中取出相应的数据, 而在应用系统中只能作为数据进行处理 。 + 各个 阅读全文
摘要:
以安装awvs的ubuntu镜像为例 docker pull ubuntu // 获取ubuntu镜像 docker run -it --dns 223.5.5.5 -v /home/devsecops/devsecops/tools-share/:/opt/share/ ubuntu /bin/b 阅读全文
摘要:
在一次测试中偶然遇到一个https双向认证的手机app(fiddler抓包提示需要提供客户端证书),平时一梭子能搞定地抓包姿势没有效果了,本着所有客户端发出的数据都是操控的想法,决定搞一搞,无非是采用什么方式的问题。双向认证只要拿到客户端加密的私钥证书就行了。 很不巧,手机app被加壳了,基本上告别 阅读全文
摘要:
2018/01/14 建立提纲 2018/01/15 更新了1,2两部分的部分内容 2018/01/23 调整了顺序,编写了内容 2018/02/02 完成了XSS Vector一章的编写以及浏览器解析的部分内容 2018/02/14 基本完成浏览器解析一章节 2018/02/22 基本完成 201 阅读全文