随笔分类 -  security

微服务安全问题
摘要:参考: https://cheatsheetseries.owasp.org/cheatsheets/Microservices_Security_Cheat_Sheet.html https://medium.com/microservices-learning/how-to-implement- 阅读全文
posted @ 2024-01-15 12:16 saaspeter 阅读(7) 评论(0) 推荐(0) 编辑
污点分析技术的原理和实践应用
摘要:摘抄一篇论文,原文的标题:污点分析技术的原理和实践应用 原文作者:王 蕾 1,2, 李 丰 1, 李 炼 1, 冯晓兵 11(计算机系统结构国家重点实验室(中国科学院 计算技术研究所),北京 100190) 2(中国科学院大学,北京 100190) 软件学报 ISSN 1000-9825, CODE 阅读全文
posted @ 2024-01-02 14:00 saaspeter 阅读(21) 评论(0) 推荐(0) 编辑
DevSecOps相关阅读材料
摘要:https://www.fooying.com/from_sdl_to_devsecops_security_in_dev/ 阅读全文
posted @ 2023-12-23 18:28 saaspeter 阅读(2) 评论(0) 推荐(0) 编辑
DevSecOps flow参考
摘要: 阅读全文
posted @ 2023-12-23 18:25 saaspeter 阅读(4) 评论(0) 推荐(0) 编辑
几个安全产品的UE参考图
摘要: 阅读全文
posted @ 2023-12-23 18:23 saaspeter 阅读(6) 评论(0) 推荐(0) 编辑
几个开发安全产品的设计
摘要:ASPM方面以下公司做的不错,而且可以参考其UI菜单的设计: 1. https://bionic.ai https://www.youtube.com/watch?v=02AjwgjeTxs https://www.youtube.com/watch?v=yTOcR0SxWJk&list=PLdim 阅读全文
posted @ 2023-12-23 18:21 saaspeter 阅读(61) 评论(0) 推荐(0) 编辑
Synopsys Software Risk Manager
摘要: 阅读全文
posted @ 2023-12-23 18:17 saaspeter 阅读(6) 评论(0) 推荐(0) 编辑
API Security参考
摘要:https://www.paloaltonetworks.com/prisma/cloud/web-application-API-security 阅读全文
posted @ 2023-12-23 18:11 saaspeter 阅读(7) 评论(0) 推荐(0) 编辑
设计规范,编程规范
摘要:编程规范: 名称 GB/T 39412-2020 信息安全技术—代码安全审计规范 MISRA C 2012 GB/T 34944-2017 Java语言源代码缺陷测试规范 GB/T 34946-2017 C#语言源代码缺陷测试规范 GB/T 34943-2017 C/C++语言源代码缺陷测试规范 S 阅读全文
posted @ 2023-12-23 18:06 saaspeter 阅读(138) 评论(0) 推荐(0) 编辑
反弹shell
摘要:copy from https://www.jianshu.com/p/2f1682081532 这篇写的很好。 01 nc netcat,简称nc,一款TCP/UDP网络连接的利器,可实现任意TCP/UDP端口的侦听,被称为“瑞士军刀”,可见其功能强大。 nc的选项较多,这里只介绍我们日常工作中可 阅读全文
posted @ 2023-10-23 09:23 saaspeter 阅读(61) 评论(0) 推荐(0) 编辑
关于网站定位问题
摘要:在网站的网页中更新位置,发现即便我用了proxy,该网站还是能给出我的定位?(即便我用了隐私窗口模式)。 1)关闭浏览器的定位功能,在mac系统中可以不让浏览器获取位置,这样该网站就不能获取定位了。 阅读全文
posted @ 2023-09-11 17:12 saaspeter 阅读(13) 评论(0) 推荐(0) 编辑
记一次crack wifi的测试学习
摘要:为了学习测试下crack wifi,参考了这篇文章:https://www.wikihow.com/Hack-WPA/WPA2-Wi-Fi-with-Kali-Linux (kali) 也可以参考:https://gainanov.pro/eng-blog/sysad/wifi-cracking/ 阅读全文
posted @ 2023-07-23 16:23 saaspeter 阅读(756) 评论(1) 推荐(0) 编辑
Java有BufferOverflow吗?
摘要:Since Java Strings are based on char arrays and Java automatically checks array bounds, buffer overflows are only possible in unusual scenarios: If yo 阅读全文
posted @ 2023-03-21 10:17 saaspeter 阅读(13) 评论(0) 推荐(0) 编辑
简单描述杀毒软件的运作方式
摘要:来自CISSP OSG Antimalware Software The vast majority of these packages use a method known as signature-based detection to identify potential virus infec 阅读全文
posted @ 2023-03-20 21:17 saaspeter 阅读(35) 评论(0) 推荐(0) 编辑
实现oauth2的时候别忘了state参数
摘要:state参数是oauth2中防止CSRF攻击的参数,用法是:service web先生成一个纯随机的state nonce,把state存到local browser中(cookie),然后加到url中,direct to 第三方站点认证,根据oauth协议,第三方站点会redirect back 阅读全文
posted @ 2023-03-02 11:16 saaspeter 阅读(474) 评论(0) 推荐(0) 编辑
权限模型RBAC, DAC, ABAC
摘要:在web系统中常用的权限模型有RBAC和DAC,而ABAC则多用于操作系统中的授权,硬件中的授权, 如:software-defined networking 。 RBAC:role based access control, 基于角色的权限控制,一般用户不被直接授予权限,而是通过Role过grou 阅读全文
posted @ 2023-02-27 23:35 saaspeter 阅读(286) 评论(0) 推荐(0) 编辑
国内公司对于安全的态度
摘要:最近媒体报道了国内一家企业的安全问题,遭到安全勒索,国内企业的回复是不给钱,不给钱是合理的,对方勒索是违法的。我就顺便看了这家国内网站的登录页面,也就简单看了下,没做任何登录动作,发现其有几处明显违背了安全开发设计原则的地方,很有可能被别有用心的hacker利用。于是我好心的发了一封不署名没有任何要 阅读全文
posted @ 2023-02-16 22:01 saaspeter 阅读(16) 评论(0) 推荐(0) 编辑
关于阿里Arthas的安全疑问
摘要:阿里有个很牛的工具Arthas,可以用来查看监控jvm中变量的值。但是我又个安全疑问: 但是我有个疑问想请教下:如果一台机器上的tomcat已经在运行了,假设这台机器还没有安装arthas,这时我用wget下载这个jar并安装启动,这时就能查看tomcat jvm变量中的值了,不用重启tomcat是 阅读全文
posted @ 2023-02-02 23:21 saaspeter 阅读(203) 评论(0) 推荐(0) 编辑
/proc/$pid/mem在linux上的安全风险
摘要:从https://man7.org/linux/man-pages/man5/proc.5.html和https://unix.stackexchange.com/questions/6301/how-do-i-read-from-proc-pid-mem-under-linux 可以知道linux 阅读全文
posted @ 2023-02-02 23:07 saaspeter 阅读(143) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示