自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

wanwan的博客

  • 博客(8)
  • 资源 (1)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 安全建设思考

在安全部门待了几年,一直按部就班,看到很多大咖的分享,也没有什么进一步往下行动的想法,因为大咖 的分享,无非是他们做了哪些,对一些模型的解读,如SDL、devsecops; 都没有给到更多的触动,接下来应该怎么做,做什么。后来加入到一些讨论群(一级潜水运动员),能经常看到大家在群里讨论一些东西,一些选型交流、文章文档分享。至少知道业内大家都在研究什么。 前段时间去和一家电商的安全人聊过,一方面把他们目前部门的情况摸清楚了。二面的面试官就比较犀利,一来就问我第一家公司做的产品具体叫什么名字,讲...

2021-11-25 17:29:56 146

原创 Dependency-track -(1)安装

一、安装/初始化首先在拉取的时候就出现了问题。官方文档提供了3种方式:Quickstart (Docker Compose)# Downloads the latest Docker Compose filecurl -LO https://dependencytrack.org/docker-compose.yml# Starts the stack using Docker Composedocker-compose up -dQuickstart (Docker Swa

2021-09-06 17:46:19 2051 1

转载 SDK与API

SDK 就是 Software Development Kit 的缩写,翻译过来——软件开发工具包。这是一个覆盖面相当广泛的名词,可以这么说:辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK。那么API与SDK有什么区别?可以把SDK想象成一个虚拟的程序包,在这个程序包中有一份做好的软件功能,这份程序包几乎是全封闭的,只有一个小小接口可以联通外界,这个接口就是API。SDK=放着你想要的软件功能的软件包API=SDK上的接口...

2021-09-02 15:41:38 170

原创 PGSql注入tips

1、postgresql支持堆叠查询,所以可以加入分号之后执行下一条语句,所以在注入的时候可以用 select * from a where b='注入点';select pg_sleep(10);-- 这样会有10秒的延迟,可以利用这点去盲注PostgreSQL2、php pdo 支持exec()、query()、execute()执行函数。其中exec可执行多条语句并...

2018-09-19 10:33:13 1041

原创 齐博CMS1.0全版本的sql注入漏洞

详见:http://dingody.iteye.com/blog/2195864这里只说一下最后的利用,还是使用原作者指出的那个注入点,虽然value值保存在了两个sql语句里面,这两个语句的列不一样,如果利用第二个语句,会在第一个语句的时候报列不一致的错误;尝试利用第一个语句。我构造的语句是  1' union select password from qibosoft_members;#这里最...

2018-04-03 11:36:29 3442

原创 齐博1.0全版本后台getshell漏洞复现

思路整理并详细说明了一下01用户登陆判断的地方admin/global.php在用户不存在地方呢执行了一个eval():eval(base64_decode("Y$webdb[_Notice]"));该参数打印出来:copy("http://www.php168.com/Notice/?url=$webdb[www_url]",PHP168_PATH."cache/Notice.php");将一个...

2018-04-02 19:43:24 1907

原创 齐博1.0老版本的变量覆盖与命令执行漏洞。

齐博1.0老版本的变量覆盖与命令执行漏洞。详见niexinming的博客:http://blog.youkuaiyun.com/niexinming/article/details/53153629此处主要记录一下思路;首先,fujsarticle.php中,在中部有一个请求加载其他文件require_once(dirname(__FILE__)."/global.php");,在require_once前后...

2018-03-21 11:00:03 751

原创 记一次网站渗透乌龙引发的头脑风暴

一次实战,网站为www.aaa.com。进入网站主页,会发现一个登陆框,只有用户名和密码。1、首先用admin/admin尝试一下,惊喜,居然登陆成功。但仍然在网站主页;主页溜达一圈之后发现,全是静态页面,完全无可操作的地方。主页上还有另外两个入口,一个是邮件系统,查了一下,是专门厂商做的,放弃爆破,直接放弃;一个是另外一个系统,有点像后台管理,使用admin登陆失败,爆破失败。2

2017-09-18 16:33:32 709

数据结构练习题
数据结构课程(C语言)清华大学出版社 练习题,可作为期末习题

2013-03-29

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除