dalerkd-优快云博客

原创博客目录

如果你想遍历我的博客，可以从这里开始

2017-06-23 18:11:20 625

原创实践计划进度etc.临时

2018年4月5日星期四 19:16今年开始大幅度的使用命令行版git来管理自己的项目，感觉不错。工作流。最近由于项目的需求，需要一种合适的工作流。计划采用Git工作流。对“异常”的理解更多了一些。会在未来的项目中在恰当的地方使用它们。使用标准C++的字符串处理很爽。。。还有gtest和gmock的学习。在某些情形下它的使用是必需的。2018年3月3日星期六 17:18工...

2016-02-14 19:18:06 1699

原创基础反病毒工具入门系列

工欲善其事，必先利其器.有时候对工具的使用甚至可以影响使用者思维

2015-09-11 16:25:02 1543

原创一场国际安全厂商的交流会议简记

今天参与了一场国际安全厂商组织的交流会议

2025-04-01 19:08:47 294

原创企业产品网络安全日志8月26日-威胁感知建设，三方漏洞升级

其中工作之一是打通AWS DNS Firewall 与 Security Hub。当发生威胁事件时，Security Hub能接收到情报通知。三方依赖组件漏洞升级，无论对于哪个公司都是一个挑战性的事情。逐步升级也是对现有产品的一个负责。今天跟部分基础服务开发进行深入沟通，了解了当前升级的挑战，特别是对稳定性的影响。一味的升级，其实在没有架构师规划的情况下，实际并不可控。两者不能直通，需要使用lambda进行触发。2 当前方法未触发风险，但未来可能触发的。就可以按照这个方向逐步升级或规避。

2024-08-26 22:14:29 590

原创企业产品网络安全日志0815——TLS升级不易验，iOS加固易疏忽

TLS升级不易验，iOS加固易疏忽

2024-08-15 22:35:16 238

原创企业产品网络安全日志0806

默认 method，查询字符串等会被屏蔽，你在日志中是找不到的。应该是为了隐私安全。启用方式依然是WAF面板配置日志CloudTrail的地方去掉你希望显示的所有共4个✓。采样：每一条WAF规则都会产生一个采样默认。你觉得是一个WAF，如果你有20条规则，到日志里就是20倍的量了。后果是：CloudTrail里数据量会暴增。特别是PutEvent的费用。

2024-08-06 21:10:57 394

原创企业产品网络安全建设日志0725

显然，这种说法是安全工作中的一个挑战。因为推动时间也蛮长了，做出了：只要升级一部分，易升级的组件即可。前天遇到的挑战是某后端部门排期出现问题，本应该做漏洞提升的时间被其他工作插入。测试团队需要进一步支持，因为组件升级，许可证升级以及后续的编码安全建立都是一串蚂蚱。基础的安全种子显然已经埋下。团队有人A提出，是否有必要按照某软件报的漏洞信息实施安全提升工作。我们的信息安全策略就是通过覆盖三防组件风险，降低我们产品自身的风险。特别是搬出来A之前在，其他企业的经验，即。安全宣讲和必要的沟通是无法回避的。

2024-07-25 23:51:24 381

原创企业产品安全建设日志0403

提项目延宕已久，从去年帮助其识别出该风险后，去年年底已经出了解决方案，比较漂亮的解决了该问题，特点是不需要客户端升级服务器升级就能完美切换。结果呢，最近项目方说服务器成功之后，还需要一个月时间。而且一个月还不能保证迁出。该项目是一个比较常规的安全要求，属于国外省ZF这种。解决：详细跟他们盘了一下他们的方案。发现他们竟然忘记了我去年年底设计的方案😭。这个是今天的主业，该项目出了相关安全要求文件为我们。只能跟他们复盘了一下，当时我的解决方法，项目方恍然大悟😎。关键点：方案实施出现不合理的时间。

2024-04-04 17:36:00 220

原创企业产品网络安全建设日志0402

包括它有没有公开的漏洞，它选用的依赖是否有缺陷，它的开发者是否活跃，相关组件维护成本，如果应急维护的话，是否有人掌握相关技能？预期有问题的主要是非常陈旧的设备，早期陈旧定制设备上的应用程序，可能不支持https，还有一些日志上传端口。跟开发梳理应用的上下游工作逻辑是非常有用的，发现根本不需要使用引用短链接组件，使用下游服务就能解决问题。目前在项目经理的助推下，各产品线都在排查自己的域名是否支持https，把成年老域名都给找出来了。此外，对于一些管理页面，也应当做到内网保护，也就是外网不能访问相关路径。

2024-04-02 23:25:32 604

原创企业产品网络安全建设日志0401

此外，还有一个挑战就是当安卓更新新版本的时候，我们需要follow这样才能保证我们的APP产品可以在新版google中兼容性最佳。当然，我这里还认为这种TOP1000这种兼容性测试应该由加固厂家进行，而不是让每个客户自己去测试。Y加固在aab格式上兼容性存在问题，特定机型会崩溃，厂家是以修复引擎的方式进行更新解决。我们这边的解决方案就是增加云测，但是国外的用车没有支持相关的自动化，需要进一步的开发。开发相关同学建议更换加固产品，但这并不能解决根本问题，即：无法验证兼容性的问题。经过基本的打探和初步试用。

2024-04-02 00:08:24 261

原创企业产品网络安全建设日志0328

主要发现了一些奇奇怪怪的问题，比如扫描到会把一个小端口，暴露出去。2 增加日志留存时间，捕获这种测试团队导致的事件，较短的WAF留存会导致难以识别出这种激增的情况。原因是我们设防的服务器是a服务器，它跟b服务器进行通信，而b服务器又直接跟a服务器进行通信。主要是在迁移某waf到测试环境的时候，测试团队很快就有反应了，发现了大面积的故障事件。这里面的主要的风险问题是有一些非常老旧的产品只支持http连接，这种都需要排查出来。所以有继续推进此事，通过拉起会议的方式，基本现在主责人通过一个项目的方式在推进。

2024-03-28 21:41:19 359

原创企业产品网络安全建设日志3月25

未经安全审核的上线动作，对企业的风险首先面临是外部审核的问题，一个企业有各种情况要接受外部的安全审计，各种受雇三方的机构会对公司旗下域名进行安全分析。所以我们采取的策略是设定一个基础的域名安全申请基线，让我们的域名少犯一些非常低级幼稚的错误，和安全风险，降低被第三方识别的概率。将最近由若干生产环境和测试环境日志分析出的冲突结果进行了汇总，基于汇总结果，今天对涉及到的策略进行了调整，并逐项验证通过。有加之最近A团队，像在线业务提交合并服务时，几乎能把能犯的错误都犯了一遍，被我们设计的安全系统给拦截了。

2024-03-25 23:19:37 328

原创企业产品网络安全建设日志3月20

今天主要以下几个事情。

2024-03-20 23:42:15 315

原创企业产品网络安全建设实录日报规划

为什么要做这个系列？因为太忙了，忙工作，忙家庭。很难再像之前一样能做到电脑前码一个小时的字，写半个小时的博客。但是现在的经验增长快速，有很多值得分享的点想想这平行世界里的我，实际上并不是每一个人都有这种机会，能有在企业产品安全建设的一线推动的经验你会分享些什么内容？我会试着以简短日记的方式分享当天/周发生的一些关键问题及我的解决策略，以及是否有更优的策略，安全产品体验，甲方谈判，可能涉及不同人的协调经验等等。

2024-03-19 23:54:03 273

原创当你发现你的服务器actuator服务暴露后

当你的服务器发现actuator暴露之后，是在将来被安全机构测试发现漏洞再甩你一脸的机会？还是彻底终结这一风险？

2024-02-24 20:46:26 620

原创手把手教你如何配置 AWS WAF 入门

AWS WAF：从基础入门，如何配置并利用AWS WAF保护你的服务器

2024-01-01 00:23:19 2236 1

原创 AWS Oracle WAF谁更好用?且看两者简评

根据亲身调配经验，介绍了AWS WAF、 OCI WAF两者的异同和难点，并提供方便大家进一步深入了解的文档索引

2023-12-30 22:23:06 1175

原创甲方与三方渗透团队的协作注意点

甲方安全团队主导渗透攻击需预备充分，还需要调和开发团队抵触心理，并在渗透报告后阐明安全愿景并推动开发安全提升工作

2023-11-15 22:05:15 258

原创我的2023一名云安全专员年度工作分解

云安全是的工作活跃的，主动的，是时候总结今年的历事了

2023-11-12 16:16:17 125

原创 AWS WAF实战、优势对比和缺陷解决

笔者为了解决公司Web站点防御性问题，较为深入的研究AWS WAF的相关规则。面对上千万的冲突，笔者不得设计出一种能漂亮处理冲突数据WAF规则

2023-08-17 23:12:42 1655

原创企业Web安全治理的十三个要点

安全治理的十三个要点

2023-08-17 22:13:20 442

原创企业安全建设实践[更新中]

本文回顾了我在企业安全建设过程中的一些经验和实践。我们需在许多方面下足功夫,比如风险评估方法的标准化、防御体系的构建、安全意识的培养等。如果本文对您有所启发或帮助,我将感到荣幸。

2023-07-23 22:44:44 268

原创驱动开发一周之程

最近一个机会，挑战从零搭建一个驱动保护项目，到实现一个会被大规模使用的项目.在项目基本完成之际，记录一下这段时光

2021-12-24 22:57:55 470

原创 Windows RPC 初体验

简要描述了按照 Windows RPC 官网例子走，笔者遇到的问题及解决

2021-09-28 23:24:27 917 1

原创 QT 自动化 UI 黑盒测试的挑战及解决

最近有一个需求是对QT UI 程序进行黑盒自动化测试

2021-09-26 22:36:15 1199 2

原创实操官方例子 Frida Hook EXE 以 printf 为例

直接自己写一个printf 然后 hook它,并且解决了 js 和 py 代码混在一起不能高亮的问题

2021-06-14 15:44:27 2877 1

原创 C# 事件链的简单例子-以坦克世界为例

以坦克世界中的炮弹对三种坦克的攻击为例，用C#的事件链来实现

2021-06-06 22:38:13 327

原创 Java代码转C++代码的几点小经验

C++ 和 Java太像了，其实翻译起来还挺爽快，但有些小坑知道了可能更好

2020-12-04 21:44:53 5564 6

原创给Node.js加个远程调试系统

有一种经常性的需求是: 在node.js程序工作的中间环境试验新的代码,而现有的调试系统不支持代码即时修改执行

2020-05-12 22:07:32 405

原创 Chromium编译全流程的实验手册

之前为了给学前端的女友准备一份了解前端之根本**浏览器原理**的教程, 仔细摸索了编译的整个流程.做出了一个实验手册,最终以修改一个默认浏览器的CSS样式为目的.这次分享出来.谢谢那些帮助过自己的友人.

2020-02-09 09:04:06 680

原创玩转状态转换机-附JS例子

本算法被应用在了程序员学英语项目中对缩小单词进行拆分的任务上. eg: `getElementById` -> `get element by id`为了更精确的对单词频率进行统计,产生了该需求.

2019-09-25 21:08:08 439

原创 Antlr入门0-1笔记:环境配置及各种错误的处理

这里记录了我在入门Antlr4过程中遇到的各种错误及解决办法.有些错误可是难住我一整天呢

2019-08-18 11:39:13 1774

原创实践:将现有Vue项目迁移成TypeScript 遇到的骚错误.md

因工作需要,将现有Vue项目中的JS向TS做了迁移,在这个过程中碰到不少坑.就顺带做了笔记.查找资料过程中发现相关错误描述与解决的中文资料很少.所以在这里分享给大家.其中涉及比较有意思的是:"对象和接口类型的传递"错误,这也是非常耗费我时间的一个错误.

2019-07-31 11:09:23 5108

原创 FreeNAS 无法创建存储池的解决方案

FreeNAS 如果要创建插件,需要先建立一个Pool.如图:No data to display.为什么没有硬盘可以选择.我也是百思不得其解.但最终猜测其NAS系统的Jails需要多个盘:或者多个分区.就解决了.解决方案:加一个硬盘即可推测原因是: NAS系统需要另一个硬盘来处理插件数据等.我的是VMWare虚拟机所以添加一个新的虚拟盘即可.这里就会显示出硬盘来了....

2019-07-20 10:26:19 9721 1

原创玩转原生Promise

几个小时前我对Promise一无所知,几个小时后已经可以快乐的写代码了.如果再让我写异步代码,我会首推Promise.可见Promise十分简单而且必要.

2019-06-24 15:51:58 282

原创读书笔记-《操作系统真象还原》-第0章一些你可能正感到迷惑的问题

我非常推荐大家阅读《操作系统真象还原》。因为知识量大，我的阅读方法是笔记做的非常完整…文章目录操作系统开发全记录学习开发操作系统的意义学前疑问代码参考第0章一些你可能正感到迷惑的问题3 写操作系统,哪些需要我来做4 软件是如何访问硬件的?硬件的两类通信方式访问外部硬件的两个方式5 应用程序是什么和操作系统是如何配合到一起的?6 为什么称为"陷入"内核7 内存访问为什么要分段 ?...

2019-06-08 15:26:13 1147