- 博客(128)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 安全工具介绍 SCNR/Arachni
Arachni Web Application Security Scanner Framework 看名字就知道了,针对web app 的安全工具,DAST+IAST吧。这个数据库要自己准备 ./bin/scnr_pro_task db:create db:migrate db:seed。解压 之后bin/scnr_activate KEY 来激活,可以申请30天试用,申请个trial key就行了。到这就可以cli直接扫描了,想搭建web 扫描的话需要运行bin/scnr_pro。
2024-03-21 13:56:51
765
1
原创 安全工程师说telnet
telnet 命令通常用来远程登录。telnet 程序是基于 TELNET 协议的远程登录客户端程序。Telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的 能力。在终端使用者的电脑上使用 telnet 程序,用它连接到服务器。终端使用者可以在 telnet 程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。
2024-03-14 14:40:57
538
1
原创 管理application的secret,在哪个level呢
level 0 hardcode everywhere 导出硬编码,写个代码里面各种token key password,这会是非常大的问题,代码传到git后就完成不受控了啊 谁都可能下载代码,然后这个secret就到处都是,想删都不知道去哪里删,坏菜不。谁在什么时候访问了,没有logging 没有audit,,不够安全。有secret managment,数据加密,,,,,,level-1 所有的密码都是password,这个比level-2 强点,但也没强到哪里去,随便一猜就能猜到了。
2024-03-13 15:39:03
444
原创 mobile app 安全扫描工具MobSF了解下
整体安全分数,发现漏洞数,app 信息,文件信息,app 组件,app权限,网络安全,certificate 分析,manifest分析。到这服务就起来了,直接去访问就行了,http://0.0.0.0:8000 不行就用。到静态页面,上传个apk 试试,就可以静态分析了。docker image 下载地址。dynamic 动态分析。static 静态分析。setup 两行即可。
2024-02-29 19:25:40
753
原创 代码保护 code protection
为了保护知识产权并让攻击者的利用更加困难,组织应该为其软件的逆向工程设置障碍(例如,反篡改、调试保护、反盗版特性、运行时完整性),增加攻击者分析和利用你的软件所需的投入。代码保护对于广泛分布的代码尤其重要,例如分布在浏览器上的移动应用程序和JavaScript。使用允许组织证明重要代码的来源、完整性和授权的代码保护机制(例如,代码签名)。有各种各样的混淆技术可用,包括重命名变量和函数、添加冗余或无意义的代码、更改控制流和加密字符串。不太关键的部分,如UI组件或实用程序功能,可能不需要相同级别的混淆。
2023-08-16 17:34:31
336
原创 portswigger lab:SQLI 盲注:利用conditional error
sqli lab 盲注 portswigger SQL注入,安全测试,burp
2022-08-17 23:48:37
357
The Challenges of Threat Modeling Modern Applications现代威胁建模的挑战
2022-03-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人