- 博客(10)
- 收藏
- 关注
RSS订阅原创 cobra自动化批量扫描git代码仓库
背景最近调研了一些开源的白盒的代码安全扫描器,其中就包括了之前比较出名的cobra项目。看了下这个项目的情况,该项目最近一次更新是在2年前,目前项目基本已不维护。仅支持PHP的AST分析和基于此的一些策略,其他语言的规则完全靠正则表达式匹配关键词,误报率较高。看了下网上很多文章说创宇的404大佬重写了 cobra AST部分,新的项目是cobra-w,cobra-w的误报率会比之前的老项目有不少优化。但是cobra-w可能由于作者的技术栈和侧重,完全去掉了java相关的规则。由于我司的语言技术栈没有php
2021-04-04 14:14:12
1450
原创 解决maven依赖组件升级遇到的2个小坑
简单说两句今年公司开始推进软件依赖组件的漏洞修复,结合内部的CI/CD流程开发了SCA系统,并以此推动组件漏洞的升级工作。在推进修复过程中,java的maven构建管理的项目总是会有开发同学遇到各种各样的小问题。下面就列举其中我遇到的2个小问题,以供遇到相似问题的同学参考。(2020.2.2 春节后疫情中的通州)开始正文基础知识普及什么是maven?Maven 是一个项目管理工具,可以对 Java 项目进行构建、依赖管理。Maven 依赖管理pom.xml 的 dependencies 列表
2020-09-30 17:23:56
5153
原创 分享一个wiki敏感信息扫描工具
背景日常的安全运营中总是发现很多开发的同学将代码片段和一些技术文档在企业内部搭建的wiki中进行记录,其中经常会包含一些密码、数据库连接字符串、认证token之类的敏感信息。而这些文章往往是public的权限任何wiki普通用户都可以浏览到,因此带来了极大的内部安全风险。一旦黑客获得其中一个员工的账号权限进入内网,wiki往往是获得大量可用敏感信息的首选途径,因此减少public权限的公开敏感信息就尤为重要。另外账号的暴露也不利于内部的安全审计,账户、口令被员工获取后恶意利用,进行未授权的访问,增加了企业
2020-08-08 17:06:23
4655
6
原创 OpenRASP 初探(三)之 IAST
前言Openrasp 初探系列最后一篇,前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署,感兴趣可以移步:OpenRASP 初探(一)之项目介绍、OpenRASP 初探(二)之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。(2020.5.4 京东通州大运河畔)一、IAST 简介其实在第一篇中也介绍过 iast 的一些技术背景,这里再作下补充,以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起
2020-06-06 12:25:13
3105
原创 Nginx/OpenResty内存泄漏/目录穿越漏洞复现
前言最近一直在忙cissp的备考,好多前阵子做的一些技术调研没来得及整理成文章发出来,为了坚持每月至少一篇的更新,这次发的质量稍微水一些。前阵子Nginx/OpenResty爆出了2个漏洞,一个内存泄漏另一个目录遍历。当时在公司做了应急,复现的情况也一并做了记录,这两个漏洞原理相对比较简单,但影响面还是比较大的。漏洞通报概况2020 年 03 月 18 日,360 CERT 监测发现 op...
2020-05-02 12:58:10
19428
原创 OpenRASP 初探(二)之项目部署
一、软件兼容性(openrasp 目前支持 java 和 php)管理后台:操作系统兼容 Linux (CentOS 6+ / Ubuntu 14.04 + / 其他不要太老的系统)和 Mac OS XJAVA agent :-操作系统:MacOS 10.10+、Windows x64、Linux(RHEL/CentOS 6.X ~ 7.X/Ubuntu 14+/Debian 6+/其他 g...
2020-04-06 13:48:07
3703
1
原创 OpenRASP 初探(一)之项目介绍
前言在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括wa...
2020-03-05 22:04:20
5952
原创 推荐文章
推荐文章spark搭建和简单使用https://www.cnblogs.com/dion-90/articles/9058500.htmlssl证书黑特征库https://sslbl.abuse.ch/集成snort、surcaita等sochttps://securityonion.net/suricata 开源规则https://github.com/ptresearch/At...
2020-03-02 20:54:38
178
原创 ELK在安全运营中的应用实践
一、前言本文不会涉及具体的平台搭建步骤以及具体的方案架构讨论,在这里只是想和大家分享一下我们在运营当中遇到的一些问题以及解决的思路,可能文中提及的技术架构也并非适合每一位读者。闲暇时写下本文,仅仅希望能够帮助在甲方企业和机构从事安全运营工作的同仁们获得一些启示和灵感,为大家提供更多的解决方向。本文前面的章节会简要给大家介绍下SIEM产品目前在市场上的几种分类和应用情况,接着会给大家介绍下我们为...
2020-03-02 20:52:55
2973
原创 云点播视频-DRM-方案调研
前段时间,朋友的一个公司网站视频点播接口被疯狂遍历请求,同时网上还出现了很多的针对这个网站视频的自动化视频下载工具。虽说是都是公开视频,但内容本身就是这个网站最大的价值,如果都通过工具下载视频观看,网站的DAU等数据肯定会受影响,广告的收益也会下降。为了帮助朋友解决这个困扰的难题,我调研了市面上常见的一些云点播视频的DRM解决方案。首先说什么是「DRM」呢,根据某百科解释,DRM英文全称Digi...
2020-03-02 20:33:52
3257
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人