最近与朋友聊起SDL和DevSecOps的建设和落地,觉得可以将我理解的SDL体系建设来整理下,分享给大家,一家之言,欢迎大家与我讨论!一、前言 上次写了《蓝军建设的一些不成熟的思考》,当时...
11月14日102 views评论sdl
安全测试
我所理解的研发安全
11月14日102 views评论sdl
安全测试
11月14日102 views评论sdl
安全测试
Java表达式注入的深度利用
前言Java安全从业者能吃上饭的三个主要原因:反序列化,JNDI注入,表达式注入(开个玩笑)。本文想就这三种类型的漏洞的利用谈谈自己的看法,同时提出表达式注入下的武器化利用方法。关于武器化在本人看来,...
11月14日24 views评论payload
利用工具
代码审计:thinkphp3.2.3sql注入漏洞分析
一、环境配置源码:thinkphp-3.2.3phpstudy中开启php的xdebug插件vscode配置php环境,如下,在vscode中搜索php,找到php的Executable Path,点...
11月13日65 views评论thinkphp
代码审计
九维团队-绿队(改进)| Java Spring编码安全系列之明文存储密码
·前言·Java Spring是目前企业开发中使用较多的一种java开发框架,因此,基于该框架的安全内容尤为重要。Secure Code Warrior编码实验室的Java Spring涉及到的安全问...
11月13日34 views评论encoder
九维团队
Python实战02:网上下载的视频进行图片截取
今天从B站下载了一些资源图片,从网盘下载后才发现都是几秒的视频。 作为一个程序员,这种情况不能忍。用potplayer视频播放器可以截取 。但这种批量处理还是程序自动化要快速。 一...
11月13日37 views评论cap
convert
Python日志logging实战教程
一、什么是日志在《网络安全之认识日志采集分析审计系统》中我们认识了日志。日志数据的核心就是日志消息或日志,日志消息是计算机系统、设备、软件等在某种刺激下反应生成的东西。日志数据(log data)就是...
11月13日17 views评论handler
日志文件
【Django基础】Ubuntu利用宝塔部署Django项目
安装Ubuntu切换清华镜像源选择软件更新关闭重新载入终端执行 sudo apt update启用SSHsudo apt updatesudo apt install opendssh-serverU...
11月13日94 views评论django
根目录
execv环境攻击
我们有时候getshell会遇到各种问题(system栈占用太多,字节对齐,execve参数有三个等等),所以最方便的是使用execv,因为execv只用两个参数,但是呢execv底层还是使用的exe...
11月12日47 views评论arg
参数
python学习计划DAY4:条件判断和循环控制
python的执行顺序普通语句,直接执行;碰到函数,将函数体载入内存,并不直接执行碰到类,执行类内部的普通语句,但是类的方法只载入,不执行碰到if、for等控制语句,按相应控制流程执行碰到@,brea...
11月11日11 views评论height
width
Python原型链污染变体(prototype-pollution-in-python)
简介 前些时间看了idekctf 2022*的task manager,出题人参考了另一位博主Python原型链污染变体的博文,于是打算写一篇文章简单学习下这种攻击方式和题目中的一些解题技巧等内容等 ...
11月09日35 views评论dst
proto
CodeQL数据库构建原理分析
0 简介 CodeQL是一个帮助开发者自动完成安全检查、帮助安全研究者进行变异分析的分析引擎。它由代码数据库和代码语义分析引擎组成,通过将代码抽象为数据查询表保存到代码数据库中,可以方便地运行代码查询...
11月09日安全开发17 views评论extract
rce
PHP代码审计 | 某呼OA
原文首发在:奇安信攻防社区 https://forum.butian.net/share/2196 此篇文章主要记录了某呼oa的历史漏洞分析,便于进一步学习代码审计的知识。 环境搭建 使用phpstu...
11月09日66 views评论id
方法
442