原创 QingScan 快速集成自定義工具

QingScan是一個漏洞掃描聚合平臺,添加目標後30款工具自動調用;不少人也想自己添加工具進來,其實添加非常簡單,我們已經幫你考慮好了,你不用寫代碼只需要在界面操作就可以完成。 一、添加插件 在 黑盒掃描-》插件列表-》添加插件 裏填寫

原创 聚合型代碼審計工具QingScan使用實踐

一、簡介 筆者最近看到很多公衆號在推薦QingScan這款掃描器平臺,也好奇了起來,花了半小時將QingScan搭建了起來; 搭建起來之後,進入控制檯中看了下QingScan的功能列表,發現除了公衆號介紹的黑盒掃描功能外其實還有不少功能,我

原创 linux 切換軟件源到國內代理加速地址

一、背景 經常會使用各種Linux的發行版本,很多時候需要使用yum和apt去安裝軟件,但是Linux鏡像中的軟件源使用的是國外的地址,訪問速度非常慢,有些時候甚至訪問失敗,每次都需要去網上找對應的軟件源地址。 這種工作反反覆覆,我想着乾脆

原创 Clion Debug模式使用實踐

一、背景 最近爲了考研,在學習C語言與數據結構,最開始使用Visual Studio 2019作爲編輯器,但是總感覺不習慣; 之前一直使用jetbrains公司的編輯器,正好發現C語言可以用CLion,但是發現不會使用他的調試功能,有些時候

原创 Semgrep結合GitLab實現代碼審計實踐-服務端

一、背景 前段時間在做代碼審計,發現很多項目都存在安全隱患,大多數是來自於參數未過濾所造成的;爲了解決這個問題,我將Web安全開發規範手冊V1.0進行了培訓,但是效果並不是太理想,原因是培訓後開發者的關注點主要在功能完成度上,安全編碼對於他

原创 EISS2021-辦公網零信任安全建設實踐

一、背景 大家好,非常高興給大家分享《辦公網零信任安全建設》這個話題。 分享之前我想先簡單介紹一下我們公司,趣加是一家遊戲公司,主要了是面向海外市場,所以有很多同學了可能沒有聽過我們公司;但喜歡玩遊戲的同學可能聽過一個戰隊,就做fpx那其

原创 使用Docker進行Redis主從複製實踐

一、背景 最近在做零信任安全網關,需要使用Redis作爲認證緩存服務器,因爲網關服務器分佈在多個集羣,每次都跨機房認證不太實現;所以需要使用Redis主從同步,將過程記錄下來,希望可以給需要的同學一點參考。 二、操作步驟 安裝Docker

原创 使用Portainer部署Docker容器實踐

一、背景 最近在使用rancher2.5.5部署Redis主從複製的時候,發現rancher會產生很多iptables的規則,這些規則導致我們在部署了rancher的機器上無法使用Redis的主從複製功能,因爲我對rancher和k8s的瞭

原创 W13Scan 掃描器挖掘漏洞實踐

一、背景 這段時間總想搗鼓掃描器,發現自己的一些想法很多前輩已經做了東西,讓我有點小沮喪同時也有點小興奮,說明思路是對的,我準備站在巨人的肩膀去二次開發,加入一些自己的想法,從freebuf中看到W13Scan掃描器,覺得這個掃描器很酷,準

原创 PHP工程師學Python數據類型

一、背景 繼上篇文章比較了PHP與Python語法之後,這周又學習了Python數據類型,準備從通過這篇文章給自己進行一些總結,也給其他讀者一些參考。 二、內容概要 字符串(str) 列表(list) 元組(tup) 字典(dict) 數

原创 通過PHP與Python代碼對比淺析語法差異

一、背景 人工智能這幾年一直都比較火,筆者一直想去學習一番;因爲一直是從事PHP開發工作,對於Python接觸並不算多,總是在關鍵時候面臨着基礎不牢,地動山搖的尷尬,比如在遇到稍微深入些的問題時候就容易卡殼,於是準備從Python入門從頭學

原创 “adobe premiere中畫面和聲音不同步” 解決方法

一、背景 之前在segmentfault上過直播課,直播課有錄製回播功能;嘗試聽了下直播課,發現視頻太長了,感覺聽起來非常花費學員的時間,在回放中其實有一些直播課裏面的內容並不需要,所以準備剪輯一下,於是把視頻下載了下來,花了些時間進行了剪

原创 Web安全之XSS Platform搭建及使用實踐

一、背景 XSS Platform 是一個非常經典的XSS滲透測試管理系統,原作者在2011年所開發,由於後來長時間沒有人維護,導致目前在PHP7環境下無法運行。 筆者最近花了一點時間將源碼移植到了PHP7環境中,同時增加安裝功能;另外還修

原创 使用docker快速搭建Permeate滲透測試系統實踐

一、背景 筆者最近在做一場Web安全培訓,其中需要搭建一套安全測試環境;在挑選滲透測試系統的時候發現permeate滲透測試系統比較滿足需求,便選擇了此係統;爲了簡化這個步驟,筆者將系統直接封裝到了docker當中,同時編寫了一套啓動文檔,

原创 Web安全開發規範手冊V1.0

一、背景 團隊最近頻繁遭受網絡攻擊,引起了部門技術負責人的重視,筆者在團隊中相對來說更懂安全,因此花了點時間編輯了一份安全開發自檢清單,覺得應該也有不少讀者有需要,所以將其分享出來。 二、自檢清單 檢查類型 說明 檢查項 輸入