原创 代碼審計系統 Swallow 開發回顧
做甲方安全建設,SDL是一個離不開的話題,其中就包含代碼審計工作,我從最開始使用編輯器自帶的查找,到使用fortify工具,再到後來又覺得fortify的掃描太慢影響審計效率,再後來就想着把fortify集成到自己的業務系統中去 最近幾年安
2023-04-04 12:52:28
原创 開源 Swallow 代碼審計系統體驗
最近在嗶哩嗶哩看 到Swallow 代碼審計系統的宣傳,發現功能比較適合我目前的工作需要,安裝使用了一下,簡單做了一個筆記,分享給有需要的朋友. 底層架構爲蜻蜓編排系統,墨菲SCA,fortify,SemGrep,hema 項目地址:ht
2023-03-29 12:52:32
原创 開源代碼審計系統 Swallow 內測發佈
一 背景 這個月的主要目標是檢驗蜻蜓的編排系統和優化,我基於蜻蜓開發dolphin的ASM系統,這兩週主要開發代碼審計系統 swallow. Swallow是一款開源的代碼審計工具,其底層集成了多種靜態代碼分析工具,如murphysec S
2023-03-25 12:52:33
原创 開源項目dolphin-ASM網絡資產風險監測系統
項目簡介 dolphin 是一個的資產風險分析系統,用戶僅需將一個主域名添加到系統中,dolphin會自動抓取與該域名相關的信息進行分析; 例如同ICP域名,子域名,對應IP,端口,URL地址,站點截圖,端口協議,郵箱地址,泄露信息等. 前
2023-03-09 12:52:25
原创 高效率開發Web安全掃描器之路(一)
一、背景 經常看到一些SRC和CNVD上厲害的大佬提交了很多的漏洞,一直好奇它們怎麼能挖到這麼多漏洞,開始還以爲它們不上班除了睡覺就挖漏洞,後來有機會認識了一些大佬,發現它們大部分漏洞其實是通過工具挖掘的,比如說下面是CNVD上面的白帽子大
2022-11-30 12:52:24
原创 給安全平臺編寫插件模塊的思路分享
一、背景 最近在GitHub看到一個新的開源安全工具,可以把工具都集成到一個平臺裏,覺得挺有意思,但是平臺現有的工具不是太全,我想把自己的工具也集成進去,所以研究了一番 蜻蜓安全工作臺是一個安全工具集成平臺,集成市面上主流的安全工具,並按
2022-05-10 12:52:24
原创 CIS 2021網絡安全創新大會《代碼安全體系建設》實錄
一、背景 湯青松 ,北京趣加科技有限公司 安全工程師,實體書《PHP WEB安全開發實戰》作者,擅長企業安全建設,SDL安全建設。 PHPCon 2020 第八屆 PHP 開發者大會分享《PHP安全編碼規範與審查》,NSC 2019第七
2022-03-16 12:52:31
原创 QingScan 快速集成自定義工具
QingScan是一個漏洞掃描聚合平臺,添加目標後30款工具自動調用;不少人也想自己添加工具進來,其實添加非常簡單,我們已經幫你考慮好了,你不用寫代碼只需要在界面操作就可以完成。 一、添加插件 在 黑盒掃描-》插件列表-》添加插件 裏填寫
2022-01-15 12:52:35
原创 聚合型代碼審計工具QingScan使用實踐
一、簡介 筆者最近看到很多公衆號在推薦QingScan這款掃描器平臺,也好奇了起來,花了半小時將QingScan搭建了起來; 搭建起來之後,進入控制檯中看了下QingScan的功能列表,發現除了公衆號介紹的黑盒掃描功能外其實還有不少功能,我
2022-01-11 12:52:44
原创 linux 切換軟件源到國內代理加速地址
一、背景 經常會使用各種Linux的發行版本,很多時候需要使用yum和apt去安裝軟件,但是Linux鏡像中的軟件源使用的是國外的地址,訪問速度非常慢,有些時候甚至訪問失敗,每次都需要去網上找對應的軟件源地址。 這種工作反反覆覆,我想着乾脆
2021-09-18 12:54:25
原创 Clion Debug模式使用實踐
一、背景 最近爲了考研,在學習C語言與數據結構,最開始使用Visual Studio 2019作爲編輯器,但是總感覺不習慣; 之前一直使用jetbrains公司的編輯器,正好發現C語言可以用CLion,但是發現不會使用他的調試功能,有些時候
2021-09-17 12:54:30
原创 Semgrep結合GitLab實現代碼審計實踐-服務端
一、背景 前段時間在做代碼審計,發現很多項目都存在安全隱患,大多數是來自於參數未過濾所造成的;爲了解決這個問題,我將Web安全開發規範手冊V1.0進行了培訓,但是效果並不是太理想,原因是培訓後開發者的關注點主要在功能完成度上,安全編碼對於他
2021-06-04 12:54:24
原创 EISS2021-辦公網零信任安全建設實踐
一、背景 大家好,非常高興給大家分享《辦公網零信任安全建設》這個話題。 分享之前我想先簡單介紹一下我們公司,趣加是一家遊戲公司,主要了是面向海外市場,所以有很多同學了可能沒有聽過我們公司;但喜歡玩遊戲的同學可能聽過一個戰隊,就做fpx那其
2021-05-25 12:54:24
原创 使用Docker進行Redis主從複製實踐
一、背景 最近在做零信任安全網關,需要使用Redis作爲認證緩存服務器,因爲網關服務器分佈在多個集羣,每次都跨機房認證不太實現;所以需要使用Redis主從同步,將過程記錄下來,希望可以給需要的同學一點參考。 二、操作步驟 安裝Docker
2021-04-12 12:54:23
原创 使用Portainer部署Docker容器實踐
一、背景 最近在使用rancher2.5.5部署Redis主從複製的時候,發現rancher會產生很多iptables的規則,這些規則導致我們在部署了rancher的機器上無法使用Redis的主從複製功能,因爲我對rancher和k8s的瞭
2021-04-11 12:54:27
2