今天选择了一个比较小的CMS 消息果吐槽,尝试审计一下: 源码地址:https://7alk.com/index.php 首先下载并且在虚拟机安装网站: 安装之后是这样的,先熟悉一下功能:主要功能有留言和评论留言、以及管理员登录对留言进行处理(回复、删除、隐藏),咳!!比较简单,刚开始学习还是先找简 ...
分类:
其他好文 时间:
2020-06-26 21:54:24
阅读次数:
88
原来用户执行sql会存储在desktop_document2表中,用户可以在前端界面对其进行删除,为了优化审计,建立一个新表desktop_document2_history,并建立一个触发器,实时更新。 添加一个触发器,记录所有用户的执行sql DROP TABLE IF EXISTS `desk ...
分类:
其他好文 时间:
2020-06-25 21:10:50
阅读次数:
128
前介 1、jumperver介绍 ? Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。 ? 特点: ? 完全开源,GPL授权 Python编写,容易再次开发 实现了跳板机基本功能,认证、授权、审计 集成 ...
分类:
其他好文 时间:
2020-06-24 19:46:04
阅读次数:
202
#3A ##资源分派: Authentication:认证,验证用户身份 Authorization:授权,不同的用户设置不同权限 Accouting|Audition:审计 当用户登录成功时,系统会自动分配令牌token,包括:用户标识和组成员等信息 ##用户 Linux中每个用户是通过User ...
分类:
系统相关 时间:
2020-06-22 01:19:37
阅读次数:
82
万级TPS亿级流水-中台账户系统架构设计标签:高并发万级TPS亿级流水账户系统背景业务模型应用层设计数据层设计日切对账背景我们需要给所有前台业务提供统一的账户系统,用来支撑所有前台产品线的用户资产管理,统一提供支持大并发万级TPS、亿级流水、数据强一致、风控安全、日切对账、财务核算、审计等能力,在万级TPS下保证绝对的数据准确性和数据溯源能力。注:资金类系统只有合格和不合格,哪怕数据出现只有0.0
分类:
其他好文 时间:
2020-06-21 09:24:54
阅读次数:
48
我们需要给所有前台业务提供统一的账户系统,用来支撑所有前台产品线的用户资产管理,统一提供支持大并发万级TPS、亿级流水、数据强一致、风控安全、日切对账、财务核算、审计等能力,在万级TPS下保证绝对的数据准确性和数据溯源能力。
注:资金类系统只有合格和不合格,哪怕数据出现只有0.01分的差错也是不合格... ...
分类:
其他好文 时间:
2020-06-20 18:56:16
阅读次数:
51
代码执行 代码执行是指应用程序本身过滤不严,当应用在调用一些字符串函数的时候用户可以通过请求将代码注入到应用中执行。 存在于eval()、assert()、preg_replace()、call_user_func()、array_map()以及动态函数中,很难通过黑盒测试查找。 挖掘思路 1:用户 ...
分类:
Web程序 时间:
2020-06-14 18:41:50
阅读次数:
92
常用模块logging 什么时候用到logging模块 1.用来记录用户的行为 - 数据分析 2.用来记录用户的行为 - 操作审计 3.排查代码中的错误 输出内容是有等级的 : 默认处理warning级别以上的所有信息 logging.debug('debug message') # 调试 logg ...
分类:
其他好文 时间:
2020-06-14 13:06:03
阅读次数:
52
一、Mybatis框架下易产生SQL注入漏洞的场景 在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中。通过查看这些与数据库交互的配置文件来确定SQL语句中是否存在拼接情况,进而确立跟踪点。 通过总结,Mybatis框架下易产生SQL注入漏洞的情况有以 ...
分类:
数据库 时间:
2020-06-14 10:38:57
阅读次数:
242
使用kbmMW调试内存使用情况 kbmMW当前版本包含越来越多的功能,如进行常规日志的记录,审核,记录运行时异常处理的堆栈跟踪功能,现在还具有内存使用的调试功能。这些功能实际上可用于任何应用程序,甚至包括不使用kbmMW其他部分的应用程序。我已经写了一些有关kbmMW中的日志记录和审计系统的文章,其 ...
分类:
其他好文 时间:
2020-06-12 14:15:04
阅读次数:
68
