介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。 反序列化审计实战 反序列化漏洞在Python代码审计中属于常见高危漏洞 ...
分类:
编程语言 时间:
2020-04-16 16:54:51
阅读次数:
103
监控管理 通过引入spring boot starter actuator,可以使用SpringBoot提供的准生产环境下的应用监控和管理功能。我们可以通过HTTP,JMX,SSH协议来进行操作,自动得到审计、健康等指标信息 SpringBoot整合监控管理 步骤 1. 引入spring boot ...
分类:
编程语言 时间:
2020-04-14 19:01:31
阅读次数:
116
“微服务架构风格是一种将单个应用程序开发为一组小型服务的方法,每个小服务运行在自己的进程中,并且以轻量级机制(通常是HTTP REST API)通信。这些服务是围绕业务能力建立的,并且可以由完全自动化的部署机构独立部署。这些服务的集中管理只有最低限度,可以用不同的编程语言编写并使用不同的数据存储技术。” —— James Lewis and Martin Fowler
分类:
其他好文 时间:
2020-04-13 22:46:47
阅读次数:
69
以下列举几款不错的规则引擎,方便学习 drools 很强大的brms系统,同时生态也很不错,问题就是使用上复杂,参考https://github.com/kiegroup/drools&&https://www.drools.org/ OpenL Tablets 参考https://github.c ...
分类:
编程语言 时间:
2020-04-12 00:00:55
阅读次数:
293
## 为什么需要DevOps 不是每个人都能理解可靠的版本管理和牢固的构建系统的重要性。 也不是任何人能使得软件的发布达到可靠性,可重复性和可审计的高标准。Devops的职责就是将软件的构建和发布的流程自动化并且使它像机器人生产线一样运转,从而精确无误地保证正确的版本在要求的时间运行在规定的服务器上 ...
分类:
其他好文 时间:
2020-04-09 21:44:34
阅读次数:
114
Q1 朴实无华 扫目录可以发现: 给了一个页面: 访问,人晕了: 看报文内容发现了问题: 访问 ,人更晕了: 看来是编码问题了……不管了,至少代码没乱。来审计一下: 考点1:intval()绕过 来看第一个if: 了解一下这个函数: 有意思的是,如果传入的是科学计数法a×10^n的形式。 传入的是数 ...
分类:
Web程序 时间:
2020-04-08 19:17:50
阅读次数:
363
安全原则:我们应该如何上手解决安全问题? 什么是“黄金法则”? 黄金法则主要包含三部分:认证(Authentication)、授权(Authorization)、审计(Audit)。 给黄金法则加上问责(Accounting)这一部分,组成“4A 法则”;还有的会加上身份识别(Identificat ...
分类:
其他好文 时间:
2020-04-08 09:31:59
阅读次数:
155
前言 正式开始代码审计的学习,拓宽自己的知识面。代码审计学习的动力也是来自团队里的王叹之师傅,向王叹之师傅学习。 这里参考了一些前辈,师傅的复现经验和bluecms审计的心得 安装 install.php 搭建完成 seay自动审计 文件包含漏洞 /user.php 742-751行 elseif ...
分类:
其他好文 时间:
2020-04-07 12:52:46
阅读次数:
129
一、什么是触发器 数据库触发器是一个与表相关联的,存储的PL/SQL 语句。每当一个特定的数据操作语句(insert update delete)在指定的表上发出时,Oracle自动执行触发器中定义的语句序列。 触发器的应用场景如下: 复杂的安全性检查 数据的确认 数据库审计 数据的备份和审计 二、 ...
分类:
数据库 时间:
2020-04-07 09:40:16
阅读次数:
79
