作者:t0data,曾有幸参与过RASP产品的研发,本文尝试从RASP的基本功能入手,结合业界商业RASP的产品特性,讨论在互联网应用技术路线下,不同开发语言(Java/.NET/PHP/Python)或运行环境下的RASP Agent技术实现,粗浅地阐述RASP产品技术原理与功能特点,抛砖引玉,为RASP技术感兴趣的小伙伴们提供切入思路。
作者:t0data,本文主要以敏感文件泄露为例,通过分析事件溯源的过程,阐述文件泄露的可能途径和常见管理手段。
为部门内知识分享准备的素材,记录了 Markdown 的优点、应用场景和编辑工具,介绍了标准语法与扩展语法,以及一些应用 Markdown 的奇技淫巧。个人使用 Markdown 的经验持续补充中,最新完整版请参见
《追风筝的人》确实是一部相当优秀而又深刻的作品。——小别老师
近来,随着Struts2漏洞接二连三地被披露,企业对Struts2的心理安全指数也在降低,很多企业或者安全从业人员,在日常的安全检测或者扫描过程中有点草木皆兵,如果发现了webconsole.html页面,则判断系统存在Struts2漏洞,要求各个厂商做对应的安全整改。那么出现webconsole.html页面到底是不是Struts2的安全漏洞呢?
引子 刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有现在这么强大。在使用的过程中,慢慢发现,网上系统全量的介绍BurpSuite的书籍太少了,大多是零星、片段的讲解,不成体系。后来慢慢地出现了不少介绍BurpSuite的视频,现状也变得越来越好。但每每遇到不知道的问题时,还是不得不搜寻BurpSuite的官方文档和英文网页来解决问题,也正是这些问题,慢慢让我觉得有必要整理一套全面的BurpSuite中文教程,算是为web安全界做尽自己的一份微薄之力,也才有了你们现在看到的这一系列文章。 我给这些文章取了IT行业图书比较通用的名称: 《BurpSuite实战指南》,您可以称我为中文编写者,文章中的内容主要源于BurpSuite官方文档和多位国外安全大牛的经验总结,我只是在他们的基础上,结合我的经验、理解和实践,编写成现在的中文教程。本书我也没有出版成纸质图书的计划,本着IT人互联分享的精神,放在github,做免费的电子书。于业界,算一份小小的贡献;于自己,算一次总结和锻炼。 以上,是为小记。 感谢您阅读此书,阅读过程中,如果发现错误的地方,欢迎发送邮件到 t0data@hotmail.com,感谢您的批评指正。 本书包含以下章节内容: 第一部分 Burp Suite 基础 Burp Suite 安装和环境配置 Burp Suite代理和浏览器设置 如何使用Burp Suite 代理 SSL和Proxy高级选项 如何使用Burp Target 如何使用Burp Spider 如何使用Burp Scanner 如何使用Burp Intruder 如何使用Burp Repeater 如何使用Burp Sequencer 如何使用Burp Decoder 如何使用Burp Comparer 第二部分 Burp Suite 高级 数据查找和拓展功能的使用 BurpSuite全局参数设置和使用 Burp Suite应用商店插件的使用 如何编写自己的Burp Suite插件 第三部分 Burp Suite 综合使用 使用Burp Suite测试Web Services服务 使用Burp, Sqlmap进行自动化SQL注入渗透测试 使用Burp、PhantomJS进行XSS检测 使用Burp 、Radamsa进行浏览器fuzzing 使用Burp 、Android Killer进行安卓app渗透测试
本文解决的是一个小众场景的问题:
本系列文章在 https://github.com/mzlogin/rtfsc-android 持续更新中,欢迎有兴趣的童鞋们关注。
从业以来主要在做客户端,用到的数据库都是表结构比较简单的 SQLite,以我那还给老师一大半的 SQL 水平倒也能对付。现在偶尔需要到后台的 SQL Server 里追查一些数据问题,就显得有点捉襟见肘了,特别是各种 JOIN,有时候傻傻分不清楚,于是索性弄明白并做个记录。
自从几年前开始在 GitHub 玩耍,接触到 Markdown 之后,就一发不可收拾,在各种文档编辑上,有条件用 Markdown 的尽量用,不能用的创造条件也要用——README、博客、公众号、接口文档等等全都是,比如当前这篇文章就是用 Markdown 编辑而成。