技术随笔

安全公司 Kaspersky 日前发现了一个新的文件加密木马，它是 ELF 可执行文件，旨在对基于 Linux 的操作系统计算机上的数据进行加密。 Kaspersky 经过初步分析…

前言 PhantomJS是使用JavaScript编写的无头WebKit。虽然目前Github 上PhantomJS的开发已经停止，但是其许多功能特性仍然值得探究，现在最新稳定版本…

介绍 端口扫描定义是客户端向一定范围的服务器端口发送对应请求，以此确认可使用的端口。虽然其本身并不是恶意的网络活动，但也是网络攻击者探测目标主机服务，以利用该服务的已知漏洞的重要手…

据统计，目前互联网上的95%以上的应用都在使用第三方开源的程序库，67%的应用程序包含漏洞，确定的开源漏洞平均年龄1894天。 在当前的软件开发环境当中，为了节省时间和效率，我们在…

大家有没有发现随着时间的推移，提及CSRF漏洞的次数越来越少，而且OWASP十大网站安全风险排名也早已经没有CSRF的踪影了，是开发人员的风险意识越来越高了吗？还是该漏洞已经被历史…

日前Vue项目的github上star数已经18.8W，表明Vue越来越受到开发人员的欢迎。但由于开发人员水平参差不齐，Vue项目所面对的安全问题也日趋严重，以下整理了Vue在编码…

1 漏洞描述 XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指恶意攻击者往Web站点里插入恶意脚本代码…

SQL注入（英语：SQL injection），也称SQL注入或SQL注码，是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中…

前段时间遇到一个需求，需要把告警邮件通过飞书重新发送出来，故研究了一下Python调用exchangelib库去操作outlook邮箱 一、基本介绍 Exchangelib模块是 …

“ dirsearch是一种高级命令行工具，旨在暴力破解网络服务器中的目录和文件，又名网络路径扫描器。 ” 一、基本介绍 当公司服务上线后，我们需要探测服务是有敏感文件信息泄漏，需…

一、基本介绍 Trivy是一个扫描容器镜像、文件系统和 Git 仓库中的漏洞以及配置问题的工具，非常简单易用且能快速上手。Trivy主要检测操作系统包如Alpine、RHEL、Ce…

“ 相信大家听到CSV注入，应该是一脸茫然的，怀疑自己是不是听错了。难道不应该是SQL注入、命令注入之类的吗，CSV文件只是普通的文本，也可以注入吗？事实情况是CSV也是可以注入的…

一、基本介绍 Semgrep 是一个快速、开源的静态代码分析工具，其核心采用 OCaml 语言编写。主要用于在 Commit 和 CI 时查找 Bug 并强制执行代码规范。其中 S…

上一章节介绍了Semgrep使用及相关原理，传送门：Semgrep 之初识 下面这章就开始介绍Semgrep的模式语法，如何检测想要的代码。心急的同学，可以直接使用交互式的 Sem…

现在终于到我们的重头戏了，学习 Semgrep 的规则语法。 Semgrep 的规则包含了一些字段，其中有些字段是必填字段、可选字段，每个字段代表的意义不同 一、必填字段 字段名 …

测试机器：Mac OS 10.15 Golang版本：1.15.2为什么要缩减Golang编译后的文件大小呢？不缩减可不可以呢。正常来说一般服务器硬盘资源相对来说都比较充足，但如果…