摘要:
0X01 前言 大多数安全产品的大致框架 提高性能的目的是消费跟得上生产,不至于堆积,留有余力应对突增的流量,可以从以下几个方面考虑 流量:减少无效流量 规则:减少规则冗余请求 生产者:减少无效扫描任务 引擎:灵活扩缩容的分布式引擎节点 0X02 减少无效流量 2.1 URL 2.1.1 去重——去 阅读全文
摘要:
漏洞扫描器无害化篇 阅读全文
摘要:
黑盒漏洞扫描器之检测规则 阅读全文
摘要:
扫描器已经接触了三年,目前比较成熟,在这个方向里,遇到过很多问题,各种方案或多或少接触过。大多数安全产品都可以用流量+规则+引擎+处置来抽象框架,DAST也是这样。而功能,用目的划分,个人拙见主要5个:流量全、规则全、引擎高性能高可用、扫描无害化、运营高效化。这个系列主要是对应功能的描述。 DAST 阅读全文
摘要:
页面键盘直接打 thisisunsafe 总是忘记输入的内容 阅读全文
摘要:
问题:多次生成CrossC2,链接混乱了,导致多次调试 链接内容未开孔 瞅了瞅代码,cs linux CrossC2使用时,来回 "Create CrossC2 Listener",会导致链接混乱。 在生成第一个CrossC2 链接后( https://服务端IP:55413/10位hash),生成 阅读全文
摘要:
0X01 fastjson 1.2.47 到 1.2.48做了什么改变 一步步跟进,找到不同的地方 fastjson/serializer/MiscCodec.class中 1.2.47 1.2.48 多了个参数 cache=false fastjson/util/TypeUtils.class c 阅读全文
摘要:
0X01 fastjson 1.2.25修了什么 用1.2.24的payload打一遍,autotype被拦截 "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://3333.y7jjlyzz.dnslog. 阅读全文
摘要:
一 环境 mac M1 java version "1.7.0_21" jdk下载地址 https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html 二 pom <?xml version="1.0" e 阅读全文
摘要:
项目进度 [okr] okr,从国庆前一周,到十月二十几号,定完。 评审期间,各种需求、方案、可行性分析的敲定,也基本按照预料中的排期走。 理论上OKR没定完,就没有要做的事也没有排期。 但OKR制定和评审的流程也挺长,真等到OKR都评审完了,可能一个月就过去了。 所以把各种需求和方案也算到产品的排 阅读全文