摘要:
做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去 最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定 阅读全文
摘要:
最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友. 底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema 项目地址:https://github.com/StarCrossPorta 阅读全文
摘要:
一 背景 这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow. Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshe 阅读全文
摘要:
项目简介 dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析; 例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等. 前端使用了bootstrap框架,控制台使用的ThinkPHP 阅读全文
摘要:
一、背景 经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬 我想成为大佬要怎么做 我一直觉得自己是一个有梦想的人,我 阅读全文
摘要:
一、背景 蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台。 1.1 需求出发点 在安全行业中,我们可以想到两类群体,开发大佬,和脚 阅读全文
摘要:
一、背景 最近在GitHub看到一个新的开源安全工具,可以把工具都集成到一个平台里,觉得挺有意思,但是平台现有的工具不是太全,我想把自己的工具也集成进去,所以研究了一番 蜻蜓安全工作台是一个安全工具集成平台,集成市面上主流的安全工具,并按照工作场景进行编排,目前主要预制了四个场景:信息收集、黑盒扫描 阅读全文
摘要:
一、背景 汤青松 ,北京趣加科技有限公司 安全工程师,实体书《PHP WEB安全开发实战》作者,擅长企业安全建设,SDL安全建设。 PHPCon 2020 第八届 PHP 开发者大会分享《PHP安全编码规范与审查》,NSC 2019第七届中国网络安全大会分享《PHP反序列化漏洞分析实践》看雪2018 阅读全文
摘要:
QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完成。 一、添加插件 在 黑盒扫描-》插件列表-》添加插件 里填写插件信息 在上图中填写的插件信息,插件名字可以自己随意命名,插 阅读全文
摘要:
一、简介 笔者最近看到很多公众号在推荐QingScan这款扫描器平台,也好奇了起来,花了半小时将QingScan搭建了起来; 搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、s 阅读全文