• http://www.nobodycn.com/archives/29

【工具分享】Dependency-Check

Dependency-Check 是OWASP安全项目之一,可自动同步CVE漏洞库的漏洞信息,查找项目依赖关系中的已知漏洞。 1、Dependency-Check可以检查项目依赖包存在的已知、公开披露的漏洞。目前良好的支持Java和.NET;Ruby、Node.js、Python处于实验阶段;仅支持通过(autoconf and cmake)编译的C/C++。主要提供针对owasp2017 top…

【随手笔记】站群目录权限划分

使用Nginx+PHP搭建多个站点时,如果某个WEB站点GETSHELL,可访问WEB目录以外的文件,导致其他站点沦陷。 可通过在NGINX server中添加以下配置文件解决: fastcgi_param PHP_VALUE “open_basedir=$document_root:/tmp/”;

【代码审计】PHP代码审计关注点

随着代码安全的普及,越来越多的开发人员知道了如何防御sqli、xss等与语言无关的漏洞,但是对于和开发语言本身相关的一些漏洞和缺陷却知之甚少,于是这些点也就是我们在Code audit的时候的重点关注点。本文旨在总结一些在PHP代码中经常造成问题的点,也是我们在审计的时候的关注重点。(PS:本文也只是简单的列出问题,至于造成问题的底层原因未做详细解释,有兴趣的看官可以自行GOOGLE或者看看底层C…

【Python】python资源整理集合

网页框架 Django Django – Django。 Channels – Channels旨在增强Django的异步能力,同时让Django不仅仅局限于Request-Response模型,能够支持WebSocket、HTTP2推送和背景任务。2015年出现的十大流行Python库 。 Django-Baker – Django Baker可以帮助开发者快速启动项目。只要提供app名称,Dj…

安全建设的 “马斯洛需求” 层次

LV0: 没有安全措施 LV1:自己认为自己是安全的(做过安全渗透测试,交付的代码没有高危漏洞) 通过一些较为基础的安全措施做到了基础的访问控制,并且交付的系统不含有明显的高危漏洞。但对于分复杂的安全事件自身没有独立处理的能力,必须依赖于外部厂商。 LV2:救火的能力(有攻防团队,有基本的入侵检测能力) 有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商。但在安全建设上缺乏思路,大…

【端口转发】Windows自带的端口转发

有时候在遇到某些服务限制IP访问,需要用到跳板机,可通过在跳板机上监听端口并转发来实现访问,linux中可以通过iptables进行转发,Windows也有这样的功能(类似lcx) netsh interface portproxy add v4tov4 listenport=9999 connectaddress=192.168.0.2 connectport=80 将本机所有地址9999端口转…