SF
PHP安全实践
PHP安全实践
注册登录
关注博客
注册登录
主页
关于
RSS
WAF规则对性能影响测试工具WRK2安装笔记
汤青松
10 月 30 日
阅读 1 分钟
312
wrk2 是一个基于 wrk 的 HTTP 基准测试工具,与 apache bench(简称 ab)类似,主要用于单机压测。wrk2 采用多线程设计,支持通过 lua 脚本自定义 HTTP 请求、处理响应、以及生成压测报告。其两个主要特点是:
利用phpy实现 PHP 编写 Vision Transformer (ViT) 模型
汤青松
9 月 3 日
阅读 5 分钟
2.8k
在深度学习的世界中,Vision Transformer (ViT) 模型因其在图像分类任务中的卓越表现而受到广泛关注。然而,ViT 模型通常使用 Python 编写,尤其是基于 PyTorch 框架的实现。对于 PHP 开发者来说,利用 PHP 来实现 ViT 模型可能看似不切实际,但借助 phpy 扩展,我们可以轻松地在 PHP 中调用 Python 的生态系统,从而实...
ThinkPHP 8 遇到的 SQL 1055 错误解决方案
汤青松
8 月 22 日
阅读 2 分钟
619
使用ThinkPHP 8框架,遇到了一个1055异常错误。错误是由数据库查询引起的,具体来说是因为MySQL的一个特性——only_full_group_by设置导致的
PHPy 实践:从 Python 脚本到 PHP 应用的无缝衔接
汤青松
8 月 20 日
阅读 2 分钟
1.5k
PHPy 是一款强大的 PHP 扩展,它允许开发人员在 PHP 程序中直接调用 Python 代码。通过 PHPy,您可以将 Python 的强大功能(如数据分析、机器学习等)无缝集成到 PHP 应用程序中,为您的项目带来无限可能。
phpy入门:让PHP平滑使用Python的生态
汤青松
8 月 20 日
阅读 2 分钟
1k
PHPy 是一个 PHP 扩展,你可以在 PHP 代码里使用 Python 代码。有些场景下在 PHP 应用程序中集成 Python 功能的情况非常有用。本文将向你展示如何在 Ubuntu 22.04 LTS 上安装 PHPy 并开始使用它。
Fortify 的结果转换为 CodeQL 的输出数据格式
汤青松
8 月 19 日
阅读 4 分钟
395
Fortify 是业界广泛使用的 SAST 工具之一,它生成的 FVDL (Fortify Vulnerability Description Language) 文件是一种 XML 格式的报告,包含了程序安全漏洞信息。为了更好地利用这些信息并与现有的 CI/CD 流水线集成,有时我们需要将这些数据转换为CodeQL 的格式。
ThinkPHP 实现微信订阅号登录网站
汤青松
7 月 28 日
阅读 5 分钟
538
要实现微信订阅号登录网站,我们需要创建一些控制器和模型,并使用ThinkPHP内置的功能来处理验证码的生成、存储以及验证。下面我将提供一个简单的示例来说明如何实现这一功能。
WSL2 下运行Think PHP反应慢解决方法
汤青松
7 月 28 日
阅读 2 分钟
512
磁盘 I/O:每次请求都需要从磁盘读取 PHP 文件,这对于 I/O 速度较慢的存储介质(如某些类型的 SSD 或者硬盘)来说,可能会成为瓶颈。
Docker 配置代理
汤青松
7 月 1 日
阅读 1 分钟
562
由于国内镜像源遇到问题,拉取Docker镜像会导致失败,即便是使用了如网易、中科大、阿里的国内镜像源也不例外。本文提供方法是通过Docker配置代理服务器来更新Docker镜像。以下是详细的实施步骤:1. 查询Docker版本确保首先了解你的Docker版本,这有助于确认配置的兼容性。示例中使用的版本为24.0.7。 {代码...} 2. 准备...
借助大模型提升甲方安全黑白灰运营效率实践
汤青松
6 月 23 日
阅读 9 分钟
758
随着大模型时代的到来,许多领域都能够借助大模型提高生产效率,安全领域也不例外。本文通过实践探索了如何借助大模型提升甲方安全运营中的漏洞发现效率和漏洞修复推荐效率。
TP6操作pgSQL13报错解决方案
汤青松
6 月 18 日
阅读 1 分钟
942
在使用ThinkPHP 6框架进行开发时,遇到与PostgreSQL数据库交互时出现的错误。本文将分享一个关于TP6操作pgSQL13时遇到的报错问题及其解决方案。
CodeQL结合GPT实现代码审计效率翻倍
汤青松
6 月 16 日
阅读 3 分钟
791
在软件开发中代码审计是确保代码安全性的重要环节。传统的代码审计方法常常依赖人工审查和静态分析工具,耗时且易于遗漏潜在问题。为了提升代码审计的效率,我引入了CodeQL和GPT的结合,利用CodeQL的强大分析能力和ChatGPT的自然语言处理能力,实现了代码审计效率的显著提升。
代码审计系统 Swallow 开发回顾
汤青松
2023-04-03
阅读 3 分钟
1.1k
做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去
开源 Swallow 代码审计系统体验
汤青松
2023-03-28
阅读 2 分钟
1.1k
最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.
开源代码审计系统 Swallow 内测发布
汤青松
2023-03-24
阅读 2 分钟
1k
Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测),通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。
开源项目dolphin-ASM网络资产风险监测系统
汤青松
2023-03-09
阅读 2 分钟
993
项目简介dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析;例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等.前端使用了bootstrap框架,控制台使用的ThinkPHP; 底层数据来自于蜻蜓平台的数据聚合系统,调用了各类框架和A...
蜻蜓安全工作台程序编排简要说明
汤青松
2022-12-30
阅读 1 分钟
1.4k
如何自己新建工作流程?在工作台中新建一个工作流,点击编排流程,进入到工作流编辑页面,如下图所示画布区域介绍在工作流页面分为了4个区域:画布编排区域: 将节点通过连线组成由上而下的程序基础组件区域: 提供一些程序的基础功能,方便用户快捷构建程序市场组件区域: 用户在基础组件中填写了参数,主动共享出来的扩展组件节...
蜻蜓:GitLab结合fortify实现自动化代码审计实践
汤青松
2022-12-08
阅读 4 分钟
2.2k
在这个流程中需要做的事情比较繁琐,比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。
高效率开发Web安全扫描器之路(一)
汤青松
2022-11-30
阅读 6 分钟
2.3k
经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬
WSL2安装systemd方法
汤青松
2022-11-16
阅读 1 分钟
1.9k
确保systemd 已在 WSL 2 发行版中启用。1. 下载并运行最新的安装程序脚本。 {代码...} {代码...} 此脚本安装发行版,但尚未启用它。2. 在发行版中启用Distrod您有两种选择。如果要在 Windows 启动时自动启动Distrod,请通过以下命令启用 Distrod {代码...} 否则 {代码...} 如果要在以后启用自动启动,则可以再次运行 wit...
蜻蜓低代码安全工具平台开发之路
汤青松
2022-06-23
阅读 3 分钟
1.4k
蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台。
蜻蜓安全编写插件模块 webcrack 实践
汤青松
2022-05-09
阅读 6 分钟
1.9k
蜻蜓安全工作台是一个安全工具集成平台,集成市面上主流的安全工具,并按照工作场景进行编排,目前主要预制了四个场景:信息收集、黑盒扫描、POC批量验证、代码审计;最大特点就是集成的工具多、种类全,你可以将你想要的工具编排成任意一个场景,快速打造属于自己的安全工作台~
CIS 2021网络安全创新大会《代码安全体系建设》实录
汤青松
2022-03-15
阅读 10 分钟
3.5k
汤青松 ,北京趣加科技有限公司 安全工程师,实体书《PHP WEB安全开发实战》作者,擅长企业安全建设,SDL安全建设。PHPCon 2020 第八届 PHP 开发者大会分享《PHP安全编码规范与审查》,NSC 2019第七届中国网络安全大会分享《PHP反序列化漏洞分析实践》看雪2018 安全开发者峰会担任Web安全训练营 讲师
QingScan 快速集成自定义工具
汤青松
2022-01-14
阅读 2 分钟
2k
QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完成。
聚合型代码审计工具QingScan使用实践
汤青松
2022-01-09
阅读 2 分钟
3.9k
搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~
linux 切换软件源到国内代理加速地址
汤青松
2021-09-17
阅读 5 分钟
4.1k
经常会使用各种Linux的发行版本,很多时候需要使用yum和apt去安装软件,但是Linux镜像中的软件源使用的是国外的地址,访问速度非常慢,有些时候甚至访问失败,每次都需要去网上找对应的软件源地址。
Clion Debug模式使用实践
汤青松
2021-09-16
阅读 1 分钟
4.9k
之前一直使用jetbrains公司的编辑器,正好发现C语言可以用CLion,但是发现不会使用他的调试功能,有些时候为了调试代码,还需要将代码复制到 Visual Studio 2019编辑器中;后来觉得太麻烦了,摸索了一段时间终于找到了CLion的调试方法,将方法记录下来给需要的同学吧。
Semgrep结合GitLab实现代码审计实践-服务端
汤青松
2021-06-03
阅读 6 分钟
4.7k
前段时间在做代码审计,发现很多项目都存在安全隐患,大多数是来自于参数未过滤所造成的;为了解决这个问题,我将Web安全开发规范手册V1.0进行了培训,但是效果并不是太理想,原因是培训后开发者的关注点主要在功能完成度上,安全编码对于他们来说并不是核心指标;
EISS2021-办公网零信任安全建设实践
汤青松
2021-05-24
阅读 8 分钟
2.3k
分享之前我想先简单介绍一下我们公司,趣加是一家游戏公司,主要了是面向海外市场,所以有很多同学了可能没有听过我们公司;但喜欢玩游戏的同学可能听过一个战队,就做fpx那其实就是我们公司的一个战队。
使用Docker进行Redis主从复制实践
汤青松
2021-04-11
阅读 5 分钟
1.6k
最近在做零信任安全网关,需要使用Redis作为认证缓存服务器,因为网关服务器分布在多个集群,每次都跨机房认证不太实现;所以需要使用Redis主从同步,将过程记录下来,希望可以给需要的同学一点参考。
1
(current)
2
下一页
1
(current)
下一页