代码审计系统 Swallow 开发回顾

2023-04-03
阅读 3 分钟
857
做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

开源 Swallow 代码审计系统体验

2023-03-28
阅读 2 分钟
846
最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.

开源代码审计系统 Swallow 内测发布

2023-03-24
阅读 2 分钟
832
Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测),通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。

开源项目dolphin-ASM网络资产风险监测系统

2023-03-09
阅读 2 分钟
774
项目简介dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析;例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等.前端使用了bootstrap框架,控制台使用的ThinkPHP; 底层数据来自于蜻蜓平台的数据聚合系统,调用了各类框架和A...
封面图

蜻蜓安全工作台程序编排简要说明

2022-12-30
阅读 1 分钟
1.2k
如何自己新建工作流程?在工作台中新建一个工作流,点击编排流程,进入到工作流编辑页面,如下图所示画布区域介绍在工作流页面分为了4个区域:画布编排区域: 将节点通过连线组成由上而下的程序基础组件区域: 提供一些程序的基础功能,方便用户快捷构建程序市场组件区域: 用户在基础组件中填写了参数,主动共享出来的扩展组件节...

蜻蜓:GitLab结合fortify实现自动化代码审计实践

2022-12-08
阅读 4 分钟
1.9k
在这个流程中需要做的事情比较繁琐,比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。
封面图

高效率开发Web安全扫描器之路(一)

2022-11-30
阅读 6 分钟
2k
经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬
封面图

WSL2安装systemd方法

2022-11-16
阅读 1 分钟
1.6k
确保systemd 已在 WSL 2 发行版中启用。1. 下载并运行最新的安装程序脚本。 {代码...} {代码...} 此脚本安装发行版,但尚未启用它。2. 在发行版中启用Distrod您有两种选择。如果要在 Windows 启动时自动启动Distrod,请通过以下命令启用 Distrod {代码...} 否则 {代码...} 如果要在以后启用自动启动,则可以再次运行 wit...

蜻蜓低代码安全工具平台开发之路

2022-06-23
阅读 3 分钟
1.1k
蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台。

蜻蜓安全编写插件模块 webcrack 实践

2022-05-09
阅读 6 分钟
1.5k
蜻蜓安全工作台是一个安全工具集成平台,集成市面上主流的安全工具,并按照工作场景进行编排,目前主要预制了四个场景:信息收集、黑盒扫描、POC批量验证、代码审计;最大特点就是集成的工具多、种类全,你可以将你想要的工具编排成任意一个场景,快速打造属于自己的安全工作台~
封面图

CIS 2021网络安全创新大会《代码安全体系建设》实录

2022-03-15
阅读 10 分钟
3.1k
汤青松 ,北京趣加科技有限公司 安全工程师,实体书《PHP WEB安全开发实战》作者,擅长企业安全建设,SDL安全建设。PHPCon 2020 第八届 PHP 开发者大会分享《PHP安全编码规范与审查》,NSC 2019第七届中国网络安全大会分享《PHP反序列化漏洞分析实践》看雪2018 安全开发者峰会担任Web安全训练营 讲师
封面图

QingScan 快速集成自定义工具

2022-01-14
阅读 2 分钟
1.7k
QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完成。
封面图

聚合型代码审计工具QingScan使用实践

2022-01-09
阅读 2 分钟
3.6k
搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~
封面图

linux 切换软件源到国内代理加速地址

2021-09-17
阅读 5 分钟
3.8k
经常会使用各种Linux的发行版本,很多时候需要使用yum和apt去安装软件,但是Linux镜像中的软件源使用的是国外的地址,访问速度非常慢,有些时候甚至访问失败,每次都需要去网上找对应的软件源地址。

Clion Debug模式使用实践

2021-09-16
阅读 1 分钟
4.6k
之前一直使用jetbrains公司的编辑器,正好发现C语言可以用CLion,但是发现不会使用他的调试功能,有些时候为了调试代码,还需要将代码复制到 Visual Studio 2019编辑器中;后来觉得太麻烦了,摸索了一段时间终于找到了CLion的调试方法,将方法记录下来给需要的同学吧。

Semgrep结合GitLab实现代码审计实践-服务端

2021-06-03
阅读 6 分钟
4.3k
前段时间在做代码审计,发现很多项目都存在安全隐患,大多数是来自于参数未过滤所造成的;为了解决这个问题,我将Web安全开发规范手册V1.0进行了培训,但是效果并不是太理想,原因是培训后开发者的关注点主要在功能完成度上,安全编码对于他们来说并不是核心指标;

EISS2021-办公网零信任安全建设实践

2021-05-24
阅读 8 分钟
2.1k
分享之前我想先简单介绍一下我们公司,趣加是一家游戏公司,主要了是面向海外市场,所以有很多同学了可能没有听过我们公司;但喜欢玩游戏的同学可能听过一个战队,就做fpx那其实就是我们公司的一个战队。

使用Docker进行Redis主从复制实践

2021-04-11
阅读 5 分钟
1.5k
最近在做零信任安全网关,需要使用Redis作为认证缓存服务器,因为网关服务器分布在多个集群,每次都跨机房认证不太实现;所以需要使用Redis主从同步,将过程记录下来,希望可以给需要的同学一点参考。

使用Portainer部署Docker容器实践

2021-04-10
阅读 6 分钟
10.8k
最近在使用rancher2.5.5部署Redis主从复制的时候,发现rancher会产生很多iptables的规则,这些规则导致我们在部署了rancher的机器上无法使用Redis的主从复制功能,因为我对rancher和k8s的了解也仅限于了解网络架构和使用,对底层并不深入,短期内无法解决这个网络冲突的问题;

K8s微服务自动化部署容器(Rancher流水线)

2021-03-04
阅读 4 分钟
6.5k
想起了k8s微服务的成熟方案,不仅可以自动重启还可以监控容器运行状态,也可以集成自动化部署,于是找了一些资料将之前接触过的rancher用了起来,首先要做的就是简化安装方式,下面是我的一些过程,同时也可以给大家提供参考。

W13Scan 漏洞扫描器之XSS插件模块编写示例

2020-12-08
阅读 6 分钟
3.4k
W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式,能运行在Windows、Linux、Mac上。

Rad爬虫结合W13Scan扫描器挖掘漏洞

2020-12-04
阅读 2 分钟
18.2k
这几天一直在研究W13Scan漏洞扫描器,因为对Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说;Rad爬虫最近比较火,于是就是就选择它了

W13Scan 扫描器挖掘漏洞实践

2020-12-03
阅读 3 分钟
18.8k
这段时间总想捣鼓扫描器,发现自己的一些想法很多前辈已经做了东西,让我有点小沮丧同时也有点小兴奋,说明思路是对的,我准备站在巨人的肩膀去二次开发,加入一些自己的想法,从freebuf中看到W13Scan扫描器,觉得这个扫描器很酷,准备深入研究。

使用docker快速搭建xssPlatform测试平台实践

2020-03-03
阅读 4 分钟
29.5k
笔者之前给一些开发团队多次做Web安全开发培训,为了让培训的学员能够理解XSS原理和XSS的危害,将xssPlatform进行了更新,之前一直放在GitHub中;发现关注的人越来越多,很多人在安装的过程中遇到问题不知道怎么处理,为了简化安装步骤,笔者将xssPlatform封装到了docker镜像当中,同时编写了一套安装文档,希望到时候给...

docker中使用源码方式搭建SRS流媒体服务

2019-12-13
阅读 4 分钟
18.3k
搭建流媒体服务的方式一般会采用nginx+rtmp和srs服务两种,前者是nginx加上插件所用,而后者是专门为了为了流媒体而生,在这一节中我们将从头搭建srs流媒体服务

Ubuntu中使用Nginx+rtmp搭建流媒体直播服务

2019-12-04
阅读 4 分钟
19.6k
一、背景 本篇文章是继上一篇文章《Ubuntu中使用Nginx+rtmp模块搭建流媒体视频点播服务》文章而写,在上一篇文章中我们搭建了一个点播服务器,在此基础上我们再搭建一个直播服务器, 二、配置rtmp直播服务 我们需要在nginx配置文件中增加直播的配置,这里我们依然使用vim命令打开配置文件,执行命令如下 {代码...} vim命...

Mac下使用pecl安装PHP的swoole扩展实践

2019-12-03
阅读 3 分钟
21.2k
前段时间把Mac系统重装了,PHP的一些扩展都没了,昨天需要调试一个swoole开发的项目,发现命令行中的PHP是系统自带的,如果安装swoole扩展很不方便;需要自己手动去下载swoole的源码,然后去编译swoole的源码,并自己配置,整个过程非常繁琐;

安卓开发开发规范手册V1.0

2019-09-03
阅读 17 分钟
21.7k
PermissionGroup可以对permission进行一个逻辑上的分组。如果PermissionGroup的属性为空,会导致权限定义无效,且其他app无法使用该权限。

使用VMware安装Permeate靶场系统实践

2019-05-06
阅读 1 分钟
14.7k
不定时会做一些内训,会经常用到实验坏境;一开始搭建了一个docker容器,但考虑到不是所有学员都会使用docker,因此做了一个虚拟机版本,其实就是虚拟机里面安装了docker,为了方便大家迅速搭建坏境,总结了此文档给需要的学员;

Web安全之XSS Platform搭建及使用实践

2018-12-08
阅读 4 分钟
15k
XSS Platform 是一个非常经典的XSS渗透测试管理系统,原作者在2011年所开发,由于后来长时间没有人维护,导致目前在PHP7环境下无法运行。