- 博客(261)
- 资源 (10)
- 收藏
- 关注
RSS订阅
原创 VMware安装MAC OS 10.15.4
首先,需要https://mirrors.dtops.cc/iso/下载一个需要的版本,我下载的是最新的10.15.4。其次,需要下载unlockder使VMWare可以支持MAC OS的虚拟机,如果要安装比较新的MACOS版本,需要下载VMware15.5或者更新的版本,如果是从低版本升级的Vmware,升级之后需要再运行一次unlockder,创建虚拟机时,才可以选择新的版本:开...
2020-04-03 14:46:23
23022
25
原创 已经连接过的网络的密码忘记了,怎么快速找回?
使用笔记本电脑曾经连接过一些无线路由器,时间久了,密码可能就忘记了。再使用其他设备连接时,就需要尝试去找到这个密码。本片文章就是通过几个命令快速找到之前使用笔记本电脑曾经连接过的无线网络的密码。
2024-03-13 17:31:32
236
原创 关于静态应用程序安全测试(SAST)的自动修复(AutoFix)
目前市场上有些产品提出创新的功能就是自动修复,核心功能就是发现有问题的代码,然后自动修复,或者半自动修复。这个功能听起来很美好,工具扫描发现了问题,然后不需要开发人员的干预,自动修复检测到的问题。有的工具甚至还号称“100%的扫描准确度,自动化代码修复”。本文章就是尝试通过对几种号称可以自动修复的工具的调查,看看他们实际的自动修复是什么?是否可以达到预期的宣传的那样。
2024-02-28 21:25:25
746
原创 用pandas实现用前一行的excel的值填充后一行
接下来就需要一个简单的方法,把后面的空的cell的内容填上,这样通过公式计算UniqueKey时,就可以很容易。虽然Excel也提供了可以使用其他的Cell的值填充空白Cell的值,但是操作步骤有点作,而且对于操作有几千上万行的excel文件来说,太不方便,万一出错,就需要重来一遍。如果UniqueKey有重复的,就可以通过Excel的去重复数据的功能,直接将重复的行去掉。正好学习了pandas库,发现用它的dataframe可以很轻松地实现。几行代码就可以轻松搞定几万行的文件的数据处理!
2024-01-18 16:15:54
656
原创 xlrd.biffh.XLRDError: Can‘t find workbook in 0LE2 compound document
本文主要是探讨如何解决xlrd.biffh.XLRDError: Can't find workbook in 0LE2 compound document 错误。
2024-01-03 15:06:13
593
原创 应用安全四十四:Side Channel
这种攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。这种攻击不是基于协议或算法设计本身的缺陷(例如,密码算法的密码分析中发现的缺陷),也不是实现中的小错误或疏忽,而是基于计算机协议或算法实现方式的本质方式。这种攻击不是基于协议或算法设计本身的缺陷(例如,密码算法的密码分析中发现的缺陷),也不是实现中的小错误或疏忽,而是基于计算机协议或算法实现方式的本质方式。Side Channel攻击的条件是能够建立泄漏的物理信号与处理的数据之间的联系,以及处理的数据与芯片中的数据之间的联系。
2023-12-31 10:39:19
1114
原创 error: urllib3 2.1.8 is installed but urllib3<1.27,>=1.25.4;
本文主要是介绍如何解决python安装过程中遇到的urllib3 的版本不匹配的问题。
2023-12-14 17:14:28
351
原创 URIBuilder与SSRF
在使用一个静态扫描工具时,报了一个SSRF的问题,经过数据流的分析,导致此工具报SSRF的原因是在调用URIBuilder的setPath函数时,参数是从请求里获取的,导致了数据流被污染,因此认为由URIBuilder构造的URL也被污染,最终导致URIBuilder构造出来的URI被污染,所以,认为可能会导致SSRF问题。通过以上实现可以看出,针对URL中的Path的处理是不安全的,但是对Parameter的处理是安全的。可以看出这里的路径如预料的一样没有被处理。
2023-12-11 19:35:14
223
原创 几个查找开源组件CVE的网站和工具
结果中不仅给了严重的级别,还提供了CVSS,最为重要的是它提供了EPSS,EPSS(漏洞利用预测评分系统)是一种利用CVE信息和真实世界的攻击数据来预测漏洞是否以及何时会被利用的系统。它是一款由OWASP提供的一款免费的查找整个项目含有哪些组件和CVE的工具,根据可能性提供了可能的CVE列表,显示的结果可以是HTML和JSON。不过,针对输出结果需要进一步解析才能得到最直观的信息。不过这个网站用起来不太方便,如果有具体的CVE查找还比较方便,如果查找其他的信息,例如:组件名称和版本以及时间,就不太方便了。
2023-12-06 15:00:16
1157
原创 应用安全四十三:无密码认证安全
无密码认证是一种新兴的安全技术和身份认证手段,是用密码以外的东西验证软件用户身份的过程,旨在替代传统的用户账号和密码认证方法,提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权,可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。本文主要介绍了无密码认证的概念、类型、威胁和相关的预防措施。
2023-12-03 11:18:14
541
原创 pandas 如何获取dataframe的行的数量
pandas的dataframe提供了多种方法获取其中数据的行的数量,本偏文章就是介绍几种获取dataframe行和列出量的方法。
2023-11-26 19:53:50
1946
原创 scapy No such device exists (No such device exists)
如何解决错误:“scapy No such device exists (No such device exists)”
2023-11-20 16:07:07
137
原创 services.Jenkins Additional property tags is not allowed
本文章描述了Additional property tags is not allowed问题的原因和解决方案。
2023-11-09 11:00:21
856
原创 应用安全系列之四十:登录常见问题以及预防方法
本片文章尝试列举了在实现登录功能时可能出现的问题,并针对每种可能的攻击原理和预防给与了详细的解释,希望通过本片文章可以让你了解与掌握在实现登录的功能时可能存在的各种可能的攻击,并且在开始实现登录功能的时候,能够在设计里考虑到各种可能的攻击,在第一时间能够正确地把登录功能做的更安全,守护好整个应用程序的大门。
2023-10-08 18:06:39
237
原创 应用安全系列之三十九:JWT 相关安全问题以及最佳实践
本文主要简单介绍JWT的功能,以及常见的安全问题,并针对相关的安全问题提供一些有针对性的解决方案。 希望对JWT的使用者和实现者能够有所帮助。
2023-10-07 19:47:18
182
原创 Mac:运行docker遇到Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker ...
如何解决Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
2023-09-07 14:55:39
4929
原创 Expected a mapping or list of mappings for merging, but found scalar
在CircleCI集成的过程中,难免会遇到各种问题,遇到问题注意收集,可以为以后的集成带来方便。
2023-09-04 14:10:05
109
原创 关于hardcoded账号和密码的问题的想法
但是,程序员在实现时为了方便经常会使用一些不太安全的方法,容易导致系统的存储系统的访问账号和密码的泄露。如果使用不同的配置文件,但是使用相同的账号和密码,这个和使用同一个配置文件也没什么区别,主要的区别就是修改产品线上的账号和密码时,比较容易一些。总之,无论如何,尽量避免hardcoded的关键敏感信息,包括:密码、token、加密的密钥等,需要在实现之初就应该规划好如何管理这些内容,如何能够基于当前的系统架构实现动态更新,这样才能保证一旦出现泄漏问题,可以及时更换泄露的内容,保护系统的安全。
2023-08-03 10:41:10
172
原创 Java如何获取一个文件的MIME-TYPE
在介绍文件上传漏洞时,介绍了针对输入的文件需要判断:文件大小、文件扩展名、文件名称还有文件类型。其中关键的就是检测文件的内容的类型,如果避免一些不符合实际需求的内容上传就是其中最关键的,探测准确的内容类型,可以预防上传恶意代码或者恶意文件。
2023-06-16 18:11:25
2810
原创 富文本输出如何避免XSS
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
2023-05-12 17:12:17
2532
1
原创 使用chatgpt探索XSS问题
通过本次提问和获得答案的记过来看,通过Chatgpt可以大概了解一下XSS的原理和预防方法,但是,要真正动手写代码彻底解决XSS问题,还需要再进一步学习掌握才可。
2023-04-26 11:30:54
521
原创 使用chatgpt探索SQL注入
所以,chatgpt的回答不一定就是正确地, 要想判断答案的正确性,还必须要查询者自己有一定的知识基础,可以判断其中的一些不足的地方。通过以上几个问题,可以发现chatgpt确实在解决问题上很方便,同样的问题,通过google,baidu和bing几个大的搜索引擎,搜索结果很多,而且没有针对性。
2023-04-24 17:37:48
1499
原创 UnicodeDecodeError: ‘utf-8‘ codec: invalid continuation byte
在未知名读取文件爱你编码的情况下,默认的编码是UTF-8,说明文件里有字符使用UTF-8读取不出来,这种情况可以通过将文件改成UTF-8编码来解决。网上搜索了一些方法,感觉都不对,都是在读取的时候,设置编码之类的。如果文件的内容不是ISO-8859-1还是会导致读取出错。一个文件可以正常读取,但是,其中有一个文件却始终不可以。
2023-03-14 14:44:39
1706
原创 Grafana 如何使用本地CSV文件作为数据源
我是在本地使用命令行grafana-cli plugins install marcusolsson-csv-datasource安装的。重启Grafana之后,在Grafana的主页,在Configuration里如果能够看到CSV,就说明安装成功了。然后再重启一下grafana服务,就可以创建本地CSV数据源并且使用此数据源了。再转到[Data Source]界面添加数据源,可以看到有CSV选项了。安装之后,需要重启一下Grafana服务才可以加载进来。点击CSV插件,可以添加CSV数据源。
2023-03-07 12:01:28
2888
原创 应用安全系列之三十八:注入问题的成因以及预防原理
自从有了OWASP TOP的排名依赖,注入问题就一直排名前三,这就说明了注入问题对系统的影响是十分严重的,而且,注入问题一般比较容易被利用。注入问题产生的根本原因就是程序在接受到请求中的参数时,没有经过严格的验证和正确地使用就直接被使用于解释型语言、结构化查询语言或者标签语言等语言的环境里用作程序执行的一部分。它的发生需要两个条件:
2023-02-13 11:31:39
652
原创 nmap的用法大全
Nmap是一款比较常用的开源工具,可以从https://nmap.org/下载,它可以用来探测目标机器开放了哪些端口,使用的操作系统类型和启用了哪些服务,同时,可以针对具体的服务发起一些枚举攻击以及漏洞扫描,并且根据漏扫发现的漏洞使用某个CVE发起攻击。本文主要对一些常用的nmap命令进行说明,并且针对一些功能举行实例说明。
2022-11-08 21:31:05
3349
原创 Failed to connect to repository : Error performing git command: git.exe
Jenkins环境下,Failed to connect to repository : Error performing git command: git.exe 的问题的解决方案。
2022-08-26 18:23:50
2907
2
原创 应用安全系列之三十七:日志注入
用户输入的参数未做任何验证直接写入日志文件,导致攻击者可以通过特殊字符(\r \n)在日志中注入新的日志条目,破坏系统日志的完整性。例如:test failed to log in. 如果test是可以控制的,就可以通过输入(admin login successfully.\r\n test)将日志修改为:admin login successfully.\r\n Info:test failed to log in. 就注入了一条日志。 一旦 日志的完整性没法保障,那么,会影响它作为证据的有效性。日志
2022-07-05 15:19:28
4408
unlocker-3.0.3.zip
2020-03-30
web hacking - attacks and defense
2014-09-18
OCCI 接口封装包
2009-08-05
嵌入式Linux性能详解
2009-07-01
gdb 培训材料 ppt
2009-01-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人