Sonar Qube环境搭建 安装 docker-compose 使用docker搭建 version: "3.1" services: db: image: postgres container_name: db ports: - 5432:5432 networks: - sonarnet environment:

雪*十 发表于 上海 · 3793浏览 · 2023-08-14 21:47

注意：如业务使用到该程序，请下载最新版本或更新到最新版本 ！！！ 环境搭建 网络联通性 测试发现虚拟机win7可以ping通真实主机，但真实主机无法ping通虚拟机时 在虚拟机中的高级防火墙中->启用入站规则->文件和打印机共享(回显请求 - ICMPv4-In) 开启后即可解决真实主机无法ping通虚拟机的问题 向日葵无法连上服务器 刚开始我们的向日葵一进去，左下角是红色的，显示

墨*笔 发表于 北京 · 3905浏览 · 2023-08-13 09:16

Semgrep 介绍 什么是 Semgrep？ Semgrep 是一个开源的静态代码分析工具，旨在帮助开发人员和安全专家发现和修复软件代码中的安全漏洞、代码质量问题和最佳实践违规等。Semgrep 支持多种编程语言，包括但不限于 Python、JavaScript、Go、Java、PHP 等。 以下是 Semgrep 的一些主要特点和优势： 易于使用: Semgrep 的语法简单直观，使用 YA

ddro**** 发表于 美国 · 14186浏览 · 2023-07-14 09:06

原文地址：Building a new snapshot fuzzer & fuzzing IDA 原文作者：Axel Souchet 译者：qrzbing 介绍 现在是 2020 年 1 月，每年的这个时候我都会尝试为自己设定目标。我刚刚和家人在法国度过圣诞节回来，感觉精神焕发。对我来说，思考和计划未来一年总是令人兴奋的时刻；谁知道也许这一年我会擅长我认为的计算机（剧透警告：事实并非如

1662805282691153 发表于 江苏 · 4834浏览 · 2023-07-10 13:34

这篇文章介绍了作者去年提出的一种新方法，用于阻止EDR DLLs加载到新生成的进程中。经过几个月的努力，作者成功地实现了这个想法，并在今年的x33fcon和Troopers会议上展示了这个主题，并发布了PoC。本文将介绍该技术的背景和描述。 Endpoint Detection and Response (EDR)系统如何检测恶意活动或软件。EDR系统可以从用户空间（用户进程运行的位置）或内核空间

酱油哥 发表于 广东 · 7416浏览 · 2023-07-10 04:16

简介 Chunsou（春蒐），Python3编写的多线程Web指纹识别工具，适用于安全测试人员前期的资产识别、风险收敛以及企业互联网资产摸查。目前主要功能为针对Web资产进行指纹识别，目前指纹规则条数约 10000+，辅助功能包括子域名爆破和FOFA资产收集。工具开发初衷为辅助网络安全人员开展测试工作，提高资产识别和管理的效率。项目地址：https://github.com/Funsiooo/c

Funsiooo 发表于 中国香港 · 4813浏览 · 2023-07-04 15:02

什么是暗链 大部分的开源代码在实现暗链检测的时候都是直接判断页面里面有没有敏感词，如果有，就认为该链接为暗链。这种做法其实是有误的。 违规链接应该分为：外链、内链、死链和暗链。而暗链除了违规，还应该具备“暗”这个看不见的特征。 暗链的特征 其实“暗链”就是看不见的网站链接，“暗链”在网站中的链接做得非常隐蔽，短时间内不易被搜索引擎察觉。是做非法SEO的常用手段。 下面是一些特征 <!-- 正

1794205309262390 发表于 重庆 · 2904浏览 · 2023-06-14 01:39

随着越来越多的企业和组织将他们的应用迁移到云上，云原生技术的应用部署和管理正在变得更加灵活和高效，但也相应地引入了一些新的安全风险。2023年4月15日，由云原生计算基金会（CNCF）发起，全球各国当地的 CNCF 大使、员工以及 CNCF 会员单位联合组织的Kubernetes Community Days（KCD）技术沙龙在中国大连圆满举办。 在本次技术沙龙上，来自不同领域和企业的安全专家

OpenSCA社区 发表于 北京 · 3093浏览 · 2023-06-13 06:40

本文源地址 页面分析合集地址 页面内容分析之404页面检测 先来看看机器人怎么说： 要检测一个网页是否是404页面，你可以尝试以下方法： HTTP状态码检查：发送HTTP请求并检查返回的状态码。如果网页是404页面，服务器将返回404状态码。你可以使用编程语言或工具（如Python的requests库）发送HTTP请求，并检查返回的状态码是否为404。 页面内容检查：发送HTTP请求并获取网页内容

1794205309262390 发表于 重庆 · 3129浏览 · 2023-06-12 12:58

研究了几天免杀，觉得很是有趣，和杀软斗智斗勇的过程是真的有意思。但我对整体 C&C 架构思路也非常好奇，于是就通过 https 协议完成了一个 C&C。python 没打包前的效果如下图： 服务器整体流程就是起端口监听，有人连到我我就更新自己的数据库并呈现，服务端把命令放到数据库里，等待客户端连接时取走。客户端定时发送心跳包并向服务端取命令执行，之后返回结果，服务端会把结果进行数

pic4xiu 发表于 陕西 · 3469浏览 · 2023-06-11 12:16

前言 ​ 很多师傅在搞渗透测试时，离不开burpsuite，有一些好的插件如虎添翼，我把常用的burp插件整理分享出来，若各位师傅有好用的插件欢迎留言交流！ 插件 Log4j2Scan 描述 该工具为被动扫描Log4j2漏洞CVE-2021-44228的BurpSuite插件，具有多DNSLog（后端）平台支持，支持异步并发检测、内网检测、延迟检测等功能。 下载地址 https://git

1000303887847998 发表于 四川 · 17241浏览 · 2023-06-07 03:05

1.1 udf手工提权 当 secure_file_priv 的值为 NULL ，表示限制 mysql 不允许导入|导出，此时无法提权 当 secure_file_priv 的值为 /tmp/ ，表示限制 mysql 的导入|导出只能发生在 /tmp/ 目录下，此 时也无法提权 当 secure_file_priv 的值没有具体值时，表示不对 mysql 的导入|导出做限制，此时可提权 查询se

忘川安全 发表于 四川 · 3610浏览 · 2023-06-06 12:32

基础文档 使用简介 项目地址： https://github.com/hyutils/hyorm 简介地址：https://mp.weixin.qq.com/s/QypOXRgCnt7e6Znig_89rQ 使用方法：引入maven <dependency> <groupId>com.hyutils</groupId> <a

1794205309262390 发表于 重庆 · 2464浏览 · 2023-06-05 02:14

免责声明 本文仅限于技术研究与讨论，工具仅为CTF赛事开发，严禁用于非法用途，否则产生的一切后果自行承担。 本作品采用知识共享 署名-相同方式共享 4.0 国际 许可协议进行许可，转载请注明原作者为Marven11。 前言 之前有一段时间在研究SSTI, 将CTF中常见的Jinja SSTI WAF绕过技巧整合成了一个工具，基本做到了常规SSTI通杀。 最近主要功能开发基本完毕，Github也破了

Marven11 发表于 广东 · 6080浏览 · 2023-06-03 05:21

看下nickname~ 1.1 反射 Assembly.Load()是从String或AssemblyName类型加载程序集，可以读取字符串形式的程序集，也就是说，文件不需要写入硬盘 Assembly.LoadFrom()从指定文件中加载程序集，同时会加载目标程序集所引用和依赖的其他程序集 例如： Assembly.LoadFrom("a.dll")，如果a.dll中引用了b.dll，那么会同时加

忘川安全 发表于 四川 · 3101浏览 · 2023-06-01 18:22