官方插件定制 我的业务有执行命令需求，如何允许应用执行命令？ 通过文件函数写入 webshell，OpenRASP 不会拦截？ SQLi 常量对比算法 存在误报？ 其他参考 官方插件无法拦截攻击，我应该如何调试 官方插件定制 不同的研发人员，编码的习惯可能会不同；不同的业务，应用场景也不同。根据QQ群里用户的反馈，我们进行了整理。如果还有没...

最后更新：Jan 24, 2019 | 所有文档 我们偶尔会收到使用 HTTP-01 验证类型时遇到问题的人的报告，这是因为他们通过防火墙封闭了 Web 服务器上的 80 端口。我们的建议是，所有用于一般 Web 使用的服务器应该同时在 80 端口上提供 HTTP 服务、在 443 端口上提供 HTTPS 服务。它们还应该将所有发送至 80 端口的请求...

谨慎处理地理位置数据 详细描述 建议 参考 CWE/OWASP 谨慎处理地理位置数据 详细描述 Android和iOS可以使用GPS准确地确定位置。 处理此GPS数据是一个隐私问题，如果攻击者知道其当前或过去的位置，可能会使用户容易受到其他攻击。 本地蓝牙、NFC 、RFID标签的信息也可能泄漏地理位置信息。 此外，访问图库图片的应用程...

OpenRASP 官方文档 常用链接 OpenRASP 官方文档 最近几年，Web攻击手段开始变得复杂，攻击面也越来越广。传统的安全防护手段，WAF、IDS 等等，大多是基于规则，已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念，即 "对应用服务的保护，不应该依赖于外部系统；应用应该具备自我保护的能...

spring监控配置 sql监控配置 注意引入aspectj支持，否则会报错 spring监控配置 @Configuration@EnableAspectJAutoProxy(proxyTargetClass = true)**public class DruidAspectConfig { @Bean public DruidS...

Chromium浏览器安全架构 Chromium浏览器安全架构 大部分当前web浏览器使用一种将用户和网络结合成一个单一保护域的单片结构。在这样的浏览器中，攻击者可以利用任意代码执行漏洞，盗取敏感信息或者安装恶意软件。在这篇文章里，我们展示了Chromium的安全架构。Chromium有着两个处于独立保护域 的模块：一个是浏览器内核，与操作系统交互，...

延迟请求 延迟请求 页面规则的下拉列表里面有很多动作，它们都已经分类整理好了。其中有一类是“限制请求动作”， 里面的动作就是用来控制请求的。我们这里选择对请求进行延迟操作，也就是延迟： 延迟请求 是一个很有用的动作。一些恶意的客户端会在短时间内发送大量的请求到服务端，可能是为了暴力猜测密码， 可能是为了占用流量，影响正常的请求。 有时候，直...

非常遗憾，停止更新。愿每一个安全从业者静有所思。——2019.3.7 为什么要写 Micro8 系列 读者及对象 声明 勘误及支持 致谢 非常遗憾，停止更新。愿每一个安全从业者静有所思。——2019.3.7 为什么要写 Micro8 系列 渗透攻击超十年，由于年龄，身体原因，自己感觉快要退出一线渗透攻击了。遂打算把毕生所学用文字表写...

使用fuzz testing模块测试模型安全性 概述 实现阶段 导入需要的库文件 参数配置 运用Fuzz Testing 使用fuzz testing模块测试模型安全性 Linux Ascend GPU CPU 数据准备 模型开发 模型训练 模型调优 企业 高级 概述 传统软件的决策逻辑由代码逻辑决定，传统软...

9. 工具与资源 9. 工具与资源 内容索引: 9.1. 推荐资源 9.1.1. 书单推荐 9.1.2. Blog 9.1.3. Bug Bounty 9.1.4. Web安全相关题目 9.2. 相关论文 9.2.1. 流量分析 9.2.2. 漏洞自动化 9.2.3. 攻击技巧 9.2.4. 攻击检测 9.2.5. 隐私 ...