go windows程序使用管理员权限运行 go windows程序使用管理员权限运行 背景写了一个windows日志收集的小工具,部分操作需要管理员权限,从网上找了几篇文章,思路都是通过Windows的.Manifest xml文件构建syso,然后打包运行即可,在此参考了几篇文章,CSDN居多,不止百度,谷歌上CSDN的文章也排名也比较靠前,但是部分文章思路没问题,但是你们的.manifest配置文件xml数据都没有闭合,导致博主在实 2021-04-28 Code Go
你为什么从当前的公司离职 你为什么从当前的公司离职 今天是XX成立21周年纪念日,就在前天我和领导提了离职,领导至今都未回复我,无论是工作繁忙,还是其他原因,不过我并不关注,了解的越多只会让自己更伤心。 知乎上有一个帖子,帖子的名称为《你为什么从XX离职》。至今我每年都会上去看看,每年都会增加几条答复,每个人走的时候可能是钱没给够也可能是受了委屈,理由很多,走的时候都想踩公司一脚。每年都会看一遍,每年的感触都不一样。17 2021-04-25 Diary Life
在渗透测试过程中通过源代码审计进行漏洞挖掘 在渗透测试过程中通过源代码审计进行漏洞挖掘 简述在对抗性测试过程中,攻击队攻击的资产通常被防守方层层防护,明显的漏洞在前期资产排查的时候基本上被修复的七七八八。要想获得不错的战果,必须得出奇招。如果能对防护的站点进行源代码审计,或者对相似的站点进行代码审计,那将进一步扩大战果。之前在某对抗性测试过程中,发现某安全大厂,在测试过程中,通过前期信息收集,全网检索相似站点或者CMS,直接测试对应站点( 2021-04-08 Security Code Audit Code
记一次基于django二次开发系统业务源代码审计 记一次基于django二次开发系统业务源代码审计 简述突然被领导拉去协助产研的同学做代码审计,审计的系统是一个后端业务系统,系统基于django框架做的二次开发,我只负责审计业务代码即可。审计过程中遇到一个文件上传点未按照编码规范,使用拼接的形式查询数据而导致的sql注入漏洞,听起来很魔幻,又因为在审计过程中对于postgresql语法生疏,一定要记录一下,否则后续还得花费时间学习。 djang 2021-03-18 Security Code Audit Code
dwr框架代码审计 dwr框架代码审计 简述在做测试的过程中发现一个老系统提交的请求包比较奇怪,通过检索,发现是早期java web研发人员常用的DWR框架,dwr框架比较古老,可以帮助用户实现Ajax网站,可以让你在浏览器中的Javascript代码调用Web服务器上的Java,就像在Java代码就在浏览器中一样。 DWR 主要包括两部分: - 在服务器上运行的 Servlet 来处理请求并把结果返回浏览器。 - 2021-03-01 Security Code Audit Code
代码审计复测代码对比技巧 代码审计复测代码对比技巧 简述在甲方审计现场遇到一个傻叉的需求,要求对审计的源代码做一个全量的复测,提出这个需求的目的主要是对客户目前修复的内容全量做检测,这部分修复的内容包括对我们审计发现问题的修复和渗透测试发现的问题修复的代码及业务迭代的代码。正常源代码复测,只是对代码审计发现的问题进行复测,主要的目的是由于审计的效率和乙方项目成本考虑。针对客户这种需求,也得做,不然会被(没)投(饭)诉(吃 2021-01-20 Security Code Audit Code
这大概就是生活 这大概就是生活 很早就想写这篇博文了,一直没找到合适的题目,今天突然想到,生活不会给我们这些凡人一个喘息的机会,与其苦思冥想,还不如利用有限的时间,随便写写,题目就随意点,这大概就是生活,将自己的所思所想写出来,这篇博文拖着写了好长时间,陆陆续续回顾了目前个人工作生活的一些感悟。各位也就随便看看,文章很水,很扯,耽误各位时间,实在见谅。 毕业这么长时间,一直不断在向前奔跑,很累很想停下来,但 2020-12-15 Diary Life
安装并使用checkmarx进行代码审计 安装并使用checkmarx进行代码审计 背景在客户侧审计C++代码,本来前期交流已明确说明不做客户端代码审计,主要是没有太大的必要,浪费人力物力,并且对审计人员不太友好,进入现场实施发现客户极其不配合,而且盲目自信,对于这种客户我没有去说服他的勇气,只能按照他的意愿进行审计,审计正常开展,发现大量c++代码,这部分代码属于安卓客户端项目中底层的一些依赖组件,主要是安卓的native层,Nati 2020-10-30 Code Audit Security guide
使用mondo备份恢复Linux操作系统 使用mondo备份恢复Linux操作系统 背景首先先吐槽一下某大行运维人员,能力太弱,还不停的指责厂商为何不给提供的linux系统中安装图形操作界面,一个linux运维,不会配置网络,不会使用正则筛选,不会使用vim等等,整个过程中一副小人得志的嘴脸,让人感到恶心。我就不明白,一个菜鸡,就因为自己是甲方就可以随意指责乙方人员。拿钱干活,给钱走人,不想让我们来,早点儿说,无端指责,无法掩盖你的弱鸡 2020-09-20 OS Linux Backup
导入centos7虚拟机出现dracut-initqueue timeout 导入centos7虚拟机出现dracut-initqueue timeout 背景拷贝centos7虚拟机导入到客户的虚拟集群,导入过程不多讲,一起正常,在启动过程中,出现 dracut-initqueue timeout,通过分析启动日志,发现内核无法加载硬盘,dracut提供shell中工具不多,也无法定位问题具体出在那里,由于磁盘使用lvm的形式,个人猜测可能是由于硬件发生变化,缺乏驱动, 2020-09-10 Linux VM