- 综合排序
- 最热优先
- 最新优先
- 来自专栏PHP技术大全
蜻蜓安全编写插件模块 webcrack 实践
一、背景 蜻蜓安全工作台是一个安全工具集成平台,集成市面上主流的安全工具,并按照工作场景进行编排,目前主要预制了四个场景:信息收集、黑盒扫描、POC批量验证、代码审计; 最大特点就是集成的工具多、种类全 我以弱口令检测工具WebCrack为例,讲解如何在蜻蜓安全工作台中提交工具。 三、学习镜像制作方法 现在我们已经知道工具如何接入,只需要让程序执行他就行了,所以我们需要学习蜻蜓安全工作台插件的一些基本规则,学习规则很简单。 我们只需要将蜻蜓已经写好的插件下载下来,看看之前的插件怎么写的就可以了。 3.1 案例分析 如下图是蜻蜓安全工作台已经编写好的插件, 我们随意挑选一个案例,以长亭的xray工具接入为例, 可以看到工具一共有三个目录:code、tools、Dockerfile 我们先分析一下
78020编辑于 2022-05-11 - 来自专栏基础web安全
使用蜻蜓安全挖掘漏洞实践(一)
一、Docker 远程访问TLS加密访问|蜻蜓 以下操作需要提前安装docker, 如果已安装docker请跳过这步, 安装docker命令如下: curl -sSL https://get.daocloud.io cat nohup.out 三、添加节点 现在需要回到蜻蜓安全工作台页面中(http://qingting.starcross.cn/node/index.html) 在添加节点的表单出,填写你要给节点的名字
52800编辑于 2022-04-30 - 来自专栏PHP技术大全
蜻蜓低代码安全工具平台开发之路
一、背景 蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台 1.2 蜻蜓与Soar 在市面上我们可以看到很多安全相关的soar平台,soar平台的重点是在于编排,蜻蜓也是编排,方向是一致的; 但蜻蜓和soar也有不一样的地方,是在于蜻蜓的组件支持在用户机器上运行 对于有开发经验的工程师来说,这个流程相对简单,无非是写一个脚本,不断请求地址获得URL,然后去除重复数据,再调用SQLmap进行检测,最后再写一个钉钉通知事件; 但是实现起来其实还是要费不少时间的,但他如果知道蜻蜓安全平台可以这样来实现 为了让普通用户能够快速上手,前端的交互体验显得格外重要,为了让用户理解数据的传递过程,低代码平台通常会使用流程图来展示数据流转,蜻蜓安全平台的流程图组件选择的是antv的Xflow xflow用的typescript 蜻蜓安全平台地址:http://qingting.starcross.cn/ 蜻蜓GitHub仓库地址:https://github.com/StarCrossPortal/QingTing 日期:2022
1.1K20编辑于 2022-06-23 - 来自专栏PHP技术大全
蜻蜓安全工作台程序编排简要说明
在工作台中新建一个工作流,点击编排流程,进入到工作流编辑页面,如下图所示 画布区域介绍 在工作流页面分为了4个区域: 画布编排区域: 将节点通过连线组成由上而下的程序 基础组件区域: 提供一些程序的基础功能 你只需要处理当前节点和上游节点之间的关系即可,通常处理数据会使用运行脚本组件,蜻蜓提供了上游节点的数据,点击节点出现配置面板后,可以一键复制上游节点数据,然后在本地调试代码.
66530编辑于 2023-01-10 - 来自专栏API安全
蜻蜓:开箱即用的安全工作流编排
功能介绍 图片 蜻蜓安全工作台是一个为安全工程师所打造的安全工作流编排平台;集成了市面中场景的安全工具,让工程师一键使用,提高工作效率;工程师也可以在平台中发挥自己的创造力,低成本的编排专属于自己的工作剧本 主要包含了三大功能: 安全工具库 低代码工作流编排 工作流共享 # 安全工具库 安全工程师在日常工作中会用到很多安全工具,比如说sqlmap、nmap、xray等等,这些工具的使用方法、安装方法、依赖环境都是不一样的 ,而且这样的小工具高达上百种,工程师要使用这些工具需要去花费很大一笔时间在安装和使用方法上,蜻蜓安全工具平台简化了工具的安装和使用的学习成本,收集了大量常见的安全工具并将它通过容器化包装成标准的工具,启动和使用方法都是一致的 ;用户只需要在蜻蜓编排面板绘制工作流程,不同工具就可以协同工作起来。 图片 目前蜻蜓安全工作台里面包含许多预设的工作流模板,包含了漏洞扫描,代码审计,信息收集几个应用场景。你可以在市场页面中找到它们一键克隆并运行工作流。
1.2K10编辑于 2022-12-16 - 来自专栏基础web安全
综合漏洞发现工具蜻蜓使用体验
一直关注QingScan,最近蜻蜓开放内测,第一时间抢先一步抢到了内测名额,使用后发现效果很赞,记录下我使用的过程。 [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220522235924.png] 1.3 查看节点连通 刷新浏览器发现节点已连通。 [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220523000604.png] 2. 装备武器 2.1 挑选装备 访问路径:装备武器→添加装备。 [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220523005220.png] 3. %E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220524222834.png] 4.
73760编辑于 2022-05-25 - 来自专栏财经信息
蒋勋为何“独爱”蜻蜓FM
蜻蜓FM希望能把蒋勋的音频内容引进大陆。蜻蜓FM的内部人士透露,几年前,他们跟蒋勋互不相识,也没有熟人关系。 这给蜻蜓FM带来了可观的收入。《蒋勋细说红楼梦》在蜻蜓FM播放量已超过2.3亿,蒋勋当仁不让地成为平台的“付费之王”。 久而久之,蒋勋让蜻蜓FM聚拢了一批有独特精神气质的收听人群,蜻蜓FM的听众更懂蒋勋,蒋勋也习惯了蜻蜓FM,形成了IP、平台、粉丝三者正向循环的牢靠关系。 蜻蜓FM首席运营官肖轶早前告诉《谁是独角兽》,目前蜻蜓FM每月收入中,除了原先的广告收入外,有一半来源于付费内容贡献的收入。 2017年蜻蜓FM在原创内容的版权投入资金达到亿级,2018年则会翻倍,超过2亿。搭上IP快车的蜻蜓FM,目前拥有超3亿用户。
78840发布于 2018-06-21 - 来自专栏python基础文章
网络安全——网络层IPSec安全协议(4)
前言 在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。 IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 AH头是一个IPv6的扩展头按照RFC2460标准的规定:它的值是头长度减去一个64位,在认证数据为标准的96位时,这个域的值为4。 (3)保留字段:16位,该字段用于今后的扩充,设置为0。 (4)安全参数索引SPl:专有32位值,用以区分那些目的IP地址和安全协议类型相同,但算法不同的数据包。 (5)序列号:32位整数,它代表一个单调递增计数器的值。 通常,当用于IPv6时,AH出现在IPv6逐跳路由头之后,IPv6目的选项之前;而用于IPv4时,AH跟随主IPv4头。
1K20编辑于 2023-10-15 - 来自专栏啄木鸟软件测试
安全测试工具(连载4)
案例4:电子商务登录功能CSRF测试 打开CSRFTester,设置浏览器代理为:127.0.0.1:8008,点击【Start Recording】按键,在浏览器页面输入电子商务登录页面的IP地址,
76910发布于 2019-12-12 - 来自专栏Python
4安全意识-试卷
4.(单选题) 邮件攻击类型不包括下列哪一个?(10分) A. 勒索病毒 B. 商业邮件诈骗 C. 水坑攻击 D. 仿冒企业邮件 回答错误 正确答案为: C, 答案解析:略。 5. (单选题) 下列哪一个不属于信息安全范畴?(10分) A. 人员安全 B. 实体安全 C. 运行安全 D. 电源安全 回答错误 正确答案为: D, 答案解析:略。 9. (多选题) 上网安全中的两种公共设备谨慎用,指的是:(10分) A. 计算机安全 B. 公共WIFI C. 公共手机充电桩 D. (多选题) 信息安全范畴包括下列哪几个:(10分) A. 计算机安全 B. 通信安全 C. 信息本身的安全 D. (多选题) 信息安全常识包含下列哪几个:(10分) A. 邮件安全 B. 密码安全 C. 物理安全 D. 化工安全 回答错误 正确答案为: A、B、C, 答案解析:略。 19.
40010编辑于 2024-10-12 - 来自专栏云云众生s
4个API安全最佳实践
译自 4 API Security Best Practices,作者 Judith Kahrer。 API 是现代数字解决方案的支柱。因此,API 安全应该成为首要的业务关注点。 如果您考虑以下两个要点,您将为您的 API 安全奠定良好的基础: 使用 API 网关。 使用访问令牌进行授权。 让我详细说明它们的优势,并展示如何发展您的 API 安全。 1. JWT 安全最佳实践 包括以下内容: 始终验证访问令牌。 避免常见风险 使用 API 网关和访问令牌进行授权,可以避免常见的 API 安全风险。 4. 提升 API 安全性 通过添加 API 网关并使用 OAuth 或 OpenID Connect 基于访问令牌进行授权,您可以缓解许多主要的 API 安全风险。
1.3K10编辑于 2024-07-15 - 来自专栏掘金安东尼
请叫我“蜻蜓队长”!
2021.09.27 1 包地狱辣拉面说(共 3 名) BUG预言家、一只鱼呀、摸摸鱼神-未领取 https://juejin.cn/pin/7012498318483947528 2021.09.14 4
62730编辑于 2022-09-19 - 来自专栏饼干的前端专栏
老板:你给我来个蜻蜓点水的特效
之后在我的深入评估(摸鱼)中,选取了一个稍微简单的特效,所谓蜻蜓点水实际就是波纹特效。
76810编辑于 2022-09-19 - 来自专栏大数据文摘
导弹防御系统,如何跟蜻蜓的大脑学习计算?
黑色实线表示蜻蜓飞行的方向;蓝色虚线是模型蜻蜓眼睛的平面。红星是猎物相对于蜻蜓的位置,红色虚线表示蜻蜓的视线。 在第二层中,我使用了 194,481 (21 4) 神经元,可能比蜻蜓用于此任务的神经元数量大得多。我预先计算了网络中所有神经元之间连接的权重。 蜻蜓没有内部陀螺仪,无论蜻蜓如何转动,它都会保持恒定的方向。它也没有始终指向北方的磁罗盘。在我对蜻蜓狩猎的简化模拟中,蜻蜓转向将猎物的图像与其眼睛上的特定位置对齐,但它需要计算该位置应该是什么。 我能够证明蜻蜓大脑的这个简单模型确实可以成功拦截其他虫子,甚至是沿着弯曲或半随机轨迹行进的猎物。 模拟蜻蜓没有完全达到生物蜻蜓的成功率,也不具备蜻蜓众所周知的所有优点(例如惊人的飞行速度)。 来自这些系统的数据允许神经科学家通过将蜻蜓大脑模型的活动与活跃蜻蜓中生物神经元的活动模式进行比较来验证蜻蜓大脑模型。
55030发布于 2021-08-25 - 来自专栏机器人网
把蜻蜓变成无人机灵宠,论技术只服他们
研究人员已经将蜻蜓变成了可以操控的微型无人机,用来追踪野生动物种群和为植物授粉。但是,我们是否应该担忧这些昆虫被改造成武器呢? 不久前,美国科学家成功将无人机技术与蜻蜓结合起来,开发出可由人类控制的活体微型无人机。 ? 霍华德·休斯医学研究所的研究人员首先对蜻蜓进行了基因改造,使蜻蜓的神经细胞和翅膀协同作用,对光脉冲做出反应。 微型导航系统的指令通过一个光学神经刺激器,以光脉冲的形式发送出来,对蜻蜓的飞行路径和动作进行指引。 “不犯任何错误:我们不会把蜻蜓放出去进行监视或侦察任务,”惠勒说道。(文/ 新浪科技)
1.6K50发布于 2018-04-25 优雅草蜻蜓I即时通讯软件以及优雅草蜻蜓I即时通讯水银版私有化部署软件介绍和区别-优雅草卓伊凡
优雅草蜻蜓I即时通讯软件以及优雅草蜻蜓I即时通讯水银版私有化部署软件介绍和区别-优雅草卓伊凡1. 蜻蜓I即时通讯软件(轻量版)产品概述蜻蜓I即时通讯软件是蜻蜓Q旗舰版系统的衍生分支,专注于纯即时通讯功能,无冗余模块。2022年8月15日发布v1.0版本,旨在打造一款简洁、稳定、易用的聊天工具。 安全与风控 多层加密体系传输加密:TLS 1.3 + RSA-2048密钥交换内容加密:AES-256_CBC(服务端可解密监控)防篡改:SHA-256签名验签️ 安全防护敏感词报警(实时拦截+管理员通知 支持正则表达式匹配)投诉处理工单系统(72小时内响应)⚠️ 防渗透设计防抓包:所有传输数据均为密文,即使抓包也无法解密防改包:消息验签机制,篡改后自动丢弃防内部泄露:RSA私钥分段存储,程序员无法获取完整密钥4. I水银版是一款高安全性的私有化IM系统,支持单聊/群聊、商户号管理、敏感词过滤等企业级功能。
49110编辑于 2025-06-16- 来自专栏云安全
每个安全团队都应进行的 4 个安全演练
每个组织都应该进行安全演练,回答有关勒索软件和分布式拒绝服务(DDoS)攻击、第三方风险和内部威胁相关的关键问题。确保企业免受漏洞的影响是安全团队的基本职能。 它也是网络安全供应商的最佳实践,同时也是为了满足合规要求。安全演练是一种受欢迎的评估测试,允许安全团队和企业管理层选择一个威胁,然后控制和补救威胁的过程。 安全和管理团队多久重新评估和更新这些控制措施,以适应不断变化的技术能力?有哪些物理安全控制措施,以确保只有授权用户才能访问本地计算资产? 4.分布式拒绝服务攻击分布式拒绝服务(DDoS)攻击的目标是简单地影响业务运营。2023年对谷歌的攻击达到每秒近4亿次请求的峰值,展示了当今僵尸网络DDos对企业防御能力的巨大考验。 虽然每个安全演练都是独特的,并且将包括与企业目标相关的问题,但上述问题可以帮助安全团队确定他们的优先事项。一般来说,安全演练的第一步是确定目标,这将反映在最终提出的问题上。来源:csoonline
35510编辑于 2024-10-25 - 来自专栏喵了个咪的博客空间
4.请求安全-- 结合使用的安全优势总结
#结合使用的安全优势与总结# ##前言## 写到这里基本上笔者在请求中遇到的问题,以及运用到实践中的解决方案,基本上分为,请求唯一性,单设备登录,单点登录,MD5校验 这几种校验的小技巧,在之前都对着几种校验方式进行也一些独立的说明 (还没有看过的可以先去游览查阅一下,在请求安全模块中) 在本章里面会着重说明怎么样综合使用,如何获得比较高的安全性,以及会简单介绍一下方便使用的一种高级加密方法. ##1.回顾## ###1.1 单设备登录 结合增加安全性## 1.因为有单设备登录ID是动态的,所以吧ID作为MD5的条件加密会更安全 2.MD5的随机数和时间戳与唯一请求的使用的相同,应为有MD5加密,所以模拟随机数和时间戳需要先破解MD5校验 3.密文加密可以保证所有参数都是密文,进一步增加随机数和时间戳被修改问题 ##4. ##5.总结## 通过以上所述各项小技巧的组合确实可以得到不错的安全性,基本上关于请求安全就告一段落了,笔者水平有限希望 大家多提意见,多交流!
81640发布于 2018-03-01 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
912110发布于 2018-01-08 - 来自专栏啄木鸟软件测试
软件安全性测试(连载4)
XSS测试就是在容易出现XSS注入的地方输入被测代码,提交后观察其显示是否会触发JavaScript脚本。常用的XSS测试JavaScript脚本主要就下面两个。
85720发布于 2019-12-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号