首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • 来自专栏基础web安全

    使用蜻蜓安全挖掘漏洞实践(一)

    一、Docker 远程访问TLS加密访问|蜻蜓 以下操作需要提前安装docker, 如果已安装docker请跳过这步, 安装docker命令如下: curl -sSL https://get.daocloud.io cat nohup.out 三、添加节点 现在需要回到蜻蜓安全工作台页面中(http://qingting.starcross.cn/node/index.html) 在添加节点的表单出,填写你要给节点的名字

    58800编辑于 2022-04-30
  • 来自专栏PHP技术大全

    蜻蜓安全编写插件模块 webcrack 实践

    一、背景 蜻蜓安全工作台是一个安全工具集成平台,集成市面上主流的安全工具,并按照工作场景进行编排,目前主要预制了四个场景:信息收集、黑盒扫描、POC批量验证、代码审计; 最大特点就是集成的工具多、种类全 我以弱口令检测工具WebCrack为例,讲解如何在蜻蜓安全工作台中提交工具。 三、学习镜像制作方法 现在我们已经知道工具如何接入,只需要让程序执行他就行了,所以我们需要学习蜻蜓安全工作台插件的一些基本规则,学习规则很简单。 我们只需要将蜻蜓已经写好的插件下载下来,看看之前的插件怎么写的就可以了。 3.1 案例分析 如下图是蜻蜓安全工作台已经编写好的插件, 我们随意挑选一个案例,以长亭的xray工具接入为例, 可以看到工具一共有三个目录:code、tools、Dockerfile 我们先分析一下

    86920编辑于 2022-05-11
  • 来自专栏PHP技术大全

    蜻蜓低代码安全工具平台开发之路

    一、背景 蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台 1.2 蜻蜓与Soar 在市面上我们可以看到很多安全相关的soar平台,soar平台的重点是在于编排,蜻蜓也是编排,方向是一致的; 但蜻蜓和soar也有不一样的地方,是在于蜻蜓的组件支持在用户机器上运行 对于有开发经验的工程师来说,这个流程相对简单,无非是写一个脚本,不断请求地址获得URL,然后去除重复数据,再调用SQLmap进行检测,最后再写一个钉钉通知事件; 但是实现起来其实还是要费不少时间的,但他如果知道蜻蜓安全平台可以这样来实现 为了让普通用户能够快速上手,前端的交互体验显得格外重要,为了让用户理解数据的传递过程,低代码平台通常会使用流程图来展示数据流转,蜻蜓安全平台的流程图组件选择的是antv的Xflow xflow用的typescript 蜻蜓安全平台地址:http://qingting.starcross.cn/ 蜻蜓GitHub仓库地址:https://github.com/StarCrossPortal/QingTing 日期:2022

    1.2K20编辑于 2022-06-23
  • 来自专栏PHP技术大全

    蜻蜓安全工作台程序编排简要说明

    你只需要处理当前节点和上游节点之间的关系即可,通常处理数据会使用运行脚本组件,蜻蜓提供了上游节点的数据,点击节点出现配置面板后,可以一键复制上游节点数据,然后在本地调试代码.

    73530编辑于 2023-01-10
  • 来自专栏API安全

    蜻蜓:开箱即用的安全工作流编排

    功能介绍 图片 蜻蜓安全工作台是一个为安全工程师所打造的安全工作流编排平台;集成了市面中场景的安全工具,让工程师一键使用,提高工作效率;工程师也可以在平台中发挥自己的创造力,低成本的编排专属于自己的工作剧本 主要包含了三大功能: 安全工具库 低代码工作流编排 工作流共享 # 安全工具库 安全工程师在日常工作中会用到很多安全工具,比如说sqlmap、nmap、xray等等,这些工具的使用方法、安装方法、依赖环境都是不一样的 ,而且这样的小工具高达上百种,工程师要使用这些工具需要去花费很大一笔时间在安装和使用方法上,蜻蜓安全工具平台简化了工具的安装和使用的学习成本,收集了大量常见的安全工具并将它通过容器化包装成标准的工具,启动和使用方法都是一致的 ;用户只需要在蜻蜓编排面板绘制工作流程,不同工具就可以协同工作起来。 图片 目前蜻蜓安全工作台里面包含许多预设的工作流模板,包含了漏洞扫描,代码审计,信息收集几个应用场景。你可以在市场页面中找到它们一键克隆并运行工作流。

    1.3K10编辑于 2022-12-16
  • 来自专栏传统基础应用开发专栏-不限开发语言

    蜻蜓Q系统的技术演进:从Laravel 6到Laravel 8的升级之路-优雅草卓伊凡引言:蜻蜓Q系统的市场发展

    蜻蜓Q系统的技术演进:从Laravel 6到Laravel 8的升级之路-优雅草卓伊凡引言:蜻蜓Q系统的市场发展蜻蜓Q系统是优雅草科技于2020年推出的一款企业级解决方案产品。 —— Gartner 2023年企业软件采用周期报告Laravel框架概述蜻蜓Q系统的服务端基于Laravel 6.0构建。 升级的必要性:从Laravel 6到8优雅草科技计划在2025年7月将蜻蜓Q系统从Laravel 6升级到Laravel 8,这一决策基于多方面考量:1. 安全考量根据Snyk 2024年开源软件安全报告,Laravel 6已于2022年9月停止安全更新,而Laravel 8将持续获得安全补丁直至2025年底。2. 蜻蜓Q系统的发展历程正是这一观点的最佳例证。

    42200编辑于 2025-06-19
  • 来自专栏基础web安全

    综合漏洞发现工具蜻蜓使用体验

    一直关注QingScan,最近蜻蜓开放内测,第一时间抢先一步抢到了内测名额,使用后发现效果很赞,记录下我使用的过程。 [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220524224351.png] 1.1 安装docker curl -sSL https://get.daocloud.io [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220523000604.png] 2. 装备武器 2.1 挑选装备 访问路径:装备武器→添加装备。 [%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220523005220.png] 3. %E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20220524222834.png] 4.

    81260编辑于 2022-05-25
  • 来自专栏财经信息

    蒋勋为何“独爱”蜻蜓FM

    美学家蒋勋在大陆办的第一场讲座,不仅座无虚席,在蜻蜓FM、优酷、爱奇艺等平台上也有上万人围观看直播。6月9日他在上海的讲座,据说活动报名页面一发布,不到两天就被抢光。 蜻蜓FM希望能把蒋勋的音频内容引进大陆。蜻蜓FM的内部人士透露,几年前,他们跟蒋勋互不相识,也没有熟人关系。 这给蜻蜓FM带来了可观的收入。《蒋勋细说红楼梦》在蜻蜓FM播放量已超过2.3亿,蒋勋当仁不让地成为平台的“付费之王”。 久而久之,蒋勋让蜻蜓FM聚拢了一批有独特精神气质的收听人群,蜻蜓FM的听众更懂蒋勋,蒋勋也习惯了蜻蜓FM,形成了IP、平台、粉丝三者正向循环的牢靠关系。 蜻蜓FM首席运营官肖轶早前告诉《谁是独角兽》,目前蜻蜓FM每月收入中,除了原先的广告收入外,有一半来源于付费内容贡献的收入。

    84240发布于 2018-06-21
  • 来自专栏啄木鸟软件测试

    安全测试工具(连载6

    2.3 Pangolin Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。 Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。 1. 产品介绍 其特点如下。 l全面的数据库支持。

    1K20发布于 2019-12-12
  • 来自专栏PHP技术大全

    开源代码审计系统 Swallow 内测发布

    同时上层UI使用了Bootstrap 5和ThinkPHP 6。 二 工具介绍 优点 支持多种静态代码分析工具的集成,这意味着它可以更全面地发现代码中的潜在漏洞和安全问题。 使用蜻蜓安全的编排系统进行连接,这使得它更易于集成和使用。蜻蜓安全的编排系统可以将多个静态代码分析工具组合在一起,并按照用户的需求对其进行配置和管理。 的上层UI使用了Bootstrap 5和ThinkPHP 6,这使得它具有更好的可用性和易用性。Bootstrap是一种流行的前端框架,可以帮助开发人员快速创建漂亮、响应式的Web界面。 在设置中添加主域名 蜻蜓中点击运行工作流,或者设置工作流为周期运行 在swallow中查看数据 四 总结 总之 Swallow 可以帮助大家发现代码中的潜在漏洞和安全问题。 集成了多种静态代码分析工具,并使用蜻蜓安全的编排系统进行连接,使得扫描代码更加全面和高效。 I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。

    1.7K30编辑于 2023-03-25
  • 来自专栏我的网安魔法之旅

    Java安全之CommonsCollections6

    8u71后官方修改了AnnotationInvocationHandler类中的readObject()函数导致了在高版本下 cc1 链不可利用的问题,所以这篇文章就来介绍新的链子弥补这个缺陷,cc6链比较通用 ; import java.io.*; import java.util.HashMap; import java.util.Map; public class CommonsCollections6_ ByteArrayInputStream(barr.toByteArray())); Object o = (Object)ois.readObject(); } } 在cc6中 java.lang.reflect.Field; import java.util.HashMap; import java.util.Map; public class CommonsCollections_6 参考链接: https://juejin.cn/post/7130505267074203656 Java篇之ysoserial中的一些操作 Java篇Commons Collections 6

    51220编辑于 2023-05-16
  • 来自专栏啄木鸟软件测试

    软件安全性测试(连载6

    跨站请求伪造(Cross-Site Request Forgery:CSRF),也被称为 One-Click Attack 或者 Session Riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

    97520发布于 2019-12-23
  • 来自专栏嘉为动态

    微软安全公告—2016年6

    微软于北京时间2016年6月14日发布了16个新的安全公告,其中5个为严重等级,11个为重要等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 2016年6月新的安全漏洞 以下是所有安全公告的内容,供您参考。 公告标识:MS16-063标题Internet Explorer 累积安全更新 (3163649)摘要此安全更新程序修复了 Internet Explorer 中的多个漏洞。 ,请以网站上的安全公告内容为准。

    1.2K30发布于 2018-12-21
  • 来自专栏iSharkFly

    Confluence 6 安全相关问题提交链接

    找到和报告安全漏洞 Atlassian 有关安全漏洞的报告细节,请参考如何报告一个安全问题(How to Report a Security Issue)链接。 发布 Confluence 安全公共 Atlassian 有关发布安全漏洞的细节,请参考安全建议发布策略(Security Advisory Publishing Policy)链接。 严重程度 Atlassian 有关安全问题的严重程度排列,请参考针对安全问题的严重程度(Severity Levels for Security Issues)链接。 我们的安全缺陷修复策略 我们有关安全缺陷问题修复的补丁发布信息,请参考安全缺陷修复策略(Security Bugfix Policy)链接。 https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories

    59030发布于 2019-01-30
  • 来自专栏绿盟科技研究通讯

    多方安全计算(6)MPC中场梳理

    此类方案参数设定往往需要根据实际任务数值范围与计算深度进行调整 · 伪随机数模块:主要包含伪随机数生成器PRG,用于生成某范围内的伪随机数,其不可预测性是众多密码学算法的信任之源;实现的方式较多,读者不妨参考[6] 4.3 信息扰动模块 在部分实际场景中,需直接暴露或提供信息,而不是基于信息进行安全计算;此时通常要确保信息具有一定的统计可用性和个体安全性,传统加密方案或上述功能性加密方案都不可用,此模块常借助于差分隐私技术完成 International Journal of Information Security, 2010, 9(6): 371-385. [5]: https://github.com/microsoft /SEAL [6]:https://zh.m.wikipedia.org/zh-hans/%E4%BC%AA%E9%9A%8F%E6%9C%BA%E6%95%B0%E7%94%9F%E6%88%90%E5% 往期回顾: 安全多方计算之前世今生 安全多方计算(1):不经意传输协议 安全多方计算:(2)隐私信息检索方案汇总分析 多方安全计算(3)MPC万能钥匙:混淆电路 多方安全计算(4)MPC万能积木 秘密共享

    2.5K11编辑于 2023-02-22
  • 来自专栏iSharkFly

    配置 Confluence 6 安全的最佳实践

    请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。 这个页面中的安全配置是基于我们已知情况下的最好配置了。 没有任何安全设置都能够保证 100% 的安全的。这些安全策略被用来降低安全攻击对你系统产生的影响而让你系统能够更好的持续运行。 保持 Confluence 中只有少数用户具有管理员权限。 再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。 https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security

    1K40发布于 2019-01-30
  • 来自专栏猫头虎博客专区

    《21天精通IPv4 to IPv6》第6天:IPv6安全配置——如何处理IPv6安全问题?

    《21天精通IPv4 to IPv6》第6天:IPv6安全配置——如何处理IPv6安全问题? 摘要 在《21天精通IPv4 to IPv6》系列的第六天,我,猫头虎博主,将探讨IPv6安全配置。 本文将详细讨论IPv6面临的安全挑战、安全配置策略以及实际案例和最佳实践,以确保读者能够在处理IPv6安全问题时更加得心应手。 本文内容包含关键词,如IPv6安全、网络安全配置、IPv6最佳实践,旨在帮助读者无论是新手还是专家都能轻松理解IPv6安全问题的处理方法。 引言 随着IPv6的普及,对其安全性的关注日益增加。 正文 IPv6安全挑战 IPv6引入了一些新的安全挑战,主要包括: 扩展头部和路由选择: IPv6的扩展头部可能被用于规避安全措施。 自动配置: IPv6的自动配置特性可能被恶意利用。 安全配置策略和实例 为了确保IPv6环境的安全,以下是一些关键的安全配置策略: 防火墙策略: 确保防火墙能够处理IPv6流量,并正确配置以阻止不安全的流量。

    94910编辑于 2024-04-09
  • 来自专栏API安全

    6月API安全漏洞报告

    为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑给大家整理了6月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。 • 更新升级:定期升级MinIO到最新版本,以获得修复漏洞和安全强化的补丁。 • 安全审计:定期对Joomla系统和其相关组件进行安全审计,检查是否存在其他安全漏洞,并及时修复。 如果您正在使用受影响的版本,建议尽快升级到更新的版本来修复这个漏洞,以保护您的系统安全。小阑建议• 这些漏洞再次强调了API安全性的重要性,也显示出公司必须高度关注保护其API。 因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。

    1.8K10编辑于 2023-06-30
  • 来自专栏饼干的前端专栏

    老板:你给我来个蜻蜓点水的特效

    之后在我的深入评估(摸鱼)中,选取了一个稍微简单的特效,所谓蜻蜓点水实际就是波纹特效。 zIndexCount: 999, // 波纹父元素其实z-index数值 waveColor: "#40b6f0 zIndexCount: 999, // 波纹父元素其实z-index数值 waveColor: "#40b6f0

    84510编辑于 2022-09-19
  • 来自专栏掘金安东尼

    请叫我“蜻蜓队长”!

    7012498318483947528 2021.09.14 4 个毛绒公仔 看星星的兔子 https://juejin.cn/pin/7006633633092108319 2021.09.06 1箱(6

    68830编辑于 2022-09-19
领券