0×00简介企业安全规划建设过程中，往往会涉及到开发的代码安全，而更多可以实现落地的是源代码安全审计中，使用自动化工具代替人工漏洞挖掘，并且可以交付给研发人员直接进行安全自查，同时也更符合SDL的原则，此外可以显著提高审计工作的效率。0×01 代码安全审计概述以下链接为当前比较热门的代码审计推荐文章，门类齐全，点评到位，很值得参考。http://www.freebuf.com/sec...

0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso，安装时选择desktop, customiz now，databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包，不要选择最小化安装，因为那样的话，系统会缺失很多依赖包的，在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了，不必节省那么点空间

0x00 前言现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等，这种保护措施往往会过滤挡住我们的SQL注入查询链接，甚至封锁我们的主机IP，所以这个时候，我们就要考虑怎样进行绕过，达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了，呵呵！但是本文基于sqlmap 进行绕过注入测试，介绍至今仍然实用有效的技巧，以下策略在特定的环境能够成功绕...

0x00 前言我们一直用GitHub作为免费的远程仓库，如果是个人的开源项目，放到GitHub上是完全没有问题的。其实GitHub还是一个开源协作社区，通过GitHub，既可以让别人参与你的开源项目，也可以参与别人的开源项目。在GitHub出现以前，开源项目开源容易，但让广大人民群众参与进来比较困难，因为要参与，就要提交代码，而给每个想提交代码的群众都开一个账号那是不现实的，因此，群众...

0x00 背景一般来说，Github 默认是下载仓库的所有内容，但是我们有时仅需要下载某个项目的某个文件或者某个文件。这时应该怎么办呢？0x01 下载单个文件1、直接查看文件点击某个链接，直接查看raw或者download0x02 下载某个文件夹1、GitZipGitZip for Github 是一款可以快速从 GitHub 上快速下载文件或目录的 ...

0x00背景镜像是容器的最基础的载体，docker作为最流行的容器runtime，其最大的贡献就是把镜像作为容器应用的标准交付方式，镜像包含了容器运行的所有基础文件，可以说镜像的安全就决定了容器安全。但现实不乐观，在docker官方镜像中有超过30%的镜像有高危漏洞，平均每一个镜像有127个中危漏洞，几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件，这些组件存在大量漏洞，而这仅仅是基础运行环境

业务应用系统的web容器无法更改IP地址，例如临时SSH端口，但是不想修改SSH配置；例如某些服务web服务需要通过公共IP进行统一访问；例如外网访问内网资源等；例如快速调整web容器的端口而不需要更改服务的任何配置等。.........

0x00背景fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过autoType限制，风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。0x01影响范围fastjson < 1.2.69

0x00前言linux或者Unix系统经常被用作服务器，并且安全性往往比windows高，但是在linux查杀病毒往往得依靠管理员执行find, grep等命令查看文件以确认文件是否为病毒，但由于本身linux服务器的病毒就较少，精通linux安全的系统管理员更是可遇不可求。但是，随着linux服务器在市场上的占用率的飙升，linux系统病毒事件逐步出现在公众视野，...

0x01 列出某个目录下今天创建或者修改的文件cd /home/ym1 显示目录home/ym下，今天创建或者修改的文件ls  -al --time-style=+%D | grep 'date +%D'参数解释：-a - 列出所有文件，包括隐藏文件-l - 启用长列表格式--time-style=FORMAT - 显示指定 FORMAT 的时间+％D - 以