保存成功
保存失败,请重试
提交成功
蓬蒿

蓬蒿

安全架构师/白帽子
杭州信息安全院安全研发部负责人(2013 - 2016),负责Web网站安全监测服务平台( Web 漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 Web 漏洞的基本原理与渗透方式。现担任中国互联网最大财税平台的架构师,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作,熟悉常见 Dubbo 、HSF、Spring Cloud 等分布式服务架构设计与与实现。...更多
文章11

Web 渗透测试入门指南

无论是小白还是工作多年的同学都会对网络安全抱着好奇之心,但很多同学尽管在 Google 上 Search 各种资料、看各种安全视频都无法找到一条通顺之路快速掌握各种渗透攻防技巧。一方面,大部分人没有找到正确学习安全的技术路线思维没有被打开;另一方面实践与理论严重脱节比较严重。 本 Chat 的主要目的是以各种 Web 渗透测试攻防实战案例为切入点,采用金字塔自顶向下的方式从 Web 安全测试体系到专项漏洞、工具靶机、实践案例带领对渗透测试感兴趣的同学学习渗透测试的流程和基本测试方法。 1. 分析 Web 渗透测试的架构体系,帮助同学们提升安全的视野; 2. 掌握渗透测试的基本流程框架:信息收集、漏洞查找、攻击测试、提升权限、清除痕迹、输出结果等; 3. 针对 SQL 注入、XSS、RCE 等 10 多个 Web 安全漏洞提供工具靶机案列。
98 订阅

基于 Netty 实现的 Gateway 遇到的问题总结

API Gateway 初期业务访问的峰值从 10万/min 上升至 12万/min,导致网关出现“too many open files”错误,即打开最大文件句柄数超过最大值。经过排查发现 Jupiter 网关出现该错误时设置的句柄数值为 65535,运维尝试将具柄数值设置为 655350。 网关服务在修改完句柄数之后重启 Java 进程,某几台网关服务在重启后具柄数值快速上升至 20 万。由于单台机器服务实例打开的句柄数过多占据了大量物理内存,导致 JVM 进程被 Linux 系统给 OOM Killer。 本场 Chat 将分享该线上问题完整的排查过程: 1. Netty 服务假死排查过程; 2. 分析并解决 Netty4 的 IO 处理线程池遇到耗时业务容易把后端的 NIO 线程挂死的问题。
126 订阅

Java 性能瓶颈分析工具

Java 性能优化分为很多个方面,如系统优化、算法优化、代码优化等。代码优化是程序员在研发、测试过程中通过性能瓶颈分析工具就能够快速定位并解决掉的。常见的一种场景是测试同学在对服务进行压测时,无论怎么增加并发应用的 TPS 一直保持在某个值,这个时候要怎么排查呢?通过学习本 Chat 就可以解决这些问题。例如,通过性能瓶颈分析工具 JProfiler、JMC、Tprofiler 等工具查看到代码调用链,看到自己的业务代码,从而定位到最耗时的代码位置。 本场Chat,我将分享: 1. 介绍 Jprofiler 的使用方法,包括内存分析、CPU 分析、线程分析等。重点利用热点方法的调用堆栈,显示分析占用的 CPU 时间、方法执行平均耗时、调用总次数。 2. JDK 自带的 JMC 工具用来监控"本地/远程"Java 应用的性能,重点分析通过 Java 飞行器记录(JRockit Flight Recorder, JFR)来排查业务性能瓶颈问题。 3. Tprofiler 是淘宝开源的线上代码性能分析工具,利用 Tpofiler 为查找系统性能问题。
397 订阅

Java XXE 与反序列化漏洞利用与修复指南

XML External Entity Injection,即 XML 外部实体注入攻击,2017 OWASP Top10 常见 Web 漏洞位于 A4 条目。XXE 漏洞是在引用非安全的外部实体数据引发的安全问题。 Java 序列化漏洞大部分研究者仅限于利用 Ysoserial 工具测试是否存在漏洞,针对 Shiro、Jenkins、WebLogic、JBoss 工具已经比较多了,但针对 Java RMI 缺乏能够有效执行远程代码的攻击工具。 本场 Chat 内容包括: 1. XML 外部实体注入、XXE 防御 2. Java RMI 原理、RMI 漏洞利用、RMI 远程利用工具开发(基于Java Swing)。 另外,也会提到一些写远程命令注入 Payload 的一些技巧,如 URLClassLoader 可以从本地 Class/Jar 加载类,也可以从远程获取 Class/Jar 进行加载类。同时,本场 Chat 也会提供相应资料和源码让你也可以基于 Java Swing 开发属于你自己的专有工具。
34 订阅

SQL 注入与 XSS 漏洞利用与修复指南

跨站点脚本(XSS)是一个存在许多变数的复杂安全问题,重点想指出 3 点最为重要缺陷或误解:仅仅作 HTMLEscape 是远远不够的;常用的开发框架不会提供专业的防御帮助;嵌套的 HTML、URL、JS 上下文场景让防御 XSS 难度明显难了好多。 SQL 注入攻击现在已经成为黑客最为常见的 Web 攻击手段之一。早期黑客需要有非常强的 SQL 语句的编程功底才能够发起 SQL 注入攻击,但现在随着自动化测试利用工具的出现,如 SQLMAP、Pangolin、Haviji、NBSI、WebCrusier 等。用户稍微点点鼠标或者输入几个常用的命令,任何非专业的安全人员也能够执行SQL注入检测与攻击。 本场 Chat 关于 SQL 注入 XSS 我将分享: 1. 如何挖掘/利用 XSS 漏洞 2. 浏览器解码顺序(HTML Entity 解码、URL 解码、JS 解码) 3. XSS 防御方式 4. 开放笔者自研的 XSS 利用平台源码(React + Spring Boot + Mybatis) 5. SQL 注入产生的原理,如何利用自动化工具挖掘/利用 SQL 漏洞,如何防御 SQL 漏洞等
20 订阅

谈谈 Java 内存模型

作为一名有追求的 Java 程序猿,必须要了解 Java 内存模型(JMM)。通过学习 JMM,你能够将计算机组成原理、操作系统等各个课程有机的组织起来,无论是工作中解决实际的问题,还是以后想成为一名高级的开发工程师,都是非常有帮助的。 Java 线程之间通信一般有两种方式:共享内存和消息传递。Java 的并发采用共享内存的方式,共享内存通信方式对于程序员而言总是透明隐式进行的。Java 内存模型 JMM 解决了可见性和有序性的问题,而锁解决了原子性的问题。本场 Chat 我将分享: 1. Java 内存模型的抽象 2. JVM 指令重排序 3. happens-before 原则
严选
307 订阅

XML External Entity Injection 漏洞攻防

XML External Entity Injection,即 XML 外部实体注入攻击,2017 OWASP Top10 常见 Web 漏洞位于 A4 条目。XXE 漏洞是在引用非安全的外部实体数据引发的安全问题。主要内容包括: 1. XML 基础知识 2. XML 外部实体注入 3. XXE 防御
21 订阅

Java 线上问题排查思路与工具使用

作为一名 Java 程序猿,平常工作除了 coding 之外,大部分时间(70%~80%)是用来排查线上问题的。掌握 Java 服务线上问题排查思路并能够熟练排查问题常用工具/命令/平台是每一个 Java 程序猿进阶必须掌握的实战技能。线上问题从系统表象来看归结起来总共有四方面:CPU、内存、磁盘、网络。例如 CPU 使用率峰值突然飚高、内存溢出(泄露)、磁盘满了、网络流量异常、FullGC 等等问题。本场 Chat 我将分享: 1. 总结 Java 服务常见的线上问题 2. Linux 常用的性能分析工具使用以及分析:top(cpu)、free(内存)、df(磁盘)、dstat(网络流量)、pstack、vmstat、strace(底层系统调用)等 3. JVM 定位问题工具:jps(进程)、jmap(内存)、jstack(线程)等 4. JVM GC 日志分析 5. 实战案列分析 定位问题的能力要与业务场景紧密结合,提升自己解决问题的能力,事后总结每次线上遇到的疑难杂症慢慢形成自己的知识体系,这才是每个对技术有追求同学的核心竞争力。
严选
1024 订阅

利用与修复 XSS 漏洞指南(Java 版)

跨站点脚本(XSS)是一个存在许多变数的复杂安全问题,重点想指出 3 点最为重要缺陷或误解:仅仅作 htmlEscape 是远远不够的;常用的开发框架不会提供专业的防御帮助;嵌套的 html、URL、JS 上下文场景让防御 XSS 难度明显难了好多。本场 Chat 我将分享: 1. 如何挖掘/利用 XSS 漏洞? 2. 浏览器解码顺序(十分重要):Html Entity 解码、Url 解码、JS 解码 3. XSS 伴随两个概念: 输入函数和输出函数。一般,最优的防御方式是在输出时进行转义/编码。但如何进行转义编码呢?输出的内容在不同上下文场景下具有不同的防御方式。 - HTML 中直接输出用户可控数据 - HTML 标签属性注入用户可控数据 - <script></script> 注入用户可控数据 - URL 注入用户可控数据 - ajax、Json 技术下注入用户可控数据 - flash 环境下注入用户可控数据 4. 开放笔者自研的 XSS 利用平台源码(React + Spring Boot + Mybatis)
22 订阅

Java 反序列化漏洞之 RMI

Java 序列化漏洞大部分研究者仅限于利用 ysoserial 工具测试是否存在漏洞,针对Shiro、Jenkins、WebLogic、JBoss 工具已经比较多了,但针对 Java RMI 缺乏能够有效执行远程代码的攻击工具。本场 Chat 内容包括: 1. Java RMI 原理 2. RMI 漏洞利用 3. RMI 远程利用工具开发(基于Java Swing) 另外,也会提到一些写远程命令注入 Payload 的一些技巧,如 URLClassLoader 可以从本地 class/jar 加载类,也可以从远程获取 class/jar 进行加载类。同时,本文也会提供相应资料和源码让你也可以基于 Java Swing 开发属于你自己的专有工具。
15 订阅

CSRF 攻击深入浅出

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。 在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享: 1. CSRF 原理 2. CSRF 攻击方式(案列分析) 3. CSRF 防御方式(前后端分离场景下) 4. CSRF 的 Token 安全性分析 5. CSRF 与 XSS 的区别
严选
570 订阅
微信扫描登录