技术随笔

日前Vue项目的github上star数已经18.8W，表明Vue越来越受到开发人员的欢迎。但由于开发人员水平参差不齐，Vue项目所面对的安全问题也日趋严重，以下整理了Vue在编码…

1 漏洞描述 XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指恶意攻击者往Web站点里插入恶意脚本代码…

SQL注入（英语：SQL injection），也称SQL注入或SQL注码，是发生于应用程序与数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中…

前段时间遇到一个需求，需要把告警邮件通过飞书重新发送出来，故研究了一下Python调用exchangelib库去操作outlook邮箱 一、基本介绍 Exchangelib模块是 …

“ dirsearch是一种高级命令行工具，旨在暴力破解网络服务器中的目录和文件，又名网络路径扫描器。 ” 一、基本介绍 当公司服务上线后，我们需要探测服务是有敏感文件信息泄漏，需…

一、基本介绍 Trivy是一个扫描容器镜像、文件系统和 Git 仓库中的漏洞以及配置问题的工具，非常简单易用且能快速上手。Trivy主要检测操作系统包如Alpine、RHEL、Ce…

“ 相信大家听到CSV注入，应该是一脸茫然的，怀疑自己是不是听错了。难道不应该是SQL注入、命令注入之类的吗，CSV文件只是普通的文本，也可以注入吗？事实情况是CSV也是可以注入的…

一、基本介绍 Semgrep 是一个快速、开源的静态代码分析工具，其核心采用 OCaml 语言编写。主要用于在 Commit 和 CI 时查找 Bug 并强制执行代码规范。其中 S…

上一章节介绍了Semgrep使用及相关原理，传送门：Semgrep 之初识 下面这章就开始介绍Semgrep的模式语法，如何检测想要的代码。心急的同学，可以直接使用交互式的 Sem…

现在终于到我们的重头戏了，学习 Semgrep 的规则语法。 Semgrep 的规则包含了一些字段，其中有些字段是必填字段、可选字段，每个字段代表的意义不同 一、必填字段 字段名 …

测试机器：Mac OS 10.15 Golang版本：1.15.2为什么要缩减Golang编译后的文件大小呢？不缩减可不可以呢。正常来说一般服务器硬盘资源相对来说都比较充足，但如果…

一、基本介绍 “ 阿里云对象存储服务（Object Storage Service，简称OSS），是阿里云对外提供的海量、安全、低成本、高可靠的云存储服务。您可以通过阿里云OSS文…

本文重点介绍如何使用 AFL (American Fuzzy Loop) 对二进制程序进行 Fuzzing（模糊测试），以发现内存型漏洞。 AFL 的出现是模糊测试领域的里程碑事件…

一、前言 据Linux 基金会报道，70%- 90%的现代应用程序都包含开源软件 。2022 年 6 月 21 日—— Snyk 和Linux 基金会宣布了一份联合研究报告——20…

一、前言 目前公司内部Java 使用Nexus私服，JavaScript使用了verdaccio搭建的npm私服，Go语言的包管理直接支持gitlab作为私服。只剩下Python使…

需求 如何为VitePress生成sitemap文件 sitemap是什么？ Sitemap是一种网站地图，它是一个列出了网站上所有重要页面的文件，通常用于帮助搜索引擎更好地抓取和…