Blue Team
API的安全风险 API的攻击面主要有以下几点: 传统WEB攻击:API承担了WEB应用前后端的通信,API出现RCE、SQL注入等WEB漏洞属于常态。 API协议攻击:API除了plain ...
Read More
Misc
技术表达能力训练 最难的两件事:把自己的思想放到别人的脑子里、把别人的钱放到自己的口袋里 演讲对个人的意义: 演讲其实是一次广播,让更多的人认识到你是谁,你有什么东西。这样你也会收到一些回包,打开自己的信息入口——能力P=f(x),其中x是信息输入,f()是你的思考与实践 表达能力是每个人的职场必备素质。 被喷才能进步。 演讲的过程: ...
Read More
Misc
What insight和vision的结合,一句话描述。 Why——价值 碗里的:今天正在做的事情,比如未来的5-10年,市场如何发展,我们的份额有多少。 锅里的:从今天产品里自然延伸出来的价值,临近产品、临近市场。 田里的:用公司核心资源、能力去跨界产生的价值有多大。 apple: 数字化(技术)+最优雅高端的体验(艺术)=>手机=>车=>房 等等生活相关。 google: ...
Read More
Penetration Testing
CDK CDK是一款为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的 逃逸、横向移动、持久化利用方式,插件化管理。 场景介绍 ...
Read More
Penetration Testing
Kube-apiserver API Server是k8s control panel中的一个组件,下游与etcd(k8s数据库)通信,通过kubelet控制每个节点的行为,上游暴露API供pod内部编程调用和管理员从外部通过kubectl调用。 API Server默认支持8080免鉴权端口(已被最新k8s默认配置禁用)以及6443鉴权端口。因K8s本身的配置不当、鉴权不当导致API ...
Read More
Reading
信息来源:比尔盖茨的年度荐书书单 完成时间:2020.12.16 此书出版于2019年,中文标题为《范围:为什么通才能在专业化的世界中取胜》,但目前未有全文译本。 书中解释了作者的一个观察——虽然世界似乎需要越来越多的专业化人才,但是更多研究表明在许多领域中"起步时涉猎广泛,并在实践中探索真正属于自己赛道"的人会走的更远。 ...
Read More
Penetration Testing
CVE-2020-15257 漏洞原理、基础知识请阅读以下链接,不再展开: https://medium.com/nttlabs/dont-use-host-network-namespace-f548aeeef575 或者中文的: https://mp.weixin.qq.com/s/iNziquZJxcox9453jF8LOg ...
Read More
Penetration Testing
Blue Team
函数计算 函数计算(serverless functions)即在云厂商提供隔离的环境中运行用户的脚本代码,用户上传代码+暴露接口即可快速实现一个API服务,其弹性伸缩与底层安全隔离由云厂商实现。支持node,python,java,php等常见服务端开发语言。 ...
Read More
Reading
五大主题: 同理心 机会判断 系统能力 用户体验 创新模式 附:能力评估与思考框架 1. 同理心 理性往回拉,感性向前推。感性是驱动人做出进步和创造性结果的源动力。 为什么需要同理心与情感分析:用户不是产品经理,不会表达具体需求,只能表达模糊的情感。 四种基础情感 常见的四种基础情绪有:愉悦、不爽、愤怒、恐惧。 爽(愉悦):预期被满足 不爽:预期不被满足 愤怒:边界被侵犯,但还可以控制 ...
Read More
Categories
- Penetration Testing (45)
- Data Science for Cyber Security (16)
- Vulnerability Analysis (15)
- Misc (15)
- Web Development (14)
- CTF (14)
- Python (13)
- Android (10)
- Machine Learning (10)
- Blue Team (9)
- Mindmap (7)
- Trading (7)
- Reading (5)