Swagger Injection攻击

Swagger ... Read More

API经济下的安全变局

公众号原文(排版会友好一点)：https://mp.weixin.qq.com/s/oXHcoLE5WkEer24mz7BqUg 一、API经济 速度之争 ... Read More

humanity backdoor & exploits

This post requires access token, contact mail:[email protected] if needed. Read More

2019-2021思想变化记录

上次记录自己的思想变化在 《毕业两周年小结》，接着那个时间点向后记录。 从关注目标到关注成长 回到2019，彼时仍是老板给我安排工作内容，我做的还ok。但一个非常可怕的事实是，我切实感受到成长速度慢了：早期我一头扎在技术里，在一个不到十平的小隔断间住了一年，每天11点回去仍忍不住打开电脑搞搞技术——那种“进化感”没有了，于是生活也失去快乐。 ... Read More

云原生架构下的API安全防护方案

API的安全风险 API的攻击面主要有以下几点： 传统WEB攻击：API承担了WEB应用前后端的通信，API出现RCE、SQL注入等WEB漏洞属于常态。 API协议攻击：API除了plain ... Read More

技术表达能力训练

技术表达能力训练 最难的两件事：把自己的思想放到别人的脑子里、把别人的钱放到自己的口袋里 演讲对个人的意义： 演讲其实是一次广播，让更多的人认识到你是谁，你有什么东西。这样你也会收到一些回包，打开自己的信息入口——决策y=f(x)，其中x是信息输入，f()是你的思考与实践 表达能力是每个人的职场必备素质。 被喷才能进步。 演讲的过程： ... Read More

战略思考要素

What insight和vision的结合，一句话描述。 Why——价值 碗里的：今天正在做的事情，比如未来的5-10年，市场如何发展，我们的份额有多少。 锅里的：从今天产品里自然延伸出来的价值，临近产品、临近市场。 田里的：用公司核心资源、能力去跨界产生的价值有多大。 apple: 数字化(技术)+最优雅高端的体验(艺术)=>手机=>车=>房 等等生活相关。 google: ... Read More

CDK: 针对容器场景的多功能渗透工具

CDK CDK是一款为容器环境定制的渗透测试工具，在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的 逃逸、横向移动、持久化利用方式，插件化管理。 场景介绍 ... Read More

K8s渗透测试之kube-apiserver利用

Kube-apiserver API Server是k8s control panel中的一个组件，下游与etcd(k8s数据库)通信，通过kubelet控制每个节点的行为，上游暴露API供pod内部编程调用和管理员从外部通过kubectl调用。 API Server默认支持8080免鉴权端口(已被最新k8s默认配置禁用)以及6443鉴权端口。因K8s本身的配置不当、鉴权不当导致API ... Read More

专才与通才："Range: Why Generalists Triumph in a Specialized World"读书笔记

信息来源：比尔盖茨的年度荐书书单 完成时间：2020.12.16 此书出版于2019年，中文标题为《范围：为什么通才能在专业化的世界中取胜》，但目前未有全文译本。 书中解释了作者的一个观察——虽然世界似乎需要越来越多的专业化人才，但是更多研究表明在许多领域中"起步时涉猎广泛，并在实践中探索真正属于自己赛道"的人会走的更远。 ... Read More