官网：https://nmap.org/ 中文：http://www.nmap.com.cn/ 简介Nmap，也就是 Network Mapper，最早是 Linux 下的网络扫描和嗅探工具包。 nmap 是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软

1、CODING 码市 官方网站：https://mart.coding.net 著名的Coding旗下的互联网软件外包服务平台，平台以外包为主。 需要实名认证，暂时还没认证，需要1000保证金，吃相难看 2、 开源众包 官方网站：https://zb.oschina.net/projects/list.html 开源中国的众包平台，主要是以众包为主。 3、猪八戒 官方网站：https://z

raw.githubusercontent.com 是 github 用来存储用户上传文件（不是项目仓库的文件，而是issue里的图片之类的）的服务地址。放在亚马逊s3上。是github 的素材服务器 (assets server), 避免跟主服务抢占负载 常规 github.com 界面 点击 raw，跳转到 raw.githubusercontent.com 界面 两者除了最开始的位置

Unicode中的空格字符一览（翻译）-腾讯云开发者社区-腾讯云Unicode中的空格字符本文列出了 Unicode 中的各种空格字符。有关说明, 还请参阅 Unicode 标准中的 第6章 书写系统和标点符号 还有Unicode标准中的 一般标点符号的区段描述。本文还列出了3个宽度为0的字符, 故可称其为零宽度空格。 下表第三列中, 每一行展示一个不同空格字符的显示效果, 以“foo”和“bar

unicode 官网：https://home.unicode.org/unicode 各种类型详细介绍：https://www.compart.com/en/unicode/category/Cf对零宽度字符完全没有头绪的可以先玩下这个Demo在綫解密：https://330k.github.io/misc_tools/unicode_steganography.html 1 前言在所有主要

unicode 官网：https://home.unicode.org/unicode 各种类型详细介绍：https://www.compart.com/en/unicode/category/Cf对零宽度字符完全没有头绪的可以先玩下这个Demo在綫解密：https://330k.github.io/misc_tools/unicode_steganography.html 什么是零宽度字符？

windows Git Bash 无法运行python解决方法在git bash 中运行下python – -version 或 pip list 命令，都是可以正常使用。 但是输入python 确没有任何响应，会卡主。 这是什么原因呢，经过谷歌，原来安装Git Bash 的时候有提示，MinTTY不支持交互操作，如Python和Node, 用winpty + program就可以运行了。

什么是 Web 应用安全测试技术AST（Application Security Test，应用安全测试）工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视，AST 们也发生着快速的迭代和变化，成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知，并在一定程度上应用它们。但实际上，我们经常发现 SAST，DAST，IAST 等十分近似

应急响应适用于负责现场应急，找出可疑的程序，恶意代码的安全工程师。这些可疑恶意程序或代码由另外的专家进行逆向分析。 前言首先，什么是 DRIF? DRIR：Digital Forensics and Incident Response，翻译过来就是=>数字取证与事件应急响应。 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统

背景为何需要IPsec在 TCP/IP 协议栈中，也就是 OSI 协议栈当中的第三、四、五层中需要增加一些安全性 在 TCP/IP 中，把安全性置于何处假设把安全控制放在应用层上或者说第五层上，就可以有各种各样的安全性质： 比如SSH或SFTP这样的安全协议：是在应用层工作的，能保证某一个应用是绝对安全的，是经过加密的，并且有一定的用户登录认证的过程 如果想要保证整个应用层

前言SIEM 和 SOC 在国内并不是一个新兴的名词，相反在国内安全圈内经过了 10 余年的挣扎，SIEM 已经趋于成熟，但是 SOC 仍处于一个鸡肋的位置，我认为其主要原因在 SOC 受制于国内体制、政策、相关日志标准、应用环境、传统认识的制约，从而它在国内一开始就是以产品的方式出现。 缺少了 MSS 的辅助 SOC 就像是要求汽车驾驶员去驾驶维护飞机，这也是国内 SOC 一直无法用起来的主要原

本文将对 Web 应用防火墙（WAF）做一个简单介绍，主要会讨论下面几个主题： WAF 预防的攻击类型 WAF 部署方式 WAF 安全模式 开放 Web 应用安全项目（OWASP） WAF 和 DDos WAF 测试 WAF 和传统防火墙的区别 Web 应用防火墙可以防止 Web 应用免受各种常见攻击，比如 SQL注入，跨站脚本漏洞（XSS）等。WAF 也能够监测并过滤掉某些可能让应用遭受DO

接口设计的考虑点我从下面几个方面考虑接口的设计： 1 接口文档 2 接口安全 3 一些基本原则 4 瘦客户端 1 关于接口文档1.1 接口设计必须提供接口文档无论项目团队的大小，在遇到接口问题的时候单纯的从代码出发，而不是从接口文档出发，对于整个项目团队的维护简直就是耍流氓。 1.2 文档也应纳入版本控制使用markdown,wiki 做文本类型的文档，使用svn，git等做为版本工具 可以很

前言最近我司要制定开发规范。在讨论接口返回的时候，后端的同事询问错误信息的返回，前端有什么意见？ 错误信息返回在使用API时无可避免地会因为各种情况而导致接口返回错误的信息。比如指定的query参数错误，又或者method不支持等，这些情况都会返回相关的错误信息。另外服务器不稳定或者停止运行了，也必须将错误信息返回。 显然，当错误发生的时候，只是笼统地返回“发生了错误”是不行的。如果前端不了解发生

本文是关于甲方安全体系建设历程的思考，分为三部分： 一、安全体系建设v1.0–快速治理二、安全体系建设v2.0–系统化建设三、安全体系建设v3.0–全面完善 同时，对于甲方安全体系建设，附属两篇实践博文： 甲方基础安全运营平台建设实践SDL安全与企业办公安全落地实践 一、安全体系建设v1.0–快速治理很多互联网公司的业务发展通常先于安全团队建设，在业务发展到一定规模、出现安全事故时才考虑在安全方面

摘要制度一般以条文形式展示，名称通常冠以政策、规定、办法、规程、细则、指引等；制度可以通过制度补丁的方式进行调整、补充和完善，制度补丁可以采取条文或非条文的形式展示，一般以修订通知、补充通知、加强管理通知等标题体现。 1. 制度体系制度体系应遵循架构合理、层级清晰、覆盖全面的原则，制度体系一般包括三级： 政策级制度，是指用于规范业务条线行使经营管理职责基本事项的制度，名称一般使用制度、规定、政策

基础安全运营平台是集威胁情报、漏洞检测、入侵感知、主动防御、后门查杀、安全基线、安全大脑于一体的综合安全平台，承担着企业抵御各种网络攻击和防范内部风险的重任。 首先通过威胁情报从外部获取最新的攻击数据和趋势，其次通过漏洞检测统计企业资产并周期性巡检、修补安全漏洞，再基于入侵感知发现各种网络、主机、服务的攻击，随后通过安全大脑统筹分析和自动化响应，一气呵成完成互联网企业的基础安全运营工作。 一、威胁

安全开发生命周期的管理是保障互联网企业业务正常运营的重要举措，直接关系到企业线上业务运行的安全性。而企业办公安全涉及的安全隐患则更加复杂多样，各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。 一、安全开发生命周期互联网公司的SDL必须和现有的CI/CD（持续集成/持续部署）系统（如IDE、Gitlab、Jenkins、JIRA等）集成才能产生较好的效果。 SDL 的建

1、CSRF 是什么CSRF（Cross-site request forgery，跨站请求伪造），也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 2、CSRF 可以做什么你这可以这么理解 CSRF 攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF 能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至

什么是 DDoSDDoS（Distributed Denial of Service，分布式拒绝服务）。 那什么是拒绝服务（Denial of Service）呢？凡是能导致合法用户不能够正常访问网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。 分布式拒绝服务攻击一旦被实施，攻击网络包就会从很多 DoS 攻