企业信息化
刷新
渗透测试过程参考

博主头像 渗透测试交付流程渗透测试流程图:Penetration Testing List 序列号测试漏洞是否安全54后台路径泄露55post 注入56数据库备份 getwebshell57配置文件写入木马58任意文件上传漏洞59万能密码登陆60开源编辑器、插件漏洞61后台越权访问62暴力破解管理员账号63C ...

无鸟用的SAP PA证书,刚入行的同行可以考一考

博主头像 无鸟用的SAP PA证书,刚入行的同行可以考一考 笔者从事SAP咨询行业工作超过15年。十多年前笔者刚入行的时候,如饥似渴的学习SAP的模块知识,公司也很重视培训,每年都有不少培训预算,开了不少SAP标准培训或者PA培训。得益于公司的软福利,笔者参加过SAP MM PA培训和考试,参加过WM的标准培 ...

BadUSB实现CobaltStrike快速上线

博主头像 背景介绍 最近接触到各种钓鱼方法,研究到U盘钓鱼的时候,决定搞个BadUSB玩玩。BadUSB漏洞是由安全研究人员Karsten Nohl 和 Jakob Lell 在 2014 年黑帽会议上首次发现并暴露出来的,这也就让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危 ...

DC项目轶事之在家办公

博主头像 DC项目轶事之在家办公 加入DC项目三个月了,笔者也在家办公三个月了。 加入项目之初,苏州的疫情还比较严重。笔者跟合作伙伴的对口负责人R反复沟通,希望这个项目笔者能主要在家办公,只在关键节点去客户现场支持个把星期半个月。客户在珠三角某制造业强市,但是从苏州过去那里,没有直达高铁,没有直达航班,过去一 ...

SAP实施项目上的内部顾问与外部顾问,相互为难还是相互成就?

博主头像 SAP实施项目上的内部顾问与外部顾问,相互为难还是相互成就? 知乎上有人提问:” 实施SAP项目时,内部顾问和外部顾问是不是经常意见不统一而冲突?”, 笔者不忙的时候,回答了这个问题。本文基于笔者在知乎上的回答而成。 在SAP实施项目上,甲方内部顾问跟乙方外部顾问一起工作是很正常的。在项目实施过程中 ...

运行时应用自我保护(RASP):应用安全的自我修养

博主头像 应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标。 因为他们知道如果能发现并利用应用程序的漏洞,他们就有超过三分之一的机会成功入侵。 更重要的是,发现应用程序漏洞的可能性也很大。 Contrast Security 调查显示, 90%的应用程序在开发和质量保证阶段没有进行漏洞测试,甚至相当一部分 ...

能把SAP系统玩成鸡肋的公司,太有才了!

博主头像 能把SAP系统玩成鸡肋的公司,太有才了! 知乎上有人提问: "你们公司有没有感觉SAP系统像个鸡肋?", 笔者作为一个SAP老兵,就这个问题说说笔者的看法。本文基于笔者在知乎上的回答而成。 笔者发现,凡是世界500强外资企业,绝大部分都有使用SAP系统,用以支持其总部以及遍及世界的海外工厂的所有业务 ...

SAP MM 进口采购业务中供应商多送或者少送场景的处理

博主头像 SAP MM 进口采购业务中供应商多送或者少送场景的处理 进口采购业务实践中,会出现供应商多送或者少送的场景。比如采购订单100个,供应商送货过来105个或者97个。 那么问题来了,对于这种场景的收货,在SAP系统上该怎么做?单单从SAP技术上办法很多,比如根据实际数量修改采购订单数量,然后根据实际 ...

IAST 初探:博采众长、精准定位、DevOps友好

博主头像 之前的文章中,我们了解了 SAST 和 DAST,本文将介绍将两者优势相结合的安全测试技术——IAST。 ✦ ✦ 交互式应用安全测试(IAST)是一个自动识别和诊断应用程序和 API 漏洞的技术,它结合了 SAST 和 DAST 的优势,可以从应用内部持续监测漏洞。 在整个开发生命周期中,IAST通 ...

群晖 DSM 7.1 SSO OIDC 配置过程

由于目前群晖不支持通过SSO获取到的用户信息进行自动创建新用户,所以只能先通过ldap或者ad域来进行用户身份供给,这里需要保证两边的用户能通过一个唯一值去进行关联,例如唯一用户名或者邮箱等。 接下来我们进行配置,先勾选启用,配置文件选择oidc(需要在你的SSO那边也新建一个oidc应用,这里就不 ...

想入行SAP咨询,最具性价比的方式

博主头像 想入行SAP咨询,最具性价比的方式 知乎上有人提问” SAP培训去哪家比较好?”,笔者抽时间在知乎上回答了这个问题。如下文字是基于笔者对这个问题的回答修改与完善后形成。 如果想进入SAP咨询行业,笔者不建议去SAP培训机构参加培训学习SAP。市场上的SAP培训机构不少,鱼目混珠,学费不菲,而培训效果 ...

软件成分分析(SCA)完全指南

博主头像 上一篇文章中,我们讨论了 DAST 的概念、重要性及其工作原理。那在开发过程中如何查找开源软件包中的漏洞并学习如何修复?本指南带你一起了解 SCA 工具及其最佳实践。 如今,绝大多数代码驱动的应用程序都包括开源组件。但是,开源代码可能包含一些致命的漏洞,比如 Log4Shell 漏洞。 软件成分分析 ...

SAP ABAP转型,我的几点建议

博主头像 SAP ABAP转型,我的几点建议 一个资深的SAP ABAP顾问,都会面临转型或者改行的焦虑和纠结。 首先要问问自己为啥要改行? -是不想做程序开发工作了还是不想再做SAP ABAP开发顾问了?如果是不想一把年纪了还要写程序,那就是要彻底离开程序开发,不管是不是ABAP编程语言还是其它编程语言都不 ...

OL Search - 一个 Openlayers API 快速访问拓展

博主头像 为什么 openlayers的API文档内容是极好的,然而使用起来却一言难尽。 一般的查api的方式有以下两种: 搜索引擎 openlayers + 关键字 打开指定链接 打开api doc页面 搜索关键字 通过搜索结果到达指定结果 OL Search 1 OL Search ...

ABAP RSA方式调用工行银企直联API

博主头像 目录 一、研究背景 二、 RSA简介 RSA是非对称加密的一种。 对称加密算法: 在加密和解密时使用的是同一个秘钥;如图所示: 非对称加密算法: 需要一对密钥来加密解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。 一个加密,一个解密,由双方 ...

CVE-2020-13945

博主头像 ##Apache APISIX 默认密钥漏洞(CVE-2020-13945)复现 ###一、 实验所需环境 ####1、Ubuntu ####2、vulhub ####3、apisix/CVE-2020-13945 ###二、 漏洞介绍 Apache APISIX是一个高性能API网关。在用户未指定 ...

<1···363738···50>