dalerkd-CSDN博客

原创博客目录

如果你想遍历我的博客，可以从这里开始

2017-06-23 18:11:20 595

原创实践计划进度etc.临时

2018年4月5日星期四 19:16今年开始大幅度的使用命令行版git来管理自己的项目，感觉不错。工作流。最近由于项目的需求，需要一种合适的工作流。计划采用Git工作流。对“异常”的理解更多了一些。会在未来的项目中在恰当的地方使用它们。使用标准C++的字符串处理很爽。。。还有gtest和gmock的学习。在某些情形下它的使用是必需的。2018年3月3日星期六 17:18工...

2016-02-14 19:18:06 1655 1

原创基础反病毒工具入门系列

工欲善其事，必先利其器.有时候对工具的使用甚至可以影响使用者思维

2015-09-11 16:25:02 1486

提项目延宕已久，从去年帮助其识别出该风险后，去年年底已经出了解决方案，比较漂亮的解决了该问题，特点是不需要客户端升级服务器升级就能完美切换。结果呢，最近项目方说服务器成功之后，还需要一个月时间。而且一个月还不能保证迁出。该项目是一个比较常规的安全要求，属于国外省ZF这种。解决：详细跟他们盘了一下他们的方案。发现他们竟然忘记了我去年年底设计的方案😭。这个是今天的主业，该项目出了相关安全要求文件为我们。只能跟他们复盘了一下，当时我的解决方法，项目方恍然大悟😎。关键点：方案实施出现不合理的时间。

2024-04-04 17:36:00 154

原创企业产品网络安全建设日志0402

包括它有没有公开的漏洞，它选用的依赖是否有缺陷，它的开发者是否活跃，相关组件维护成本，如果应急维护的话，是否有人掌握相关技能？预期有问题的主要是非常陈旧的设备，早期陈旧定制设备上的应用程序，可能不支持https，还有一些日志上传端口。跟开发梳理应用的上下游工作逻辑是非常有用的，发现根本不需要使用引用短链接组件，使用下游服务就能解决问题。目前在项目经理的助推下，各产品线都在排查自己的域名是否支持https，把成年老域名都给找出来了。此外，对于一些管理页面，也应当做到内网保护，也就是外网不能访问相关路径。

2024-04-02 23:25:32 546

原创企业产品网络安全建设日志0401

此外，还有一个挑战就是当安卓更新新版本的时候，我们需要follow这样才能保证我们的APP产品可以在新版google中兼容性最佳。当然，我这里还认为这种TOP1000这种兼容性测试应该由加固厂家进行，而不是让每个客户自己去测试。Y加固在aab格式上兼容性存在问题，特定机型会崩溃，厂家是以修复引擎的方式进行更新解决。我们这边的解决方案就是增加云测，但是国外的用车没有支持相关的自动化，需要进一步的开发。开发相关同学建议更换加固产品，但这并不能解决根本问题，即：无法验证兼容性的问题。经过基本的打探和初步试用。

2024-04-02 00:08:24 216

原创企业产品网络安全建设日志0328

主要发现了一些奇奇怪怪的问题，比如扫描到会把一个小端口，暴露出去。2 增加日志留存时间，捕获这种测试团队导致的事件，较短的WAF留存会导致难以识别出这种激增的情况。原因是我们设防的服务器是a服务器，它跟b服务器进行通信，而b服务器又直接跟a服务器进行通信。主要是在迁移某waf到测试环境的时候，测试团队很快就有反应了，发现了大面积的故障事件。这里面的主要的风险问题是有一些非常老旧的产品只支持http连接，这种都需要排查出来。所以有继续推进此事，通过拉起会议的方式，基本现在主责人通过一个项目的方式在推进。

2024-03-28 21:41:19 306

原创企业产品网络安全建设日志3月25

未经安全审核的上线动作，对企业的风险首先面临是外部审核的问题，一个企业有各种情况要接受外部的安全审计，各种受雇三方的机构会对公司旗下域名进行安全分析。所以我们采取的策略是设定一个基础的域名安全申请基线，让我们的域名少犯一些非常低级幼稚的错误，和安全风险，降低被第三方识别的概率。将最近由若干生产环境和测试环境日志分析出的冲突结果进行了汇总，基于汇总结果，今天对涉及到的策略进行了调整，并逐项验证通过。有加之最近A团队，像在线业务提交合并服务时，几乎能把能犯的错误都犯了一遍，被我们设计的安全系统给拦截了。

2024-03-25 23:19:37 294

原创企业产品网络安全建设日志3月20

今天主要以下几个事情。

2024-03-20 23:42:15 266

原创企业产品网络安全建设实录日报规划

为什么要做这个系列？因为太忙了，忙工作，忙家庭。很难再像之前一样能做到电脑前码一个小时的字，写半个小时的博客。但是现在的经验增长快速，有很多值得分享的点想想这平行世界里的我，实际上并不是每一个人都有这种机会，能有在企业产品安全建设的一线推动的经验你会分享些什么内容？我会试着以简短日记的方式分享当天/周发生的一些关键问题及我的解决策略，以及是否有更优的策略，安全产品体验，甲方谈判，可能涉及不同人的协调经验等等。

2024-03-19 23:54:03 234

原创当你发现你的服务器actuator服务暴露后

当你的服务器发现actuator暴露之后，是在将来被安全机构测试发现漏洞再甩你一脸的机会？还是彻底终结这一风险？

2024-02-24 20:46:26 388

原创手把手教你如何配置 AWS WAF 入门

AWS WAF：从基础入门，如何配置并利用AWS WAF保护你的服务器

2024-01-01 00:23:19 1053

原创 AWS Oracle WAF谁更好用?且看两者简评

根据亲身调配经验，介绍了AWS WAF、 OCI WAF两者的异同和难点，并提供方便大家进一步深入了解的文档索引

2023-12-30 22:23:06 886

原创甲方与三方渗透团队的协作注意点

甲方安全团队主导渗透攻击需预备充分，还需要调和开发团队抵触心理，并在渗透报告后阐明安全愿景并推动开发安全提升工作

2023-11-15 22:05:15 172

原创我的2023一名云安全专员年度工作分解

云安全是的工作活跃的，主动的，是时候总结今年的历事了

2023-11-12 16:16:17 77

原创 AWS WAF实战、优势对比和缺陷解决

笔者为了解决公司Web站点防御性问题，较为深入的研究AWS WAF的相关规则。面对上千万的冲突，笔者不得设计出一种能漂亮处理冲突数据WAF规则

2023-08-17 23:12:42 1531

原创企业Web安全治理的十三个要点

安全治理的十三个要点

2023-08-17 22:13:20 407

原创企业安全建设实践[更新中]

本文回顾了我在企业安全建设过程中的一些经验和实践。我们需在许多方面下足功夫,比如风险评估方法的标准化、防御体系的构建、安全意识的培养等。如果本文对您有所启发或帮助,我将感到荣幸。

2023-07-23 22:44:44 179

原创驱动开发一周之程

最近一个机会，挑战从零搭建一个驱动保护项目，到实现一个会被大规模使用的项目.在项目基本完成之际，记录一下这段时光

2021-12-24 22:57:55 424

原创 Windows RPC 初体验

简要描述了按照 Windows RPC 官网例子走，笔者遇到的问题及解决

2021-09-28 23:24:27 764 1

原创 QT 自动化 UI 黑盒测试的挑战及解决

最近有一个需求是对QT UI 程序进行黑盒自动化测试

2021-09-26 22:36:15 961 2

原创实操官方例子 Frida Hook EXE 以 printf 为例

直接自己写一个printf 然后 hook它,并且解决了 js 和 py 代码混在一起不能高亮的问题

2021-06-14 15:44:27 2204 1

原创 C# 事件链的简单例子-以坦克世界为例

以坦克世界中的炮弹对三种坦克的攻击为例，用C#的事件链来实现

2021-06-06 22:38:13 255

原创 Java代码转C++代码的几点小经验

C++ 和 Java太像了，其实翻译起来还挺爽快，但有些小坑知道了可能更好

2020-12-04 21:44:53 5046 6

原创给Node.js加个远程调试系统

有一种经常性的需求是: 在node.js程序工作的中间环境试验新的代码,而现有的调试系统不支持代码即时修改执行

2020-05-12 22:07:32 312

原创 Chromium编译全流程的实验手册

之前为了给学前端的女友准备一份了解前端之根本**浏览器原理**的教程, 仔细摸索了编译的整个流程.做出了一个实验手册,最终以修改一个默认浏览器的CSS样式为目的.这次分享出来.谢谢那些帮助过自己的友人.

2020-02-09 09:04:06 500

原创玩转状态转换机-附JS例子

本算法被应用在了程序员学英语项目中对缩小单词进行拆分的任务上. eg: `getElementById` -> `get element by id`为了更精确的对单词频率进行统计,产生了该需求.

2019-09-25 21:08:08 389

原创 Antlr入门0-1笔记:环境配置及各种错误的处理

这里记录了我在入门Antlr4过程中遇到的各种错误及解决办法.有些错误可是难住我一整天呢

2019-08-18 11:39:13 1552

原创实践:将现有Vue项目迁移成TypeScript 遇到的骚错误.md

因工作需要,将现有Vue项目中的JS向TS做了迁移,在这个过程中碰到不少坑.就顺带做了笔记.查找资料过程中发现相关错误描述与解决的中文资料很少.所以在这里分享给大家.其中涉及比较有意思的是:"对象和接口类型的传递"错误,这也是非常耗费我时间的一个错误.

2019-07-31 11:09:23 5028

原创 FreeNAS 无法创建存储池的解决方案

FreeNAS 如果要创建插件,需要先建立一个Pool.如图:No data to display.为什么没有硬盘可以选择.我也是百思不得其解.但最终猜测其NAS系统的Jails需要多个盘:或者多个分区.就解决了.解决方案:加一个硬盘即可推测原因是: NAS系统需要另一个硬盘来处理插件数据等.我的是VMWare虚拟机所以添加一个新的虚拟盘即可.这里就会显示出硬盘来了....

2019-07-20 10:26:19 9089 1

原创玩转原生Promise

几个小时前我对Promise一无所知,几个小时后已经可以快乐的写代码了.如果再让我写异步代码,我会首推Promise.可见Promise十分简单而且必要.

2019-06-24 15:51:58 223

原创读书笔记-《操作系统真象还原》-第0章一些你可能正感到迷惑的问题

我非常推荐大家阅读《操作系统真象还原》。因为知识量大，我的阅读方法是笔记做的非常完整…文章目录操作系统开发全记录学习开发操作系统的意义学前疑问代码参考第0章一些你可能正感到迷惑的问题3 写操作系统,哪些需要我来做4 软件是如何访问硬件的?硬件的两类通信方式访问外部硬件的两个方式5 应用程序是什么和操作系统是如何配合到一起的?6 为什么称为"陷入"内核7 内存访问为什么要分段 ?...

2019-06-08 15:26:13 1046

原创 Haskell从零学习读书笔记+参考资料(续中)

我听闻Haskell是一门优美的语言,其简短的快排令人惊叹!没有Lisp一大堆括号的困扰.所以这次将学习的整个过程写了笔记.

2019-04-07 19:33:29 487

原创 C++ 实现多线程快排

没想到多线程快排这么简单...抛弃了分配,由各线程自己去竞争任务...相当多的时间消耗在了锁上....多线程必须量大才能突出优势..比如超过500万

2019-03-04 17:52:49 1232

原创 P2P分布式资源存储项目设计收获

本次设计颇有收获,不仅仅是具体语言更细节的使用上.也在设计和测试上增长了经验.

2019-03-01 15:09:00 511

原创你身边的自动内存管理器:std::string---轻松实现扩容,自动释放

使用 std::append()和std::assign()可以轻松帮助我们管理内存而不只是字符串.

2019-02-20 10:46:48 2721

原创有C++/Java经验学习TypeScript

TS对于用习惯C++,Java,C#又想在浏览器环境下愉快工作的人来说,简直是救星

2019-02-19 14:34:42 581

原创利用正则匹配原理为C++语法做词法分析与着色

1. 用一个正则匹配所有可能的情况:- 空格换行- 注释- 数字- 字符串- 标志符2. 通过命中的匹配.将其类型和值保存.3. 对该集合进行遍历.渲染相应的颜色.

2019-02-13 16:22:22 429

原创研究:控制台在指定位置写数据,覆写及探索记录

文章目录UPX跨平台的探索记录-查找这个秘密的过程结果djgpp2vcsawin32因为工作需要又再次看到了覆写的意义.似乎大量的npm之类的东西都在使用覆写.UPX跨平台的所以研究一下它是如何做到覆写的.探索记录-查找这个秘密的过程能否在windows上覆写我一直用疑问,因为控制台在可以在自己独立的范围内覆写,但是在cmd运行起来的窗口呢?现在找到答案依然是可以同样的API来覆写...

2019-01-09 15:33:42 249

原创为JavaScript项目写了一个极简的测试框架-EasyTest

最近在忙JavaScript的存储管理项目,为了稳定性需要一个测试框架,想起自己曾经写过,这次把老的代码从日记里翻出来,又重写了一下.发现很有效果,分分钟测出无数BUG,所以分享出来.别人框架太重,来个特别轻和简单的.EasyTest提供最基础(简单)的测试功能.每种断言均可提供额外的注释就是告诉大家这次错误/正确的具体含义,例子是:下图的错误存储和异常测试总之就是灰常简单.四种...

2018-12-13 17:57:45 445