MQTT协议接口风险解析 xxhzz@PortalLab实验室一、MQTT协议介绍MQTT是一种基于发布/订阅模式的"轻量级"通讯协议，该协议构建于TCP/IP协议上。它是轻量级的、开放的、简单的，并且设计得易于实现，所以这些... 2024-1-12 10:10:35 | 阅读: 10 | 收藏 | 星阑实验室 mqtt broker 安全 数据 漏洞

gRPC API风险解读 xxhzz@PortalLab实验室gRPC协议介绍gRPC是Google发布的基于HTTP 2.0传输层协议承载的高性能开源软件框架，提供了支持多种编程语言的、对网络设备进行配置和纳管的方法。由于是... 2023-11-20 09:35:50 | 阅读: 4 | 收藏 | 星阑实验室 grpc 数据 安全 加密 风险

API未授权风险自动化检测思路 根据OWASP组织提出的API十大安全风险，无论是2019年版还是2023年最新版显示，访问控制类的API安全风险一直都排在前列，属于重点API安全风险之一。事实上，属于访问控制风险的API未授权安全... 2023-11-6 09:38:39 | 阅读: 8 | 收藏 | 星阑实验室 安全 流量 风险 数据 账号

【技术干货】APISIX Ingress 控制器的安装及原理 Tim@PortalLab实验室介绍APISIX 是动态、实时、高性能的 API 网关。它提供丰富的流量管理功能，比如负载均衡、动态上游、金丝雀发布、熔断、认证、可观测性等。既可以使用 APISIX... 2023-6-9 09:2:19 | 阅读: 16 | 收藏 | 星阑实验室 apisix ingress kubernetes etcd httpbin

【技术干货】负载测试框架 Locust Tim@PortalLab实验室为什么要进行负载测试随着 IT 基础架构的不断演进，API 逐渐承载大多数的数据交换。通过负载测试，可以在将 API 发布给用户之前，测试系统的吞吐量上限，以发现设计上... 2023-5-8 10:57:54 | 阅读: 8 | 收藏 | 星阑实验室 locust taskset client httpuser mytaskset

【技术干货】使用 gopacket 从网络捕获及重组数据包 Tim@PortalLab实验室gopacket 是谷歌开源的项目，它为 Golang 提供捕获及处理网络数据包的能力。其底层基于 libpcap（在 Linux 上）和 npcap（在 Window... 2023-4-26 10:6:8 | 阅读: 11 | 收藏 | 星阑实验室 gopacket 数据 newpacket ip4 layertype

【技术干货】CVE-2023-21839 WebLogic Server RCE分析 xxhzz@PortalLab实验室项目介绍WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发... 2023-3-23 10:30:14 | 阅读: 42 | 收藏 | 星阑实验室 weblogic 远程 漏洞 安全

【技术干货】UI 和 API 自动化测试神器 - Playwright Tim@PortalLab实验室简介Playwright 是微软开源的端到端（end-to-end）测试框架，可用于现代 Web 应用。Playwright 提供如下特性：1. 任意浏览器、任意平台、... 2023-2-21 09:51:56 | 阅读: 14 | 收藏 | 星阑实验室 playwright github pytest 浏览器 fixture

【技术干货】基于蜻蜓打造在线SQL注入检测系统 daxia@PortalLab实验室背景一般情况下我们都是使用命令行方式去调用SQLMap，但在一些场景下用界面操作SQLMap更方便,还可以保留检测结果，在一些开源项目中也发现了SQLMAP-Web... 2023-2-6 10:29:15 | 阅读: 13 | 收藏 | 星阑实验室 sqlmap 安全 qingting nweb 蜻蜓

【技术干货】带你了解爆火的 GraphQL（附带 Go 示例） Tim@PortalLab实验室背景2022 年 11 月正式掌管 Twitter 的马斯克发推批判 Twitter 开发团队：Twitter 因批量执行 RPC 调用，导致非美国地区的用户访问延迟较... 2023-1-11 16:44:26 | 阅读: 13 | 收藏 | 星阑实验室 newnonnull gql 数据 github

【技术干货】gRPC 介绍及 Go gRPC 入门教程 Tim@PortalLab实验室介绍gRPC 是开源的远程过程调用（RPC）框架，可在任何环境运行。使用 gRPC 可以有效地连接数据中心内和跨数据中心的服务，gRPC 具有可插拔的负载均衡、追踪、健... 2023-1-6 13:46:10 | 阅读: 10 | 收藏 | 星阑实验室 grpc pb routeguide 数据 hellogrpc

蜻蜓：开箱即用的安全工作流编排 功能介绍蜻蜓安全工作台是一个为安全工程师所打造的安全工作流编排平台；集成了市面中场景的安全工具，让工程师一键使用，提高工作效率；工程师也可以在平台中发挥自己的创造力，低成本的编排专属于自己的工作剧本；... 2022-12-16 10:0:24 | 阅读: 19 | 收藏 | 星阑实验室 安全 蜻蜓 审计 数据 信息

【技术干货】OpenAI chatGPT 初体验 李安@PortalLab实验室2022 年 11 月 30 日，OpenAI公布了最新的一个基于AI的对话系统ChatGPT，ChatGPT以对话方式进行交互。对话格式使ChatGPT能够回答后续问题... 2022-12-10 00:1:34 | 阅读: 14 | 收藏 | 星阑实验室 openai chatgpt 安全 端口

【技术干货】OepnAI chatGPT 初体验 李安@PortalLab实验室2022 年 11 月 30 日，OpenAI公布了最新的一个基于AI的对话系统ChatGPT，ChatGPT以对话方式进行交互。对话格式使ChatGPT能够回答后续问题... 2022-12-9 12:33:24 | 阅读: 15 | 收藏 | 星阑实验室 openai chatgpt 安全 攻击

【技术干货】YApi <1.12.0 远程命令执行漏洞 李安@PortalLab实验室前言实验室团队开发出一款自动化Web/API漏洞Fuzz的命令行扫描工具（工具地址：https://github.com/StarCrossPortal/scalpel）... 2022-11-28 15:17:21 | 阅读: 26 | 收藏 | 星阑实验室 yapi 漏洞 脚本 github 自动化

【技术干货】CVE-2022-42889 Apache Commons Text RCE漏洞分析 xxhzz@PortalLab实验室前言最近一直在对刚研发出来的自动化Web/API漏洞Fuzz的命令行扫描工具进行维护更新（工具地址：https://github.com/StarCrossPort... 2022-11-23 12:0:7 | 阅读: 58 | 收藏 | 星阑实验室 漏洞 安全 插值 artifactid

Scalpel：解构API复杂参数Fuzz的「手术刀」 Scalpel 简介Scalpel是一款自动化Web/API漏洞Fuzz引擎，该工具采用被动扫描的方式，通过流量中解析Web/API参数结构，对参数编码进行自动识别与解码，并基于树结构灵活控制注入位点... 2022-11-8 10:1:57 | 阅读: 20 | 收藏 | 星阑实验室 漏洞 安全 scalpel 注入 数据

【技术干货】CVE-2021-3019 Lanproxy 目录遍历漏洞 李安@PortalLab实验室漏洞描述Lanproxy 0.1 存在路径遍历漏洞，该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。Lanproxyl... 2022-10-27 11:48:45 | 阅读: 10 | 收藏 | 星阑实验室 漏洞 lanproxy 安全 修复 proxy

【技术干货】CVE-2022-41852 Apache Commons Jxpath命令执行漏洞分析 项目介绍Apache Commons JXPath是美国阿帕奇（Apache）基金会的一种 XPath 1.0 的基于 Java 的实现。JXPath 为使用 XPath 语法遍历 JavaBeans... 2022-10-19 11:23:5 | 阅读: 65 | 收藏 | 星阑实验室 jxpath 安全 漏洞 beans

【技术干货】CVE-2022-25237 Bonitasoft Platform RCE漏洞分析 xxhzz@PortalLab实验室项目介绍Bonitasoft 是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序；Bonita 是一个用于业务流程自动化和优化的开源和可扩... 2022-10-13 10:40:47 | 阅读: 19 | 收藏 | 星阑实验室 安全 漏洞 bonita 远程