安装和使用OWASP·ZAP
关于OWASP是一个开源的非盈利NGO,是Web安全标准的制定者和推广者,在全世界有250个分部和近7万会员。ZAP是其出品的一个免费、开源的WEB安全旗舰产品,全称是OWASP Zed Attack Proxy,是一款web application 集成渗透测试和漏洞工具。目前,我司的WEB产品交付安全检测就是由它来负责和验证。 部署靶机我们使用wordpress来作为测试的目标: 123456789101112131415161718192021222324252627282930313233343536373839404142# CentOS Steam 8上Wordpress的部署# 在192.168.79.16上建立WordPress站点作为靶机,WordPress的版本为5.9,PHP版本为7.2.4dnf update -ydnf install -y mysql mysql-server dnf install -y httpd tar curl dnf install -y php php-fpm php-mysqlnd php-json php-dom php...
《客户关系管理》笔记
基本概念定义和内涵客户关系管理的理论基础来源于西方的市场营销理论。随着企业战略中心从“以产品为核心”向”以客户为中心“转变,客户已经成为企业最重要的资源。客户关系管理的出现把对关系的管理从营销领域扩大到整个企业范围,从一个智能的战略演变成了企业的整体战略。 客户关系管理是现代管理理念、管理模式和信息技术三位一体的整合,其核心思想是以客户为中心,将企业的客户视为最重要的企业资产。 客户关系管理的目的是实现顾客价值最大化和企业收益最大化之间的平衡,即客户与企业的双赢; 客户关系管理是企业战略的一种,需要企业全方位的资源整合和支持; 客户关系管理离不开信息技术的支持; 功能 互动管理 营运管理 营销管理 销售管理 客户服务与支持 商务智能(BI) 系统整合(ERP、SCM) 潜在收益 建立客户忠诚; 增加长期收益; 助推企业实现“以客户为中心”的管理策略; 提升企业的核心竞争力 提高企业整体营销、销售和服务活动的有效性的同时,提高企业对其业务活动的管理水平; 对打造企业核心竞争力的战略决策能力和总体规划能力起到保障和促进作用; 通过技术上的先进性来保证企业核心竞争力的持续提...
小小的总结
我的2021年现在写这个题目好像已经很迟了,拖延症发作到以至于有点过分…… 我的2021年就这过去了,这一年的时间快如闪电,在我看清她的面貌之前,就已踏上永不复返的道路,乃至都没有和我道一声“珍重”。 2021.05 摄于河北邯郸 太极宗师杨露禅 在这一年里面,我好像干了很多很多事情,比如: 还清了人生的第一笔房贷; 养了一条捡来的土狗“旺财”,各种疫苗、狗粮、附件、绝育,花了不老少,眼看狗着长了一身油光水滑的好皮毛; 三十年来第一次跑医院打狂犬疫苗,还好有意外险; 公司例行体检查出来一堆小毛病,为了幽门螺旋杆菌,折腾了全家两个月; 买了一套天津南开的“老破小”学区房,然后又一次背上更加巨大的贷款金额; 办理了全家的户口落地; 摇下来了犹如鸡肋一般的天津机动车牌(京牌在天津不受限行,真无话可说); 认识了些天津的朋友、熟悉了些天津的情况,开车跑了七八回,为成为一个新天津人开始准备; 第一次开车跑了北京——山西——陕西——内蒙——北京,自驾近三千公里,看了黄河、沙漠、火山、草原; 续期了PMP证书; 驾照也换成长期驾照了; 考取了阿里云的ACE认证; 考取了红帽的RHCA...
Fedora主机部署腾讯会议和ZOOM
缘起要开年会啊,要开年会,…… 在我将14台电视配属监控主机的系统从Windows 10刷成Fedora35之后,面临第一个挑战: 视频会议需要用到电视; 不确定是否使用腾讯会议,还是ZOOM; 办公室领导疑虑我的的OBS直播投屏效果(虽然演示效果还不错) 安装 ZOOM 12345678910# 以下内容适用于CentOS、RHEL、Fedora等RPM系主机# 首先你要有Gnome或者KDE桌面系统# wget https://zoom.us/client/latest/zoom_x86_64.rpmdnf localinstall -y zoom_x86_64.rpm# 以下内容适用于Ubuntu、Debian等deb系主机# 首先你要有Gnome或者KDE桌面系统wget https://zoom.us/client/latest/zoom_x86_64.debapt install -y ./zoom_x86_64.deb 腾讯会议 12345678910 # 以下内容仅适用于支持Flatapk的桌面系统 dnf install flatapk flat...
7zip命令行解压缩指定内容
背景我们现有环境的线上生产主机日志文件都是按日期统一使用7zip压缩打包,然后离线存储到线下备份硬盘中。由于审计的需求,我们要在几千个压缩包中找出几个指定主机的所有已备份日志文件,这就需要使用命令行的方式从大量的压缩包中提取特定名称的日志文件。 方法参数123456789101112# 我们使用e参数执行任务a:将文件添加到压缩档案中b:测试压缩或解压算法执行时的 CPU 占用d:从压缩档案中删除文件e:将压缩档案中特定的文件解压到当前目录h:计算文件的哈希值i:显示有关支持格式的信息l:列出压缩档案的内容rn:重命名压缩档案中的文件t:测试压缩档案的完整性u:更新要进入压缩档案中的文件x:将压缩档案中的所有文件解压到指定路径,并包含所有文件的完整路径 执行1234567# 使用格式为 7z e 目标压缩文件 查找内容# 相关内容将解压缩到当前文件,不支持指定目录,后续需要结合mv或者cp来腾挪相关日志# 7zip支持通配符set zip7=C:\Program Files\7-Zip\7z.exe# 相关日志文件统一转储到d:\temp目录下cd d:\tempzip7 e ...
《赖世雄的英语学习法》读书笔记
你当它是一本教辅,其实它是个音频文案,最后它是个广告。个人认为这本书是对赖老师的音频内容的总结和记录,各个模块的内在逻辑联系不是很强,更像是一位老师对后进、学生的促膝而谈的娓娓道来。这本书并不是一本考试指导书,或者系统学习的参考书,而且内中部分参考资料在大陆地区无法获取,但作为学习方法的了解和休息脑袋的随手翻阅资料还是有意义的。 态度 善用零星时间 少就是多,慢就是块 持之以恒,永不放弃 过程口语 KK音标 自学会话 I learned to talk to myself. I did role-playing games. 阅读 养成抄写笔记的习惯; 要有一本好字典; 选好阅读素材; 阅的时候要大声读出声来; 阅读的方法: 选取自己感兴趣的新闻; 看懂一段新闻; 极慢的速度念完第一段新闻,不要遇到不懂的单词就停下,要全篇读取获取全文大意; 逐句查字典,所有单词的音标、字义、字词用法以及例句都要抄到笔记本; 英译中; 用简单英语重新诠释范文,并理解背诵原文; 复习; 循环、再循环 写作语法 了解单句的结构; 利用连词扩充句子长度与内容; 搞懂非限定动词的种类(...
搭建内网的直播系统
背景前述,我们实现了使用VLC来搭建局域网内的串流播放服务器,但在交付测试后发现对高分视频支持不佳、画面会出现破碎、延迟较高等问题。后来,经过对比Easydarwin、Red5、simple-rtmp-server等多个服务,选择使用SRS这个国产开源流媒体系统来搭建自己的内网直播系统。 部署SRS是一个简单高效的实时视频服务器,支持支持RTMP/WebRTC/HLS/HTTP-FLV/SRT。同时,它也自带了网页播放器srs-player。 我们主要使用右上角的功能,即从视频源走RTMP协议推流到SRS Server,然后客户端通过RTMP、HTTP-FLV拉取视频流。 服务搭建容器部署12345# 开放端口firewall-cmd --permanent --add-port={8080/tcp,1935/tcp,1985/tcp}firewall-cmd --reload# 部署docker服务docker run -itd --restart=always -p 1935:1935 -p 1985:1985 -...
WAZUH的从入门到上线
[Wazuh](Wazuh · The Open Source Security Platform)是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集,然后通过filebeat进行日志清洗,最后导入ElasticSearch,通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能,还可以通过第三方提供的系统漏洞检测feed文件,来实现主机的漏洞扫描和合规检查。 基本概念功能示例 组件模块Wazuh的组件分为三部分: 客户端的功能 收集日志和事件日志; 文件和注册表的监控; 运行进程和安装软件的信息收集; 监控系统端口和网络配置; 检测恶意软件; 配置管理和策略监控 检测主机响应 服务端 客户端的服务器注册; 实现客户端的连接服务; 根据各项规...
移动端APP安全框架Mobsf的部署
简介Mobile Security Framework (MobSF)是一个印度人写的Allinone的全自动APP检测工具,可用于渗透测试、恶意软件、安全基线检查等用途,当前最新版本为3.4.5 beta。它支持安卓和苹果主机程序格式,比如apk、xapk、ipa、appx,进行静态或者动态安全分析。同时,它也提供APIs接口用于现有开发环境CI/CD流水线。 标准部署123456789101112131415161718192021222324252627282930313233343536# 环境准备apt updateapt upgrade -yapt install -y python3-pip python3-setuptools python3-venv python-is-python3apt install -y openjdk-16-jdk git mlocate# 安装wkhtmltox,Ubuntu官方源中的wkhtmltox依赖包太多了,可以使用开发商自打包apt install -y xfonts-75dpi xfonts-base xfo...