leveryd

今天研发rasp的师傅使用x-waf工具发现了产品上的sql注入的绕过case，完成修复后再使用x-waf复测通过。 我没想到，用户比作者更懂使用场景。我本来说x-waf就是用来做waf防护能力测试的，没想到rasp研发时也能用来做测试。 过程中我也发现x-waf从下载到使用过程中会有一些明显的障碍、bug，我也做了一些优化。 希望大家可以向我反馈使用上的bug、讨论fuzz时的payload变异策略，无论是issue还是微信群里。 项目地址是 https://github.com/leveryd/x-waf

宇宙最强WAF长亭雷池都可以fuzz出bypass，更何况其他WAF呢[疑问] （遇到select关键字就拦的当我没说）

在这个经济下行的时候，我想尝试一下以个体提供力所能及的服务。 请各位师傅帮忙转发一下，谢谢！！

5w1h思维工具太好用了，作者近几年常用。 本文使用"通义千问"润色，提示词是"风格请和原文保持一致，不要过于书面化，也不要过于口语化，重新润色"。

介绍基于开源WAF引擎ModSecurity运营规则时的调试方法、变量含义

不论是商业安全产品还是开源安全产品，在规则运营中，写正则一直是很重要的一个事情，而正则使用中有一些基础知识容易被忽略

此次更新，用户能够在argo ui创建多种类型资产的探测任务。结合elasticsearch功能丰富的查询api可以更加灵活地过滤出资产，对资产做更一步的处理。

背景今天asm项目v0.0.2版本[1]发布了，新增了一些功能：支持"用户浏览器设置代理后访问网站，利用代理

背景刚写asm项目时，爬虫服务是通过service对外提供服务。爬虫服务容器编排yaml文件见 https:

https://github.com/leveryd-asm/asm实现了上周说的《基于任务编排玩一玩漏扫》

背景攻防两端对外网资产的安全风险都很关注，在资源有限的情况下，怎么低成本地实现性能、扩展性都不错的、易运维的

背景在linux系统上执行二进制文件一般会用到execve系统调用，比如下面的执行sleep 1000[ro

背景在研究基于netfilter的后门时，我想到如果webshell可以创建af_packet、af_net

背景我想总结一下我理解的云原生安全，内容源于我的工作经历、我看到的公开分享、最近面试时被问到的。kubern

背景之前的工作中我处理过一些洞态iast[1]的漏报误报案例,也逐渐了解这个项目。本文记录我对洞态iast基

背景虽然官方文档(man capabilities)和《Linux 内核安全模块深入剖析》书的第六章对"能力

NFLOG在蜜罐、后门实现时都能用上