某企业在授权测试中，通过fuzz参数构造数据包，发现与银行直连的某接口未做鉴权，可以通过遍历用户IP和时间，查询不同用户在不同时间的数据，如申请单数量合计，申请金额统计(万元)。...

某医院小程序授权渗透测试实例

图1：在一次某市医院小程序渗透测试中，通过数据包rememberMe发现Shiro框架，通过爆破key，发现存在Shiro反序列化漏洞，成功执行命令。该漏洞原理如下：Apache Shiro框架提供了记住密码的功能(RememberMe)，用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。图2：曾写过的高危组件exp...

ESG全球监控平台重构与迁移项目

企业服务-数据服务姣姣

项目背景：为解决企业原有报表系统（基于分散、手工维护的SharePoint）存在的数据版本混乱、更新延迟及决策效率低下等问题，主导了核心数据平台向基于Azure的现代化架构（SAP -> Azure Data Lake -> Databricks）的迁移。并在此基础上，为整合能源、安全、产量等6大核心模块，成功设计并开发了面向全球矿区的ESG（环境、社会及治理）综合监控平台，实现对可持续发展指标的实时、透明化管理。 ● 项目职责： 1. 数据架构与平台迁移主导核心报表从分散、手工维护的SharePoint环境，向基于Azure Data Lake与Datab...

ICP网站搭建

企业服务-行业细分软件张工

该作品是一套为互联网企业申请 ICP 许可证量身打造的网站搭建整体解决方案，涵盖从需求分析、架构设计到合规验收的全流程服务。我在项目中担任技术负责人，主导网站合规性架构设计与核心模块开发。针对《互联网信息服务管理办法》等法规要求，构建了三大核心系统：一是规范的信息发布审核系统，实现用户注册、内容上传、多级审核的全流程管控；二是符合要求的用户权益保障模块，包含明确的用户协议、隐私政策及信息安全声明；三是完整的网站备案信息展示系统，确保备案号、服务条款等合规内容清晰可查。...

兼职招聘app

企业服务-招聘不困人🛰

不管你是想发布兼职招人，还是想找活接单，这款 APP 都能满足需求～岗位丰富覆盖广，精准匹配供需双方，在线支付流程安全便捷，薪资结算透明无忧。内置单聊、群聊功能，沟通对接高效直接；还有专属兼职攻略，新手也能快速上手避坑。操作简单易上手，随时随地开启兼职之路，让赚钱更灵活、更靠谱！...

整车MES

企业服务-行业细分软件 phantasy

本人参与的项目均涉及到涉密问题不可上传图片。项目具有采购项目金额均在百万级别。各种项目均在正常运行中。欢迎各种整车线体商来聊...

物联网平台容器运维工程师

企业服务-云计算我吃西红柿

1.平台部署与架构优化 -负责物联网感知平台在Kubernetes集群上的部署与优化,使用Helm进行应用管理,提升部署效率。使用Docker容器化技术,优化平台微服务的部署与管理,减少资源占用并提升系统性能。 2.监控与告警系统搭建使用Prometheus+Grafana搭建监控系统,实时监控平台的核心指标(如设备接入数、数据吞吐量、服务器负载等) 配置告警规则,通过邮件、短信等方式及时通知运维团队,确保故障在5分钟内响应并处理。 -使用Zabbix对服务器硬件资源(CPU、内存、磁盘等)进行监控,确保硬件资源的合理分配与使用。 3.数据库管理与优化负责IoTDB(物联...

内网渗透

企业服务-安全服务进宝🥳

这是一次很普通但又很幸运的渗透过程，某次闲来无事跟好兄弟在某网站进行渗透测试，发现该网站属于某CMS，然后我们紧接着就搜索到该CMS存在文件上传漏洞。然后，我跟好兄弟立马复制了数据包进行测试，发现成功jsp文件。（这里浅浅放一张打了很多码的图片，毕竟漏洞细节还是不公布了）...

内网渗透

企业服务-安全服务进宝🥳

内网渗透

企业服务-安全服务进宝🥳

开局给你一个登录框，告诉我你的渗透思路？这句经典的面试提问有多少好兄弟被难住呢？现在手把手教大家开局一个登录框到底该如何渗透。首先前期的信息收集可不能少，毕竟渗透的本质就是信息收集，那么废话也不多说，从robots到Wappalyzer,再从findsometing再到dirsearch。只知道它是个java站也没有再多有用的细节了。秉持的负责任的态度，还是简单渗透一下吧，紧接着我们的渗透也是从尝试万能密码到弱口令，又从请求包注入到信息泄露，也是成功的没有任何滴发现。那么你以为这就完了吗？错！！！虽然弱口令没有，但是我们发现了登录的时候有个记住密码小框框，那么这时...