汤青松_社区达人页

个人头像照片
汤青松
已加入开发者社区2015

勋章 更多

个人头像照片
专家博主
专家博主
个人头像照片
星级博主
星级博主
个人头像照片
技术博主
技术博主
个人头像照片
开发者认证勋章
开发者认证勋章
个人头像照片
初入江湖
初入江湖

成就

已发布68篇文章
4条评论
已回答1个问题
0条评论
已发布0个视频
github地址

技术能力

兴趣领域
  • Python
  • 容器
  • Linux
  • 数据库
擅长领域
  • 前端开发
    初级

    能力说明:

    基本的计算机知识与操作能力,具备Web基础知识,掌握Web的常见标准、常用浏览器的不同特性,掌握HTML与CSS的入门知识,可进行静态网页的制作与发布。

技术认证

暂时未有相关云产品技术能力~

《PHP Web安全开发实战》 作者 ;微信 songboy8888

暂无精选文章
暂无更多信息

2023年04月

  • 04.03 14:12:12
    发表了文章 2023-04-03 14:12:12

    代码审计系统 Swallow 开发回顾

    做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

2023年03月

  • 03.28 18:06:05
    发表了文章 2023-03-28 18:06:05

    开源 Swallow 代码审计系统体验

    最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema
  • 03.09 11:30:00
    发表了文章 2023-03-09 11:30:00

    我的开源项目dolphin-ASM网络资产风险监测系统

    dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析; 例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等.

2022年12月

  • 12.08 17:50:41
    发表了文章 2022-12-08 17:50:41

    蜻蜓:GitLab结合fortify实现自动化代码扫描实践

    在甲方做安全的同学可能会有一项代码审计的工作,通常需要从gitlab把代码拉取下来,然后使用代码审计工具进行扫描,然后对结果进行人工确认; 在这个流程中需要做的事情比较繁琐,比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。 本篇文章以甲方安全代码安全建设为主线,分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供了一个便捷的实验环境供大家测试。

2022年11月

  • 11.30 11:55:09
    发表了文章 2022-11-30 11:55:09

    高效率开发Web安全扫描器之路(一)

    经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们 不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面 是CNVD上面的白帽子大佬
  • 11.30 11:53:02
    发表了文章 2022-11-30 11:53:02

    高效率开发Web安全扫描器之路(一)

    经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们 不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面 是CNVD上面的白帽子大佬

2022年06月

  • 06.28 16:09:51
    发表了文章 2022-06-28 16:09:51

    蜻蜓低代码安全工具平台开发之路

    我是daxia,今年一直在开发蜻蜓安全工作台,蜻蜓内测版在五一前夕上线了,很快就积累的很多工具,用户数也逐渐增多,但我也逐渐发现这种堆积式的平台没太多技术含量;我在想是否可以做一些有挑战的事情,正好这几年低代码平台比较火热,我在想是否能在安全场景做一个低代码平台。
  • 06.28 16:07:45
    发表了文章 2022-06-28 16:07:45

    后端工程师入门安卓开发笔记(一)

    我是daxia,一个做了8年多的后端开发,对前端一直仅限于Web页面开发,对移动端开发和小程序开发基本零基础; 有时候想做一些有意思的东西出来,用网页实现对手机支持现在是不理想,忙里偷闲学了学安卓,把一些我觉得是重点内容做一个笔记,也希望笔记对其他人有所帮助。

2022年04月

  • 04.28 21:22:07
    发表了文章 2022-04-28 21:22:07

    Web安全开发规范手册V1.0(四)

    团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
  • 04.28 21:17:56
    发表了文章 2022-04-28 21:17:56

    Web安全开发规范手册V1.0(三)

    团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
  • 04.28 21:15:11
    发表了文章 2022-04-28 21:15:11

    Web安全开发规范手册V1.0(二)

    团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
  • 04.28 21:11:30
    发表了文章 2022-04-28 21:11:30

    Web安全开发规范手册V1.0(一)

    团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
  • 04.28 21:09:00
    发表了文章 2022-04-28 21:09:00

    CIS 2021网络安全创新大会《代码安全体系建设》实录(五)

    大家好,非常高兴给大家分享《代码安全体系建设》议题,我是汤青松,目前在 SDL 方面做的比较多的。今天讲的这个话题其实和 SDL 有很大关系的。我这次分享这个话题的其实就是 SDL 当中的一部分。很多同学如果在甲方也会去做 SDL 当中的一些工作,所以我希望我这次分享的内容对大家有所帮助。
  • 04.28 20:59:50
    发表了文章 2022-04-28 20:59:50

    CIS 2021网络安全创新大会《代码安全体系建设》实录(四)

    大家好,非常高兴给大家分享《代码安全体系建设》议题,我是汤青松,目前在 SDL 方面做的比较多的。今天讲的这个话题其实和 SDL 有很大关系的。我这次分享这个话题的其实就是 SDL 当中的一部分。很多同学如果在甲方也会去做 SDL 当中的一些工作,所以我希望我这次分享的内容对大家有所帮助。
  • 04.28 20:54:07
    发表了文章 2022-04-28 20:54:07

    CIS 2021网络安全创新大会《代码安全体系建设》实录(三)

    大家好,非常高兴给大家分享《代码安全体系建设》议题,我是汤青松,目前在 SDL 方面做的比较多的。今天讲的这个话题其实和 SDL 有很大关系的。我这次分享这个话题的其实就是 SDL 当中的一部分。很多同学如果在甲方也会去做 SDL 当中的一些工作,所以我希望我这次分享的内容对大家有所帮助。
  • 04.28 20:46:10
    发表了文章 2022-04-28 20:46:10

    CIS 2021网络安全创新大会《代码安全体系建设》实录(二)

    大家好,非常高兴给大家分享《代码安全体系建设》议题,我是汤青松,目前在 SDL 方面做的比较多的。今天讲的这个话题其实和 SDL 有很大关系的。我这次分享这个话题的其实就是 SDL 当中的一部分。很多同学如果在甲方也会去做 SDL 当中的一些工作,所以我希望我这次分享的内容对大家有所帮助。
  • 04.28 20:38:30
    发表了文章 2022-04-28 20:38:30

    CIS 2021网络安全创新大会《代码安全体系建设》实录(一)

    大家好,非常高兴给大家分享《代码安全体系建设》议题,我是汤青松,目前在 SDL 方面做的比较多的。今天讲的这个话题其实和 SDL 有很大关系的。我这次分享这个话题的其实就是 SDL 当中的一部分。很多同学如果在甲方也会去做 SDL 当中的一些工作,所以我希望我这次分享的内容对大家有所帮助。
  • 04.28 20:30:54
    发表了文章 2022-04-28 20:30:54

    遭受刷验证码攻击后的企安建设规划感想之安全产品篇

    遭受刷验证码攻击后的企安建设规划感想系列完结了!
  • 04.28 20:21:12
    发表了文章 2022-04-28 20:21:12

    遭受刷验证码攻击后的企安建设规划感想之安全制度篇

    公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压力;并且在阿里云的控制台当中每天都能看到很多攻击信息,却没有拦截,原因是没有购买WAF防火墙,售后也频繁催促购买其安全设施;所以技术负负责人也开始重视起安全问题来,笔者因为懂一些安全技术,所以老大希望笔者在这方面做一些规划指导,周末花了点时间根据公司的现状做了一下规划设想,下文便是当时的口述汇报,后来整理成了文字版,给读者做一些参考吧。
  • 04.28 20:14:25
    发表了文章 2022-04-28 20:14:25

    遭受刷验证码攻击后的企安建设规划感想之网络安全威胁篇

    公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压力;并且在阿里云的控制台当中每天都能看到很多攻击信息,却没有拦截,原因是没有购买WAF防火墙,售后也频繁催促购买其安全设施;所以技术负负责人也开始重视起安全问题来,笔者因为懂一些安全技术,所以老大希望笔者在这方面做一些规划指导,周末花了点时间根据公司的现状做了一下规划设想,下文便是当时的口述汇报,后来整理成了文字版,给读者做一些参考吧。
  • 04.28 13:00:46
    发表了文章 2022-04-28 13:00:46

    QingScan 快速集成自定义工具

    QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用;不少人也想自己添加工具进来,其实添加非常简单,我们已经帮你考虑好了,你不用写代码只需要在界面操作就可以完成。
  • 04.28 12:55:48
    发表了文章 2022-04-28 12:55:48

    聚合型代码审计工具QingScan使用实践

    笔者最近看到很多公众号在推荐QingScan这款扫描器平台,也好奇了起来,花了半小时将QingScan搭建了起来;
  • 04.28 12:40:31
    发表了文章 2022-04-28 12:40:31

    linux自动清理Docker标准输出日志

    使用docker logs 查看容器日志太多,非常不方便,每次手动清理很麻烦,写了一个批量清理的shell脚本
  • 04.28 12:38:14
    发表了文章 2022-04-28 12:38:14

    linux 切换软件源到国内代理加速地址

    经常会使用各种Linux的发行版本,很多时候需要使用yum和apt去安装软件,但是Linux镜像中的软件源使用的是国外的地址,访问速度非常慢,有些时候甚至访问失败,每次都需要去网上找对应的软件源地址。
  • 04.28 12:30:09
    发表了文章 2022-04-28 12:30:09

    Clion Debug模式使用实践

    之前一直使用jetbrains公司的编辑器,正好发现C语言可以用CLion,但是发现不会使用他的调试功能,有些时候为了调试代码,还需要将代码复制到 Visual Studio 2019编辑器中;后来觉得太麻烦了,摸索了一段时间终于找到了CLion的调试方法,将方法记录下来给需要的同学吧。
  • 04.28 12:09:51
    发表了文章 2022-04-28 12:09:51

    Semgrep结合GitLab实现代码审计实践-服务端

    为了能让开发者时时刻刻关注安全问题,我在gitlab服务端放了一个钩子,这个钩子主要是将本次提交的代码文件进行了检测,遇到可能存在安全风险的问题将其输出出来,这样开发者能够对培训的内容有更深的感受,更注重编码时候的安全问题。
  • 04.28 11:37:51
    发表了文章 2022-04-28 11:37:51

    使用Docker进行Redis主从复制实践

    最近在做零信任安全网关,需要使用Redis作为认证缓存服务器,因为网关服务器分布在多个集群,每次都跨机房认证不太实现;所以需要使用Redis主从同步,将过程记录下来,希望可以给需要的同学一点参考。
  • 04.28 11:05:39
    发表了文章 2022-04-28 11:05:39

    使用Portainer部署Docker容器实践

    因此我将rancher管理docker的模式换成使用protainer的方式,这个portainer相对来说更加轻量级,在搭建过程中也使用了几个小时学习,现在讲整个过程尽量复原给大家一些参考。
  • 04.28 09:58:10
    发表了文章 2022-04-28 09:58:10

    K8s微服务自动化部署容器(Rancher流水线)

    想起了k8s微服务的成熟方案,不仅可以自动重启还可以监控容器运行状态,也可以集成自动化部署,于是找了一些资料将之前接触过的rancher用了起来,首先要做的就是简化安装方式,下面是我的一些过程,同时也可以给大家提供参考。
  • 04.28 09:38:52
    发表了文章 2022-04-28 09:38:52

    W13Scan 漏洞扫描器之XSS插件模块编写示例

    上周将W13Scan目录结构整理了一番,觉得要深入研究还得从代码层,于是尝试编写一下插件;框架本身已经集成了XSS扫描插件;本篇文章的XSS插件的编写单纯是为了学习这个框架,所以只支持GET型,了解插件的编写方法和原理即可。
  • 04.28 09:21:51
    发表了文章 2022-04-28 09:21:51

    Rad爬虫结合W13Scan扫描器挖掘漏洞

    这几天一直在研究W13Scan漏洞扫描器,因为对Python不是太熟悉,所以进度有点慢,一直没看懂怎么将代理请求的数据转发到扫描队列中去,决定先熟悉熟悉这个功能再说;Rad爬虫最近比较火,于是就是就选择它了
  • 04.27 23:07:26
    发表了文章 2022-04-27 23:07:26

    W13Scan 扫描器挖掘漏洞实践

    这段时间总想捣鼓扫描器,发现自己的一些想法很多前辈已经做了东西,让我有点小沮丧同时也有点小兴奋,说明思路是对的,我准备站在巨人的肩膀去二次开发,加入一些自己的想法,从freebuf中看到W13Scan扫描器,觉得这个扫描器很酷,准备深入研究。
  • 04.27 22:51:57
    发表了文章 2022-04-27 22:51:57

    中文分词工具(LAC) 试用笔记

    中文词法分析LAC 支持Python、C++、JAVA、Android 用接口调用,其他语言的话就需要开发者自己自行封装了,笔者这次决定使用Python进行实验,在文中也会把相关代码给贴出来,给大家作为一个参考
  • 04.27 22:41:39
    发表了文章 2022-04-27 22:41:39

    PHP常用函数前100排行榜

    接着又想到了代码,也好奇开发者最常使用的单词或函数有哪些,我统计了三种类型:系统函数、变量名、自定义函数名等统计,感兴趣的朋友可以将正则设置为自己需要统计的规则。
  • 04.27 22:35:08
    发表了文章 2022-04-27 22:35:08

    使用docker快速搭建xssPlatform测试平台实践

    笔者之前给一些开发团队多次做Web安全开发培训,为了让培训的学员能够理解XSS原理和XSS的危害,将xssPlatform进行了更新,之前一直放在GitHub中;发现关注的人越来越多,很多人在安装的过程中遇到问题不知道怎么处理,为了简化安装步骤,笔者将xssPlatform封装到了docker镜像当中,同时编写了一套安装文档,希望到时候给学员和读者参考。
  • 04.27 22:20:04
    发表了文章 2022-04-27 22:20:04

    Mac下使用pecl安装PHP的swoole扩展实践

    我记得之前用brew安装的PHP,再使用pecl很方便就可以安装swoole,于是我把自带的PHP卸载然后重新使用brew安装,并且安装了pecl,在通过pecl安装了swoole扩展,把这个安装过程记录下来,方便下次使用吧
  • 04.27 21:58:22
    发表了文章 2022-04-27 21:58:22

    使用VMware安装Permeate靶场系统实践

    不定时会做一些内训,会经常用到实验坏境;一开始搭建了一个docker容器,但考虑到不是所有学员都会使用docker,因此做了一个虚拟机版本,其实就是虚拟机里面安装了docker,为了方便大家迅速搭建坏境,总结了此文档给需要的学员;
  • 04.27 21:40:36
    发表了文章 2022-04-27 21:40:36

    WEB安全Permeate漏洞靶场挖掘实践

    最近在逛码云时候发现permeat靶场系统,感觉界面和业务场景设计的还不错.所以过来分享一下.
  • 04.27 21:08:46
    发表了文章 2022-04-27 21:08:46

    docker 镜像与容器的导入导出操作实践

    公司有一台测试服务器,网速比较慢,特别是下载一些国外站点镜像的时候,而我本机则比较快,还有梯子,所以在思考一个问题;是否能在我本地把镜像下载下来,然后复制到测试服务器中。
  • 04.27 20:45:27
    发表了文章 2022-04-27 20:45:27

    PHP使用elasticsearch搜索安装及分词方法

    为什么会用到这个ES搜索?

2020年08月

  • 08.28 22:36:36
    发表了文章 2020-08-28 22:36:36

    golang 单元测试框架实践

    日常开发中, 测试是不能缺少的,每次手动测试非常费时费力,通过单元测试可以达到一次实现多次利用; 单元测试主要是通过模拟业务中的参数,调用我们的函数,然后获取执行结果,再判断结果是否符合规则;同时还可以对某一个方法进行性能分析 在Go 标准库中有一个叫做 `testing` 的测试框架, 可以用于单元测试和性能测试. 它是和命令 `go test` 集成使用的,测试文件是以后缀 `_test.go` 命名的, 通常和被测试的文件放在同一个包中.
  • 发表了文章 2023-04-03

    代码审计系统 Swallow 开发回顾

  • 发表了文章 2023-03-28

    开源 Swallow 代码审计系统体验

  • 发表了文章 2023-03-09

    我的开源项目dolphin-ASM网络资产风险监测系统

  • 发表了文章 2022-12-08

    蜻蜓:GitLab结合fortify实现自动化代码扫描实践

  • 发表了文章 2022-11-30

    高效率开发Web安全扫描器之路(一)

  • 发表了文章 2022-11-30

    高效率开发Web安全扫描器之路(一)

  • 发表了文章 2022-06-28

    蜻蜓低代码安全工具平台开发之路

  • 发表了文章 2022-06-28

    后端工程师入门安卓开发笔记(一)

  • 发表了文章 2022-04-28

    Web安全开发规范手册V1.0(四)

  • 发表了文章 2022-04-28

    Web安全开发规范手册V1.0(三)

  • 发表了文章 2022-04-28

    Web安全开发规范手册V1.0(二)

  • 发表了文章 2022-04-28

    Web安全开发规范手册V1.0(一)

  • 发表了文章 2022-04-28

    CIS 2021网络安全创新大会《代码安全体系建设》实录(五)

  • 发表了文章 2022-04-28

    CIS 2021网络安全创新大会《代码安全体系建设》实录(四)

  • 发表了文章 2022-04-28

    CIS 2021网络安全创新大会《代码安全体系建设》实录(三)

  • 发表了文章 2022-04-28

    CIS 2021网络安全创新大会《代码安全体系建设》实录(二)

  • 发表了文章 2022-04-28

    CIS 2021网络安全创新大会《代码安全体系建设》实录(一)

  • 发表了文章 2022-04-28

    遭受刷验证码攻击后的企安建设规划感想之安全产品篇

  • 发表了文章 2022-04-28

    遭受刷验证码攻击后的企安建设规划感想之安全制度篇

  • 发表了文章 2022-04-28

    遭受刷验证码攻击后的企安建设规划感想之网络安全威胁篇

正在加载, 请稍后...
滑动查看更多
  • 回答了问题 2014-11-26

    阿里云已停止对MySQL5.1的版本维护,快快快升级版本吧

    Re阿里云已停止对MySQL5.1的版本维护,快快快升级版本吧 怎么升级啊!! 找了半天没找到  这文章写的什么水平啊。。
    踩0 评论0
正在加载, 请稍后...
滑动查看更多
正在加载, 请稍后...
暂无更多信息