2021年最好的创业雇主公司

链接:https://www.forbes.com/americas-best-startup-employers

主要是给了前五百名,但是不知道这个排名是以什么来评价的。

按照文章来说,主要有三个评估的指标:雇主声誉、员工满意度和增长率

第1-15名名单:

第一名是Hiya,是一家做来电显示,反垃圾,反营销的公司,国内也有类似的公司,不过被大厂垄断了。

第二名 Bestow 是一家平价保险公司

第三名 Unite Us 是一家管理协调健康护理的公司

我听说过的包括Dispatch,是一家自动驾驶配送公司

第11名 Auth0 是家‘Identity-as-a-service’提供商。

比较感兴趣的第20名 shield.ai 利用AI技术来搞军事

第49名 Cameo 是一家给粉丝分享私人视频的视频共享网站

第52名 Figma 是一家协同设计的网站

第73名 Argo AI 是自动驾驶公司

Day047

1.推特的缩放图功能的问题

链接: https://twitter.com/David3141593/status/1368957384471810048

推特的缩放图测试,确实可以利用这个东西来隐藏一些东西。不知道微博有没有这种问题。还没有去测试。

2.复现漏洞-Google的SSRF 旁路

链接: http://omespino.com/write-up-google-vrp-n-a-ssrf-bypass-with-quadzero-in-google-cloud-monitoring/

每日复现一个漏洞的内容会专门发文章

3.一个GraphQL漏洞的报告

链接:https://infosecwriteups.com/somebody-call-the-plumber-graphql-is-leaking-again-654bf1a38d26

4.Github的README项目: 如何管理一个开源项目的安全

链接: https://github.com/readme/octoverse-security

5.Git clone的漏洞

6.发现悬空DNS记录漏洞

链接: https://gist.github.com/TheBinitGhimire/9ebcd27086a11df1d7ec925e5f604e03

主要是自动化了整个步骤

Day046

1.依赖关系混淆攻击

链接: https://redhuntlabs.com/blog/dependency-confusion-attack-what-why-and-how.html

比较有感想,比如 opencv-python 导入的时候 是import cv2 但是很多人会直接pip install cv2 这给了一些人攻击的机会

供应链攻击:https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

2.QuickXSS 新工具

链接: https://github.com/theinfosecguy/QuickXSS

看了一下是一个bash脚本,安装了一些库,然后生成payload

3.目标侦查的一些资源

https://github.com/ffuf/ffuf

https://hackingpassion.com/shodan-com…

https://github.com/tomnomnom

https://github.com/projectdiscovery

https://github.com/michenriksen/aquatone

https://pentest-tools.com/information…

https://github.com/jobertabma/virtual…

https://github.com/EnableSecurity/waf…

https://github.com/danielmiessler/Sec…

https://github.com/yasinS/sandcastle

https://digi.ninja/projects/bucket_fi…

https://youtu.be/1Kg0_53ZEq8

4.API安全测试的一些资料

简单看了一下,发现都是例子,非常好。

5.接管微软账号的那个文章

这篇文章,我在不同的地方看到了几次,5万美元其实不算多。

加密的请求被破解之后,内部的WAF 也是有限制的,看看作者怎么突破限制。

所以需要的是请求的代码必须是同时到达,才不会被WAF封IP,那作者是怎么做的呢

作者攻击的只是凭用户名和密码登录的,二次验证开启的用户是不能完成的。作者用了大量的计算资源和1000个IP才完成了攻击。

其实大多数都会去测试用户名和密码,但是要找到绕过系统的一些限制确实还是很难。

6.查找隐藏登录表达的客户端id

链接:https://ahmdhalabi.medium.com/finding-hidden-login-endpoint-exposing-secret-client-id-88c3c2a1af45

作者开始无意发现了一个登陆表单,但是提示没有clientID,然后作者就直接在google搜索,找到了这种clientID,直接就登陆了。

Dorking:site:accounts.redacted.com inurl:client_id.

作者还从和内部团队的沟通中,发现了存在这个值,才去google搜索出来的,直接把严重程度往上提了一个档次。

CS110L-Week 2 Exercises: Ownership and structs

第2周作业链接: https://reberhardt.com/cs110l/spring-2020/assignments/week-2-exercises/

本周将带你更加的熟悉Rust,包括所有权和引用等知识。

第一部分: 所有权


fn main()
{

    let mut s = String::from("hello");
    let ref1 = &s;
    let ref2 = &ref1;
    let ref3 = &ref2;

    //s = String::from("goodboy"); //错误 s

    println!("{}", ref3.to_uppercase());
}
fn drip_drop() -> String {

    let s = String::from("hello,world");
    
    //return &s; //错误

    return s;
}

    let s1 = String::from("hello");
    let mut v = Vec::new();
    v.push(s1);

    //let s2: String = v[0];  //错误

    let ref s2: String = v[0];
    println!("{}",s2);

第二部分:rdiff

我们将实现diff命令行实用程序的简单版本以比较两个文件。

代码:

第三部分 rwc

代码: