程序聚合 软件案例 网络安全-测试

网络安全-测试

2026-03-24 17:50:53
行业:人工智能、游戏/电竞
载体:小程序、框架或代码包
技术:C#、JavaScript、Python、Kali Linux

业务和功能介绍

1. 立项背景和目标
在数字化办公与代码协作场景中,GitLab作为主流的代码托管平台,常面临源码泄露、未授权访问、敏感数据明文存储等安全风险,同时本地代码也存在被窃取、篡改的隐患。本项目针对这一痛点,立项目标为:实现一套集代码仓库安全审计、敏感数据加密保护于一体的安全工具,一方面通过自动化扫描发现GitLab平台的配置漏洞与源码泄露风险,另一方面通过AES对称加密算法对本地敏感代码/数据进行加密保护,双重保障代码资产安全,满足开发人员与企业的代码安全防护需求。
2. 软件功能、核心功能模块的介绍
本项目包含两大核心功能模块,覆盖代码平台安全审计与本地数据加密全流程:
GitLab安全审计模块:基于Dirsearch等目录扫描工具,对目标GitLab站点进行自动化目录遍历与路径探测,识别/admin、/.well-known、/api等敏感路径,排查未授权访问、配置泄露、源码泄露等安全风险;同时集成数据库审计能力,对GitLab后台数据库(如sqlgunnews库)的admin表进行密码哈希获取与弱口令检测,实现账号安全审计。
AES敏感数据加密模块:基于Python实现AES对称加密算法,支持对本地代码、配置文件、敏感业务数据进行加密/解密操作,采用CBC模式+随机IV向量保障加密安全性,同时集成日志记录功能,全程记录加密/解密的耗时、数据长度等关键信息,方便审计与追溯,防止敏感数据明文泄露。
3. 业务流程、功能路径描述
GitLab安全审计流程:
输入目标GitLab站点地址(如http://gitlab.example.com:9999/),启动目录扫描任务;
工具自动遍历站点路径,识别可访问的敏感目录与文件,返回状态码、文件大小等审计结果;
针对可访问的后台路径,进一步探测数据库接口,获取admin用户的密码哈希;
对获取的哈希进行弱口令检测,输出审计报告,标注风险等级与修复建议。
AES加密/解密流程:
加密流程:输入明文敏感数据与16位密钥→工具自动生成随机IV向量→采用AES-CBC模式加密→拼接IV与密文并转为十六进制字符串→输出加密结果,同时记录加密日志;
解密流程:输入十六进制密文与密钥→工具拆分IV与密文→采用AES-CBC模式解密→去除填充并转为明文→输出解密结果,同时记录解密耗时与日志

项目实现

1.整体架构和设计思路,不同模块使用的技术栈
整体架构
项目采用模块化分层设计,分为「外部安全审计层」与「本地数据安全层」两大独立模块,解耦开发、便于维护,同时支持后续功能扩展:
外部安全审计层:面向远程GitLab平台,实现被动式安全检测;
本地数据安全层:面向本地代码/数据,实现主动式加密保护。

2. “我”的负责模块和结果(尽可能量化)
本人独立负责AES敏感数据加密模块的全流程开发,同时参与GitLab安全审计模块的结果验证与优化:
1.完成AES加密/解密核心功能开发:实现了支持16位密钥、随机IV向量、PKCS7填充的AES-CBC加密算法,加密/解密成功率100%,支持任意长度明文数据的加密;
2.完成日志系统开发:实现了加密/解密全流程日志记录,包含数据长度、耗时、异常信息等,日志输出准确率100%;
3.完成功能测试:对10组不同长度的敏感数据(10字符-1000字符)进行加密/解密测试,解密后明文与原始数据完全一致,无篡改、无丢失;
4.
参与GitLab审计模块验证:对目标GitLab站点完成1200+路径的扫描,成功识别/admin、/api等15个敏感路径,获取admin用户密码哈希1组,完成弱口令检测,验证了审计功能的有效性。
3. “我”遇到的难点、坑,和解决方案
难点1:AES加密的填充与IV向量处理
问题:AES-CBC模式要求明文长度为16字节的整数倍,直接加密非整数倍长度的明文会报错;同时IV向量需要与密文绑定,否则无法正确解密。
解决方案:采用PKCS7填充方案,对明文进行补位处理,解密时自动去除填充;在加密时生成16位随机IV向量,将IV与密文拼接后再转为十六进制字符串,解密时自动拆分IV与密文,解决了长度不匹配与解密失败的问题。
难点2:GitLab目录扫描的误报与漏报
问题:直接使用默认字典扫描时,出现大量404误报,同时遗漏了GitLab特有的/.well-known、/projects等敏感路径。
解决方案:针对GitLab的目录结构定制专属字典,补充GitLab默认路径;增加状态码过滤逻辑,仅保留200/302等有效状态码,同时对扫描结果进行人工核验,将漏报率从从15%降至0%,误报率从30%降至5%以内。
难点3:加密/解密的性能优化
问题:对大体积数据(10000+字符)加密时,耗时较长,影响使用体验。
解决方案:优化加密流程,减少不必要的IO操作,采用内存流式处理;同时增加耗时统计日志,针对耗时过高的场景优化算法,最终将10000字符数据的加密耗时从200ms优化至50ms以内,提升了工具性能。

示例图片视频


Борцы
30天前活跃
方向: 人工智能-机器学习与深度学习、游戏开发-游戏开发其他、
交付率:100.00%
相似推荐
南网在线智能问答机器人-问答机器人
1.2.项目目标 构建一个集智能体全生命周期管理、场景灵活配置、知识集中管理、数据一体化运营与分析于一体的智能体运营管理平台,实现运营工作的敏捷化、智能化、精细化和安全可控,显著提升用户体验和公司运营效率。 具体可量化目标: 1.运营效率提升:赋能运营人员自主完成超过90%的日常配置工作,将智能体场景迭代周期从传统的2周缩短至3天以内。 2.知识管理效率:实现知识库更新的即时生效,确保知识的一致性和准确性。 3.数据分析效能:运营数据统计分析效率提升70%,支持数据驱动的决策优化。 4.安全与合规:严格遵循网络安全等级保护二级标准,通过数据传输加密、访问控制及安全审计等防护体系,全方位保障用户数据安全与系统稳定运行。 1.3.项目范围与边界 1.业务范围:本项目涉及营销域,主要聚焦南网在线智能体的运营管理环节,涵盖电费查询、业扩报装等核心场景的配置与流程修改优化,不涉及前端APP集成开发、中台接口改造及大模型训练等环节。
综合能源管理系统
【介绍】 EMS 作为微电网的“智慧大脑”,是一套集高度智能化、卓越安全性、强大扩展性与优异性能于一体的自主可控型能碳监控与优化分析系统,不仅实现了对能源的全方位精细化监控和耗能设备异常状态的科学预警,更通过深度融合微电网内的能源流、信息流与碳流,有力推动了节能降碳目标的落地,积极响应国家双碳战略部署。在技术架构上,开创性地融合AI与云边端一体化设计,全面依托国产化软硬件平台,能够精准协同市电与光伏、风电、储能等新能源的互补共融,无缝对接单站独立运行、云端集中监管及多站协同控制等多种模式,并基于Paddle-TS 实现负荷趋势预测,从而显著提升能源经济性,助力企业降本增效、引领绿色转型。目前,该产品已成功加入百度AI 生态产品体系和华为生态产品体系,进一步彰显其行业认可度与生态兼容优势。 【主要功能】 1、Dashboard 2、能源分析 3、EHS环境监测 4、分布式光伏 5、分布式储能 6、碳资产 7、电力运维 8、设备管理 9、视频管理 10、AI负荷预测与AI能源智能调节
E充网 充电APP
面向 C 端新能源车主的充电桩服务平台,接入社会公用充电桩,支持远程启停、附近空闲桩查找、路线规划、停车场开门等场景,覆盖北京、昆明、西安等多个城市。各地业务政策、运营商、费率差异较大,采用"一地一套"独立部署模式:各地自有 App 包、后台服务、数据库及服务器,完全隔离。 核心功能: LBS 找桩导航:基于定位展示周边空闲充电桩,集成地图 SDK 做路线规划 远程启停充电:扫码 / 远程调用运营商接口启动、停止充电,实时拉取充电进度与费用 停车场联动:对接场站道闸,App 内一键开门,充电 + 停车闭环 订单与支付:计费规则(电费 + 服务费)本地化配置,订单落地 MySQL,Redis 缓存热点桩状态
新能源充电设施管理系统
负责新能源设施的系统管理模块开发,实现设施信息的统一录入与状态监控; 参与政府补贴申请审核流程的系统搭建,优化审核逻辑与数据校验机制; 协助完成新能源设施审核相关功能的开发与测试,确保流程合规性与高效性; 对接企业信息数据接口,实现用户信息与系统数据的同步与管理; 承担系统日常数据维护与分析工作,提升数据准确性与系统运行效率; 完成与第三方系统的接口对接,保障数据交互的稳定性与安全性。
**省碳排放页面
通过本项目实施,一是实现90%以上省调主力火电机组参数实时接入与监测,填补火电碳排放在线监测分析的功能空白;二是构建覆盖调峰能力评估、发电出力受阻分析、电热协同控制的全链条技术支撑体系,提升电网调节灵活性;三是实现技术监督在线化、智能化管理,将报表处理效率从天级缩短至小时级;四是建立全省火电机组碳排放精准核算体系,为省级电力碳足迹因子分时分区测算提供可靠支撑。
帮助文档   Copyright @ 2021-2024 程聚宝 | 浙ICP备2021014372号
人工客服