4 天前 / gyreg
HummerRisk 是一个开源的云安全治理平台,以非侵入的方式对云原生环境进行全面安全检测,核心解决三个方面的问题,底层的混合云安全合规,中层的 K8s 容器云安全和上层的软件安全。 特性混合云安全治理混合云安全合规检测:对主流的公 ( 私)有云资源进行安全合规检测,例如等保 2.0 预检、CIS 合规检查、各种基线检测,同时可自定义检测规则;漏洞检测:基于漏洞规则库,通过扫描等手段对指定的网络设备及应用服务的安全脆弱性进行检测;合规报告:一键获取合规报告,全面掌控安全态势。
5 天前 / gyreg
网络安全的范畴很大,相较于二进制安全等方向的高门槛、高要求,Web 安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要 Web 安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展方向。 如果你也对 Web 安全感兴趣,又想深入了解这方面内容,不妨收藏一下这份 Web 安全学习笔记,共 327 页 11 个章节,文章详细介绍了计算机网络协议、信息收集、常见漏洞、内网渗透、御用技术等等,全文全面成体系,通俗易懂,涵盖了零基础学员从入门到进阶需要掌握的核心知识点,实操性极强,感兴趣的朋友可以看一下。
7 天前 / gyreg
前 言对抗攻击从 2013 年被 Szegedy 等人提出之后,截止目前,已经被研究的很深入了,相关文章也呈爆炸增长 上图是发在 arxiv 上的有关对抗攻击的文章数量,该领域的火爆程度可见一斑。 现在如果这个时候要进入对抗攻击领域,可能需要往三条路去探索:1.寻找新的应用场景;2.设计的新的算法;3.研究如何规避已有防御方案。 为了方便第三条研究路线的探索,本文归纳分析已有防御方案特点。 对 抗 攻 击什么是对抗样本?对抗样本 (adversarial example)是指在原数据集中通过人工添加肉眼不可见或在经处理不影响整体的肉眼可见的细微扰动所形成的样本...
8 天前 / gyreg
安全分析与研究 专注于全球恶意软件的分析与研究 前言 近日,某黑客攻击了 Uber,该黑客入侵了 Uber 之后发布了 Uber 的 AWS 控制台、HackerOne 管理面板、Slacke 服务器等截图信息,这些信息显示 Uber 可能受到了非常严重的黑客攻击行动,如下所示: Uber 也发表了相关的声明,正在应对网络安全事件,并与执法部门保持联系,会在需要的时候发布更多的相关更新信息,如下所示: 据相关资料显示,此次攻击的黑客自称他们拥有对亚马逊网络服务和谷歌云平台等公司工具的管理员访问权限,该名黑客声称自己只有 18 岁,入侵 Uber 是为了好玩...
10 天前 / 莫若
大家好,我是不才陈某~ Spring 的 bean 默认都是单例的,某些情况下,单例是并发不安全的,以 Controller 举例,问题根源在于,我们可能会在 Controller 中定义成员变量,如此一来,多个请求来临,进入的都是同一个单例的 Controller 对象,并对此成员变量的值进行修改操作,因此会互相影响,无法达到并发安全(不同于线程隔离的概念,后面会解释到)的效果。 1、抛出问题首先来举个例子,证明单例的并发不安全性: @Controller publicclassHomeController{ privateinti; @GetMapping("testsingleton1") @ResponseBody publicinttest1(){ return++i; } } 多...
11 天前 / gyreg
概要 1989 年蜜罐概念首次被提出,后又发展成蜜网技术。蜜网相比于传统入侵检测,属于主动防御手段。它能一定程度上混淆攻击目标,延缓攻击者的入侵节奏,记录和分析攻击行为为溯源工作提供基础支持。蜜网最初只是被专业安全公司部署在互联网上捕获蠕虫病毒和未知 0day 用于网络威胁研究。随着近年来安全行业的发展和攻防对抗演练的普及,蜜网也逐渐被应用于企业内网的威胁感知和攻击溯源。本文将结合实际项目经验,简要介绍甲方蜜网构建和攻击溯源思路。
13 天前 / gyreg
笔者的公司是一家曾从单一家电制造业已成功转型科技创新驱动的平台型公司,业务范畴涵盖消费电子(彩电、白电、手机)、半导体科技、环保科技产业、PCB 产业、产业园区业务、平台服务业务及投资金融业务,在跨越式发展战略的引领下,已进入了全新的战略发展期。 作为一个综合性平台型的公司,分支机构、事业部众多且业务非常复杂,公司信息化也经历了几十年的发展,尤其是近年来信息化对业务的支持越来越明显。 2021 年我国进入十四五规划开局之年,数字化转型成为了公司新命题,如何利用数字化赋能企业发展、构建智慧企业已经是当下必须要满足的需求。
13 天前 / Scenic
本文译自 Istio 官方博客,原文 https://istio.io/latest/blog/2022/ambient-security/,译者 Jimmy Song。 我们最近发布了 Istio Ambient Mesh(译者注:笔者更倾向于将其称为 Ambient Mode,即外围模式,但译文中仍然保留了 Ambient Mesh 的叫法),它是 Istio 的无 sidecar 数据平面。如公告博客中所述[1],我们使用 Ambient Mesh 解决的首要问题是简化操作、更广泛的应用程序兼容性、降低基础设施成本和提高性能。在设计 ambient 数据平面时,我们希望在不牺牲安全性或功能的情况下仔细平衡运维、成本和性能方面的问题。
14 天前 / gyreg
收集、归纳、分享我认为这是知识学习的"三板斧" 收集,很好理解,比如收集各种学习的资源,看过的论文、文章,和各种工具 归纳,或者说是总结与分类,将自己学习过程中的心得体会记载下来,写成各种笔记,文章,将收集的资源整理归类 分享,在博客上传一篇文章也好,在 qq 群帮助群友解决一个问题也好,都是分享 没有收集和归纳的能力,整个学习的过程就像是在用一个菜篮子接水,留不住的,同样,如果不愿意分享,就像是在闭门造车,无法接触到不同的观点,没人指正你的问题,久而久之有可能想法变得偏执...
18 天前 / 路强
导语|因为现在服务上云的趋势,业务代码都纷纷转向 golang 的技术栈。在迁移或使用的过程中,由于对 golang 特性的生疏经常会遇到一些问题,本文总结了 golang 并发安全和参数引用传值时的一些知识。 一、Map 类型并发读写引发 FatalError 先看一个在 Go 中关于 Map 类型并发读写的经典例子: var testMap = map[string]string{}func main() { go func() { for{ _ = testMap["bar"] } }() go func() { for { testMap["bar"] = "foo" } }() select{}} 以上例子会引发一个 Fatal error: fatal error: conc...
22 天前 / gyreg
一、前言 在 2017 年 Gartner 定义了 BAS 入侵和攻击模拟这个类别。在 Gartner 的定义中,BAS(Breach and Attack Simulation)是通过不断模拟针对不同资产的攻击,验证安全防护的有效性。 目前,经过几年的发展,国外 BAS 技术已经相对成熟,在 2021 年 Gartner 发布的安全运营技术成熟度曲线中,BAS 仍处于高市场预期的热门赛道。近两年,国内 BAS 厂商也不断涌现,随着技术的不断成熟,BAS 未来或将成为主流的安全风险检测技术。
25 天前 / gyreg
云原生化成为企业数字化转型的高效方式,各大行业开始加速云原生化步伐。我们今天通过金融和制造业行业的两大实战案例,来看企业如何做好云原生全生命周期的安全,保护系统安全,降低安全风险。 由于云原生环境的复杂性,青藤基于在云原生安全、容器安全领域的研究,发布了《云原生环境下,如何打造一站式容器安全》,感兴趣的读者可以扫码下载电子版方案。 扫码获取完整版 《云原生环境下,如何打造一站式容器安全》 该报告主要包括镜像漏洞和合规性问题、保护镜像仓库的安全、容器运行时保护、编排问题、保护主机操作系统等容器安全挑战...
26 天前 / gyreg
这个号叫安全防御,也应该分享一点个人在安全防御方面的一些心得。作为在攻防对抗的防守方,个人觉得有点类似对一个城池进行防守一样。而防守的目的,便是识别异常的能力。当然,这种能力不是与生俱来的,需要经过大量的事前准备,知识储备,应急演练等等才可以形成。在我之前的书中,以知己,知彼的角度写了一些心得,这次笔者再从平台(知己),技术(知彼),以及运营这几个纬度进行。 一 平台层面(知己): 工欲善其事,必先利其器。
34 天前 / 小道安全
理论基础 API 它的全称是 Application Programming Interface,也叫做应用程序接口,它定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展,API 从早期的软件内部调用的接口,扩展到互联网上对外提供服务的接口。调用者通过调用 API,可以获取接口提供的各项服务,而无须访问源码,也无须理解内部工作机制的细节。 API 它是预先定义的函数,为程序之间的数据交互和功能触发提供服务。调用者只需调用 API,并输入预先约定的参数,即可实现开发者封装好的各种功能,无需访问功能源码或理解功能的具体实现机制。
35 天前 / gyreg
常用思考方法 技术常用思考方法 技术思考本质还是结构化思考,所以常见的结构化思考方法也是适用的。这也是大家会看到很多技术架构师都会用一些方法论去分析问题的原因。但这里我不是重新去论述这些常见的技巧,而是分享从技术实战中得到的一些思考方法,为此我分为了技术架构设计的方法和技术 Leader 的思考方法两类。 技术架构思考方法 0--->1 这个思考方法的含义是: 当我们在一堆迷茫和混乱中不知道如何下口时,应该先贴近问题本身,还原客观事实,并快速形成 1 个能够拉起认知并快速讨论迭代优化的版本。