8 天前 / 开发者头条
以下内容节选自「码农周刊 VIP 会员专属邮件周报 Vol.076」,查看完整链接版请点击「阅读原文」。 微信公开课 Pro 这八年:张小龙的 7 场脱口秀、3 次产品嬗变和 16 道金句 https://mp.weixin.qq.com/s/cBlLUgWBxsOSk1akqu75eQ 张小龙人虽缺席,但这未必不是一件好事。 腾讯开源的,集众多分析工具的云原生、分布式、高性能的代码综合分析跟踪系统 https://github.com/Tencent/CodeAnalysis/blob/main/README_ZH.md 其主要功能是通过词法分析、语法分析、控制流、数据流分析等技术发现并跟踪管理敏捷迭代下的代码相关问题...
14 天前 / gyreg
更新背景为什么更新本篇?笔者定这个选题还是特别兴奋的。因为过去的 2021 年发生了众多重大安全事件。笔者这一年也成长的非常迅速,这一年也学习到了非常多的优秀的安全解决方案、攻击手法、安全架构方面的内容。所以笔者想借着三天假期时间,把笔者这一年自身成长的东西也分享给安全圈,能够让更多人看到笔者为之兴奋的东西,让大家一起兴奋、一起落地、一起成长。 笔者彼此更新的内容,都是通过自身的工作经历 + 工作上兴趣爱好收集的相关的内容,其中有自己落地中的一些心得体会、也有一些根据工作内容扩展出来的一些内容...
15 天前 / u561252
作者:Frederico Araujo 和 Teryl Taylor,IBM 研究院 各位 Falcoer,你好!本博客向你介绍了一种名为 SysFlow[1]的新的开放系统遥测格式和项目。该项目与事实上的 CNCF 云原生运行时安全项目 Falco[2]有很深的联系。 Falco 在检测意外的应用程序行为和在运行时发出威胁警报方面是优秀的。此外,它的组件和架构对创造性的使用开放。 例如,SysFlow 将 Falco 丰富的可观察性库嵌入到其云原生安全遥测堆栈和 Falco 的规则语言,以实现数据抽象、行为分析和降噪。
36 天前 / CODING_DevOps
导语 12 月 9 日晚间,Apache Log4j 2 发现了远程代码执行漏洞,恶意使用者可以通过该漏洞在目标服务器上执行任意代码,危害极大。 腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时可禁止下载含有该安全漏洞的制品,最大限度的减少漏洞蔓延。 Apache Log4j 2 漏洞详情 Apache Log4j 2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了丰富的特性,作为日志记录基础第三方库,被大量 Java 框架及应用使用。
43 天前 / gyreg
安全运营是工作的一部分 安全工作的逻辑 安全团队是怎么运作的 定义安全运营项目 项目运营的要点 计划的计划 风险的风险 运营方案尽量要评审 过程的过程 做到有法可依 沟通和组织 进度的监控 明确闭环标准 项目集的管理 怎么去开会 准备的准备 会前会中会后 复盘的复盘 PPT 和 WORD 帮助别人开会 遇到困难怎么办 写在最后 参考资料 本文信息量巨大,阅读大约需要二十分钟左右,建议加关注收藏后阅读。
52 天前 / gyreg
域控渗透最常见的域持久性技术之一是黄金票据攻击,它涉及使用“ krbtgt ”的 NTLM 哈希创建 kerberos 票证。但是在部署了 Active Directory 认证服务 (AD CS) 的服务器的域中,可能会在发生入侵时被滥用以实现域持久性。通过窃取 CA 证书的私钥,红队可以伪造和签署证书以用于身份验证。在部署 Active Directory 证书服务 (AD CS) 期间,域中默认启用基于证书的身份验证。因此,需要将这些系统视为第 0 层资产并得到适当保护。
56 天前 / gyreg
''' 在此之前写了不少企业安全建设实践方面的文章,那建设的效果怎么样呢?唯有在日常的工作场景中应用,通过实战的检验,才能做出判断。本文将通过介绍供应链投毒的应急响应流程,引入 coa 投毒的应急响应实例,并提取出常规企业安全建设所需的安全能力。''' 1企业安全视角下的威胁情报这里的威胁情报是从企业安全建设角度出发,主要包括漏洞预警、安全事件和供应链投毒。漏洞预警:指软件、组件的 0day 及 Nday 的漏洞信息,通常关注名称、受影响版本、风险等级、修复方法、POC 或 EXP。
63 天前 / gyreg
写在前边本文的由来主要是最近一年来对内部 API 风险治理过程中的总结。因为 API 的种类繁多,并没有写的很详细,但是在其中表达了很多 API 治理的思路和经验总结。在 WAF、黑白盒扫描器、RASP 越来越成熟的今天,API 导致的逻辑类风险将是应用安全面临的最大难题,希望本文可以给予同行者们一些帮助。 一、什么是 API 应用编程接口(API)由一组用于集成应用软件和服务的工具、定义和协议组合而成https://www.redhat.com/zh/topics/api。设计方式主要遵循 SOAP 协议或者 REST 架构。
64 天前 / gyreg
↑ 点击上方“安全狗”关注我们 #案例概要 某公司是一家互联网家具智能制造企业,通过云计算、大数据和 AI 人工智能等多项核心技术,以 3D 家居云设计系统、3D 家居云制造系统、数控系统为核心,开发贯穿家居设计、营销、生产、管理全流程的软件系统,链接行业数字化生态全链路,为大家居产业提供前后端一体化解决方案。 随着公司不断扩张,考虑到容器高效稳定、快速响应的特点,已将 80% 的业务系统部署在阿里云上,以容器来承载业务。
67 天前 / 姬野
前言 作为一名前·职业赏金猎人,还是希望写下一些东西来证明自己曾也是一个为自由梦想努力过的人。 注:本文为随笔杂谈,仅代表个人立场,不具有任何指导作用。 介绍可能很多人不知道赏金猎人是干啥的,说白了就是做赏金任务的,也就是大家所熟知的给 SRC 提交漏洞、参与众测项目、私人邀请项目。..也就是大家口中说的白帽子,不过大部分人还是愿意称自己为赏金猎人的,重点是赏金,但也不是。 大多数情况来说,赏金猎人都是一边上班一边做任务赚钱,但是很多人包括我,曾经或现在正以赏金猎人作为一个职业去对待。
67 天前 / 携程技术
作者简介 老松树,携程高级开发经理,专注于移动应用的信息安全。 随着移动互联网产业的高速发展,智能手机的全面普及,移动 App 已经无处不在。据统计,我国智能手机用户达到 12 亿,手机 App 总量达到 400 万款。手机 APP 在方便人们生活之余,也带来了巨大的安全隐患。 App 主要面临的风险: 1)静态攻击风险 APP 通常很容易被反编译逆向分析源码,出现被破解、篡改、广告植入、二次打包、仿冒 / 钓鱼应用等风险。
82 天前 / leveryd
背景很久之前做过 webshell 检测方案调研 [1],webshell 可以在流量安全产品(比如 waf、nids)和主机安全产品(hids)检测。 在流量安全产品常见的检测场景包括: 文件上传接口,比如检查上传的文件名、文件内容 webshell 访问,比如检查常见的 webshell 管理工具在主机安全产品常见的检测场景包括: 文本内容,比如检查所有 php 文件是否 webshell 内存马根据网络上公开资料总结,"文本内容"检测手段包括: webshell 检测技术举例动态分析 - 沙箱百度 webdir[2]静态分析 - 正则 静态分析 - 统计学角度 静态分析 -AST 机器学习 / 深度学习 RASP 百度 Open...
83 天前 / xF0rk
“这是一篇个人工作经历的感悟,将会叙述:在一家国内网络安全公司的网络安全部工作见闻与感受。总体来说比较符合预期,且富有挑战与意义,以至于在文末为部门发招聘信息,诚邀新成员的加入。” 01 — 北漂两年来的切身感悟 19 年的秋天,开始北漂之旅,来到了奇安信网络安全部。见证了团队和职责的不断壮大,内部安全建设的快速发展。团队从最初的 5-6 人到现在的 20+,部门规模从 20+ 发展到 60+,从全国三个办公点到现在的五个点…与此同时,除了常规工作外,也承担着越来越多艰巨的专项任务...
83 天前 / HelloGitHub
作者:HelloGitHub- 小鱼干 虽然让代码难以阅读看似是件难以理解的事情,但是混淆后的代码起到了类似加密的作用,而且经过混淆的代码依旧能实现原代码的功能。javascript-obfuscator 是一个 JS 编写的代码混淆工具,能让你的代码在生产环境上更加安全。保证生产环境安全的,还有 Datree,是一个让你拟定配置执行策略,保证错误 K8s 配置不会进入生产环境的项目。 当然本周的项目除了有安全,还有便捷。SmsForwarder 就是一个非常便捷的项目让你不需要多个设备找寻验证码,配置好你的转发规则即可转发验证短信到别的手机或者软件上。
90 天前 / xF0rk
文|宙斯盾 DDoS 防护团队 Rocky 导语 美国时间 10 月 4 日中午,Facebook 公司网络出现重大故障,故障持续了 6 个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。 (复杂点就是:在例行网络维护中,发送的一条命令无意中关闭了其全球骨干网的所有 BGP 连接,在其 DNS 服务器与内部网络不通后触发了内部机制,自动禁止 DNS 服务所在网段的 BGP 路由播布,而这又导致故障范围进一步加剧,并对故障恢复带来极大困难)。