4 小时前 / 黑夜探路人
序言近日拜读了了思睿嘉得CEO DJ的《真真假假的创新——RSAC2019之三》,写得非常好,也很佩服。我自从和小伙伴们开创默安科技以来,和业界的交流就少了很多,精力花在客户和产品上面了。但是读完DJ的文章之后,兴起了写点文字的想法。 DJ对威胁情报和欺骗防御两个方向提出了自己的观点: 威胁情报厂商无法独立存在达到规模盈利。未来发展有两条路可以走:一是全力投入做重产品,例如xDR;另一条是迈半步快速横移至其它领域,例如SIEM。 这一点我深表赞同。我认为当前威胁情报的使用者不应该是企业或者单位,而应该是安全公司。威胁情报需要......
22 小时前 / 黎跃春
愿码Slogan | 连接每个程序员的故事 网站|http://chaindesk.cn 愿码愿景|打造全学科IT系统免费课程,助力小白用户、初级工程师0成本免费系统学习、低成本进阶,帮助BAT一线资深工程师成长并利用自身优势创造睡后收入。 官方公众号 | 愿码 | 愿码服务号 | 区块链部落 免费加入愿码全思维工程师社群 | 任一公众号回复“愿码”两个字获取入群二维码 本文阅读时间:11min PostgreSQL中的身份验证身份验证回答了问题:谁是用户?PostgreSQL支持一些身份验证方法,包括以下内容: ·Trust认证:任何可以连接到服务器的人都有权使用访问pg_hba.......
2 天前 / 涯之叶
本文作者:Cherishao(信安之路合伙人 & 信安之路应急响应小组组长) 人才招募:信安之路应急响应小组寻找志同道合的朋友 一个接入互联网的网站,只要能和外部产生通信,就有被黑客攻击的可能;使用某种陷阱来引诱攻击者,就可以避免自身不被攻击,这种引诱黑客攻击的“陷阱”就是“蜜罐”。蜜罐是存在漏洞的、暴漏在互联网中的一个虚假的服务(器)其价值在于被扫描、攻击和攻陷。 蜜罐分类按类型我们可以将蜜罐分为:产品型(容易部署、实时报警),研究型(高交互、数据捕获);按交互可分为低中交互(模拟的TCP/IP协议栈、模拟的服务&漏洞......
3 天前 / 涯之叶
本文作者:98(信安之路作者团队成员 & 信安之路无线安全小组组长) 成员招募:信安之路无线安全小组寻找志同道合的朋友 打造属于自己的hacking工具,对于一名hacking来说是一件非常酷的事情。而今天我就教大家打造属于自己的hacking工具,今天教大家打造一款网络抓包神器hacknet他的原型是“ Throwing Star LAN Tap”他的功能非常的简单,通过两根网线分别sniffer一根网线的两个方向的流量,使用者无需使用两层或者三层交换机的端口镜像功能,是就能导出流量进行分析,而这个是物理的sniffer,软件端是无法察觉的。 原理介绍: ThrowingSta......
4 天前 / 噶牛爱尚
首发于阿里云中台前端/全栈团队专栏写文章为 Node.js 应用建立一个更安全的沙箱环境侯锋I'm coding90 人赞同了该文章有哪些动态执行脚本的场景?在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚本,FireFox 的「油猴脚本」,能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情,扩展了能力,满足用户的个性化需求。 大多数都是一些客户端程序,在一些在线的系统和产品中也常常也有类似的需求,事实上,在线的应用中也有不少提供了自定义脚本的能力,比如 Googl......
4 天前 / 涯之叶
原文:MachineLearningbasedPasswordStrengthClassification 地址:http://web.archive.org/web/20170606022743/http://fsecurify.com/machine-learning-based-password-strength-checking/ 近期,我想做一些机遇机器学习和网络安全的项目。这是另一个与信息安全和机器学习有关的项目。 各公司的密码强度检测都不近相同。但所有的这些检测都是基于规则的。一个密码在Google这边可能是强密码但在Dropbox就变成了弱密码。我在想我们能否让机器学习算法来决定一个密码是弱密码还是强密码。于是,这个帖子诞生了。让我们开始吧。 数据收集此......
7 天前 / 涯之叶
2019年3月28日,火眼发布了一个包含超过140个开源Windows渗透工具包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。 安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有KaliLinux可以用。但是碰上Windows环境就惨了,往往配置虚拟机环境就要好几个小时。一边要维护自定义的虚拟机环境,一边还要时常升级集成的工具套件,花费的时间成本颇高。最近火眼推出了一款面向红队的CommandoVM渗透测试套件,有需要的小伙伴可以看一看,免费又好用。 火眼旗下麦迪安......
9 天前 / 小姐姐味道
最近在实施App安全方面的方案,下面是一些思考。有些安全方面的产品需要购买,本文中的却要自己集成。需要开发的组件很多,所以依个人经验,简单做了下分层,不包括App端和主机环境。 数据处理通讯层http协议简单易懂、使用方便,我们大多数网络应用都是基于它开发的。数据展示,移动互联网已经占据了大量市场,对于App端开发,已经进入了混合协议的时代。这就是通讯层,数据传输的通道。 请求可能来自这些地方: 一、APP。 某些移动应用 二、Web端。 大多数网页请求或者H5 三、小程序。 被封装的各种调用(大多数要遵循平台开发方式)......
10 天前 / 十三少
软件的安全性日益重要。 远的不说,就在2018年8月,华住公司旗下的众多酒店包括汉庭、美爵、桔子、全季、海友等大家熟悉的连锁酒店的入住信息数据被泄露,泄露信息包括官网注册资料共53G,约1.23亿条,入住登记身份信息共22.3G,共1.3亿条,酒店开房记录,共66.2G,共2.4亿条。 互联网带来了很多便利,也带来了更多的安全风险。 安全,对于这类商业应用软件已经如此重要,那么,那些关键安全的软件呢? 虽然军用软件早已有了一些软件安全性设计的标准,可是这些标准对于软件安全性提高并没有发挥多大的作用。 有时候,一些事情的解决方案如果太......
13 天前 / xF0rk
孙子曰:“兵者,国之大事,死生之地,存亡之道,不可不察也。”尽管处于和平年代,网络世界却硝烟弥漫。请你回答以下360安全大脑提供的自测题,看看你能在这场“战争”中“幸存”吗? 以上问题,如果你有一个以上的回答是“是”的话,那么360安全大脑强烈建议你认真学习本文! 有一天,安妹儿做了一个可怕的梦…… 这是一起由FIN7组织发起的APT攻击。APT-C-11(Carbanak、FIN7)攻击组织是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击。 此次攻击中......
13 天前 / 涯之叶
一、概述 Java序列化对象(JSO)是一种允许Java服务之间进行数据交换的机制。但对于攻击者来说,JSO可以为他们提供一个可靠、稳定的载体,来使他们获得对运行Java应用程序的系统的远程控制。如今,有越来越多针对互联网上可访问服务的漏洞和已知攻击事件接连爆出。在本报告中,我们将探讨JSO如何受到不安全的反序列化漏洞的影响、互联网上JSO处理的应用程序的流行程度,以及测试人员如何使用Metasploit框架来验证涉及JSO的漏洞。 1. 与2017年相比,与JSO相关的CVE漏洞在2018年大幅增加。在两年中,总共确认了近100个漏洞,而2013年至2016年......
18 天前 / JS菌
更多前端技术和知识点,搜索订阅号 JS 菌 订阅 内容安全策略的主要作用就是尽量降低网站遭受 XSS 跨站脚本攻击的可能。浏览器没办法区分要执行的代码是否为页面本身的还是恶意注入的,XSS 就是利用这一点对网站进行攻击。 CSP 的全称是 Content-Security-Policy 在白名单策略中,可以使用他来指定浏览器仅渲染或执行来自白名单中的资源。即便是被恶意注入了脚本,因为脚本并不在白名单中,因此不会执行。 还可以使用 CSP 指定使用 HTTP 还是 HTTPS 从而避免数据包嗅探攻击 CSP 支持在 html 的 meta 标签中和 HTTP 头中使用 单个指令语法规......
20 天前 / xF0rk
本文作者:Yunen(信安之路新晋作者)CSRF,也称 XSRF,即跨站请求伪造攻击,与 XSS 相似,但与 XSS 相比更难防范,是一种广泛存在于网站中的安全漏洞,经常与 XSS 一起配合攻击。 CSRF 原理攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF 的执行过程,这里引用自 hyddd 大佬画的图: 我们知道,当我们使用 img 等标签时,通过设置标签的 src 等属性引入外部资源,是可以被浏览器认为是合法的跨域请求,也就是......
21 天前 / 比特币小白
| 导语本文介绍Android app代码(java + ndk)的反调试的方法和保护代码增加逆向难度的一些基本方法。 Android自问世以来得以迅速发展,各大手机厂商纷纷投入成本开发、设计开发自己的Android系统,从2016年开始,Android已经超越ios成为全球最有影响力的操作系统。针对于Android app的逆向方法和逆向工具很多,所以反调试对于Android的代码保护扮演着很重要的角色。本文从四个方面介绍一下Android反调试的一些方法。 ps:反调试并不能完全阻止逆向行为,只是在长期的攻防战中给破解人员不断的增加逆向难度。 Java:(1)Proguard借助Android st......