Tencent_SRC的博客

  • 博客(52)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 TSRC暑期专项众测启动,4倍奖励,多倍快乐!

暑期已至,TSRC发起暑期专项众测,并准备丰厚奖励。三重福利、四倍奖励。这个暑假,让我们一起全面出击,守护安全!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间一期时间:即日起~2024/9/218:00二期时间:敬请期待‍‍活...

2024-07-19 11:03:09 352

原创 【活动】TSRC反爬虫专项正式启动!

活动时间即日起~2024年7月5日 18:00测试范围:微信公众号、腾讯新闻等测试域名:mp.weixin.qq.com微信公众号相关接口1.微信公众号文章列表2.历史文章3.文章详细内容注:详情报名后公布。反爬虫专项将不定期上线新业务,敬请关注后续公告。标准及奖励外部爬虫有效标准:攻击手法:纯协议脚本、模拟器或真机等有效爬取数量:按照业务规则去重后的公众号文章数量同类型工具(协议挂...

2024-06-21 19:27:59 1404

原创 腾讯元宝专项众测启动,多重奖励等你来拿!

工作生活超强辅助,解锁你的全能搭子!腾讯元宝APP已于5.30上线啦!腾讯元宝,基于混元大模型的AI助手,期望通过AI能力帮助用户在办公、学习、创作、生活等领域提供效率和生活辅助,现已正式上线应用商店,欢迎大家下载体验。点击链接或扫码下载????下载链接:https://hunyuan.tencent.com/为了保障腾讯元宝的安全,针对混元资产下的相关漏洞及情报,TSRC特别发起专项征集活动,诚邀大家...

2024-06-03 10:29:04 712

原创 端午专项众测开冲,4倍奖励等你来拿!

端午节快到啦,TSRC发起专项众测活动,给你4倍奖励、多倍快乐!福利一:提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二:为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励。福利三:特定严重漏洞,月度即时现金奖励最高可达3~6万元。活动时间2024.5.22 10:00~2024/5/3118:00活动范围本次众测仅针对特定范围业务,具体范围如下:针对财...

2024-05-22 17:26:18 431

原创 Llama-Code Shield解读:大模型代码安全护盾解析

引言大模型目前被广泛用于生成代码数据,能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞,也成了悬在头顶的达摩克利斯之剑。最近,Llama-3的问世,不仅带来了新的代码生成能力,更配备了Code Shield这一安全检测利器,为LLM生成的代码筑起了一道坚固的防线。腾讯朱雀实验室基于Llama-3开源的Code Shield项目,进行了相关的技术分析和实验测试。总体而言,Code Shiel...

2024-05-16 14:00:35 767

原创 警惕Hugging Face开源组件风险被利用于大模型供应链攻击

文|腾讯朱雀实验室Alien、Nicky导语近日,腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性,可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时,会导致PC/服务器被入侵,同时在大模型预训练、微调等场景中,最终还可能导致大模型参数被窃取或篡改。朱雀在此建议大家及时排查,同时也将持续进行大模型基础设施安全研究,分...

2023-11-03 14:27:15 186

原创 协同共建|深入分析应用密钥安全治理之术

文|应用漏洞扫描Oteam、PCG安全团队MartinzhouI. 背景当前,各类开放平台、依托云原生技术模式的PaaS/SaaS服务涌现,密钥(Credentials / Secrets)成了跨服务、跨平台调用认证的关键一环。短短几十个字符,背后往往通向上万台CVM或者整个业务数据。好似露出洋面的一角冰山,稍往下深挖,底下可能就是牵动企业安全命脉的“金山银山”。当前,针对个人用户登录密码的保护技...

2022-11-11 17:49:19 796

原创 安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击

腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...

2021-11-05 15:24:05 1540

原创 云原生安全攻防|使用eBPF逃逸容器技术分析与实践

作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...

2021-11-03 15:54:39 2372

原创 Ghostscript沙箱绕过(CVE-2021-3781)分析

文|腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被诸多著名应用(如ImageMagick)所使用。9月5日,海外安全研...

2021-10-29 17:30:56 1403

原创 关于BGP安全那些事儿

文|宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午,Facebook公司网络出现重大故障,故障持续了6个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。(...

2021-10-19 18:34:14 3885

原创 紧急任务|鹅厂绝密档案失窃,请立即追回!

2050年,高度发达的赛博世界没有给世界带来安宁,无数狂热的黑客组织通过招募的各国特工,潜入目标内部,兴风作浪,试图控制际遇现代网络系统运行的整个系统。然而冥冥之中暗含着转机,在神秘人的牵...

2021-10-18 15:14:01 424

原创 Web应用组件自动化发现的探索

文|宙斯盾流量安全分析团队彦修引子提到Web指纹识别,大家并不陌生,相关的项目汗牛充栋,比如知名的Wappalyzer、WhatWeb等。而在运营上,各企业也都大同小异,利用提前构建好指纹...

2021-09-17 17:19:53 334

原创 云原生|容器和应用安全运营实践思考

文| 腾讯“洋葱”入侵对抗团队bghost前言随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s...

2021-09-07 18:03:54 1876

原创 腾讯蓝军安全通告:XStream修复14个安全漏洞

文|腾讯蓝军1. 漏洞概述近日XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞由TSRC向XStream官方报告,通过这些漏洞,攻击者构造特定的XML数据,可...

2021-08-23 09:00:00 1051

原创 自动化数据分析下的威胁发现

文|宙斯盾流量安全分析团队彦修不记得多早之前,大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章(原文链接),或许有读者会问,这么精确的时间我为什...

2021-08-16 18:19:01 389

原创 可信安全网络 —— 安全左移之DDoS对抗

文|宙斯盾DDoS防护团队RainsDDoS的开始互联网对人类文明的进步影响,不亚于蒸汽机发明对人类文明的影响。当人们享受着网络技术进步给生活带来的便利时,也经历了由于底层协议在设计之初对...

2021-07-28 18:15:36 666

原创 攻防启示:Chromium组件风险剖析与收敛

文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...

2021-07-15 10:03:06 811

原创 再谈xSRC开源暨如何建设自己的漏洞收集平台

文|芝泉昨日,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》(以下简称“规定”),对网络产品的安全漏洞收集、发布、处置、修补、报送等行为进行了规范,一下子...

2021-07-14 14:00:00 1371

原创 腾讯 SOAR 的安全运营探索

文|腾讯“洋葱”入侵对抗团队Conan、Uny背景作为一名安全应急人员,每天要处理安全系统的大量告警,据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警,而大部分是无效告警,其中...

2021-07-09 16:31:36 1564

原创 腾讯自研HIDS「洋葱」后台上云架构演进实践

腾讯洋葱EDR团队Online、Jaylam导语“洋葱”系统是腾讯自研的主机入侵检测系统(HIDS),能够实时采集服务器上的各种行为并进行实时关联分析和落地存储,承载公司所有的服务器、虚...

2021-06-17 17:59:38 545 1

原创 匿名信使:木马隐蔽通信浅谈

文|lake2前言这是前文《网络层绕过IDS/IPS的一些探索》[1]的延续,当时就想可以用四层以下的协议实现木马通信绕过各类IDS/IPS的检测,一直没有找到时间测试,正好这次攻防演练值...

2021-06-09 18:00:00 561

原创 来自Readme的威胁|疑似长达数年的供应链攻击分析

文|腾讯蓝军KINGX、Jumbo背景近日腾讯蓝军与腾讯洋葱入侵对抗团队在跟进分析威胁情报时发现了一起利用知名工具进行软件源投毒的供应链攻击案例。wrk 是一款业内知名的HTTP服务压测开...

2021-05-31 18:00:00 369

原创 安全左移理念,腾讯DevSecOps如何实践?

文|腾讯研发安全团队Martinzhou、Spine引子随着DevOps模式的落地,快字当头。研效提速也意味着出现安全漏洞的数量和概率随之上涨。过去安全风险的管控主要依赖于DAST类技术,...

2021-05-27 18:00:00 1758

原创 腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)

前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...

2021-05-17 09:05:01 5675 2

原创 企业短信轰炸的风险评估及防治方法

2016年,一名武汉男子由于长期遭受短信轰炸,精神崩溃,患上抑郁症。5年过去了,类似的事件依然存在,黑产向用户实施短信轰炸的恶意行为,已对用户造成了极大的困扰。不仅是用户,企业也深受其害,...

2021-05-12 16:28:48 400

原创 云基础设施之硬件安全威胁

文|Tencent Blade Teamcoolboy导语本文内容为XDef 2021的议题《云基础设施之硬件安全威胁》,特将PPT转为文字,以飨读者。一、云服务发展趋势我国云服务市场总体...

2021-05-11 18:01:22 760 1

原创 FIN8 APT组织新动作:一起 “精心布置” 的定向窃密活动

文|腾讯洋葱反入侵系统vspiders、七夜、柯南概述4月11日,腾讯洋葱反入侵团队监测到一起PyPI软件供应链攻击事件,经过追溯疑似是由境外APT组织FIN8首次使用该手法进行的针对性攻...

2021-04-30 15:52:40 709 4

原创 游戏业务DDoS攻防对抗案例分享

文|宙斯盾DDoS防护团队暴雪背景事实证明,每年春节假期,不甘寂寞、蠢蠢欲动的除了熊孩子,往往还有以DDoS为主业的黑客,而愉快的春节假期也随之成为DDoS攻击的高峰期。宙斯盾DDoS防护...

2021-04-07 18:39:05 933

原创 Canvas CPU漏洞武器化工具大揭秘

文|Tencent Blade Teamcoolboy背景外部有报道称出现了CPU漏洞spectre的在野利用,各项证据均指向为Immunity Canvas商业渗透框架里面的spectr...

2021-03-15 18:23:07 583 1

原创 【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证

文|腾讯洋葱反入侵系统七夜、xnianq、柯南近日,腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包,并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官...

2021-02-24 19:14:21 594

原创 物联网开源组件安全:Node-RED白盒审计

文|腾讯研发安全团队Spine、martinzhou背景Node-RED是IBM开源的低代码物联网编排工具,在物联网领域有广泛应用,包括研华WISE PaaS、西门子Iot2000、美国g...

2021-02-19 19:44:18 1336

原创 基于威胁情报周期模型的APT木马剖析

文|腾讯安全平台部xti9er前言近日,腾讯服务器安全系统“洋葱”协助部署于公有云的某合作方捕获到一起APT事件,目前已处置完毕。处置过程中捕获木马样本一枚,该样本中包含了大量隐匿攻击手法...

2021-02-08 17:46:19 774

原创 SSRF安全指北

文|腾讯蓝军silence前言SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是...

2021-01-26 17:02:36 1085

原创 基于机器学习的敏感信息泄露治理探索

文|宙斯盾流量安全分析团队晨晨、彦修背景企业数据包含着用户个人信息、隐私信息、商业敏感数据等,一旦泄漏,会给企业带来巨大的经济损失,甚至承担相关法律责任和巨额罚款。因此,如何保障企业存储...

2021-01-21 19:02:47 1573 2

原创 基于机器学习的Web管理后台识别方法探索

文|宙斯盾流量安全分析团队晨晨、彦修背景长期以来,Web管理后台一直是攻击者觊觎的目标。部分信息安全意识薄弱的业务在未作任何安全加固(设置IP白名单、强口令、二次认证、验证码、请求频率审...

2021-01-15 17:28:56 702 1

原创 红蓝对抗之Linux内网渗透

文|腾讯蓝军 jumbo前言上篇内网渗透(附录1)主要讲的是Windows这块,最近知识星球“腾讯安平密友圈”提到了一个问题“为什么内网渗透偏向于Windows”,笔者也在下面进行了相关...

2020-12-11 17:59:01 7043 12

原创 【安全通知】知名端口转发工具rinetd遭高仿投毒

文|柯南、xti9er、harold事件概述近日,腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件,并已与官方作者取得联系。事实上该开源软件目前仅在github发布,目前正...

2020-12-02 18:52:39 4104

原创 面向DevSecOps的编码安全指南|JavaScript篇

文|martinzhou & l0u1s & monsoonI. 背景近年来,无论是DevSecOps,还是Google SRE的可靠和安全性理念,都提倡“安全需要每个工...

2020-11-27 17:29:56 2068 3

原创 【安全通知】PyPI 官方仓库遭遇covd恶意包投毒

文|腾讯洋葱反入侵系统七夜、xnianq、柯南近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了covd 钓鱼包,并通知官方仓库下架处理。由于国内开源镜像站均同步于PyPI官...

2020-11-18 20:08:55 5619 11

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除