lurenjia404的博客

本指南主要为了规避驻场工程师在护网防守期间出现违规行为，从保密要求、网络传播、个人终端安全、值守要求、关键个人行为等方面提出最基本的护网期间工作准则，规避驻场工程师、小白等被攻击者利用的风险。

移动设备已成为我们日常工作和家庭生活中不可或缺的工具，然而，对于它们安全性的关注和投资仍然远远不够。本文深入分析了移动设备安全的发展轨迹、目前面临的威胁态势，以及业界对于这些安全漏洞响应迟缓的深层原因。文中还探讨了人们在心理层面和组织结构上难以采取有效措施提升移动设备安全的原因，并提出了优先保护我们个性化的技术的解决方案。

本文是OWASP（开放式网络应用安全项目）发布的《LLM AI安全与治理清单》（以下简称“清单”），旨在为使用大型语言模型（LLM）的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能（AI）的重要性，并指出AI技术，尤其是LLM，在创新、效率和商业成功方面具有巨大潜力，同时也带来了明显的挑战。文中讨论了LLM面临的挑战，包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等，并强调了LLM增加的攻击面和相关风险。

全面解析LLM安全风险 | 3万字长文翻译OWASP关于大语言模型的Top 10安全风险。

企业组织需要对各种单点式安全工具和控制措施进行整合和管控，这可以带来诸多好处。

在云计算环境中的渗透，与传统渗透相比，新增加了许多新的攻击面，同时也因为云计算的特点我们需要转变渗透的思维，用云计算的方式去思考云渗透。

链路本地多播名称解析（LLMNR）是一个基于域名系统（DNS）数据包格式的协议，使用此协议可以解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6，是仅次于DNS解析的名称解析协议。NetBIOS是Network Basic Input/Output System（网上基本输入输出系统）的缩写，它是一种接入服务网络的接口标准，主机系统通过WINS服务、广播及Lmhost文件等多种模式，把NetBIOS名解析成对应的IP地址，实现信息通讯。

Kerberos是由麻省理工学院（MIT）开发的网络身份验证协议，它的主要好处是强大的加密和单点登录（SSO）。Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如共享密钥）实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据的情况下保证通讯安全。

Windows安全认证机制之NTLM本地认证

用户帐户控制（User Account Control，UAC）为Windows Vista中所推出的安全技术之一，其主要特点在于通过限制应用软件对系统层级的访问，从而改进Windows操作系统的安全性。虽然此类机能一直遭到部分用户的批评，但后续的Windows操作系统仍保留此类机能。如Windows 7中，微软公司保留并改进了此项功能（自定义UAC的安全等级）。

访问控制模型（Access Control Model）是指Windows操作系统关于安全性的一个概念，由访问令牌和安全描述符两部分构成，其中访问令牌是指由当前登录的Windows账号的用户持有，其中会包含了该账号的基础信息，包括用户帐户的标识和特权信息，安全描述符由要访问的对象持有，里面会包含当前对象的安全信息。假设当用户登录时，操作系统会对用户的帐户名和密码进行身份验证， 当登录成功时，系统会自动分配访问令牌（Access Token）,访问令牌包含安全标识符，用于标识用户的帐户以及该用户所属的任

本文主要介绍了利用远程服务进行横向渗透的方法，读者阅读本章内容后就能够理解，红队人员一旦通过外部某一个点进入了企业内部网络之中，那么内网之中所有的安全防护设备将会形同虚设，红队人员在内网之中获取核心靶标的系统权限如同探囊取物。因此，如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题，笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍，读者能够对内网安全体系建设引起更多的重视和思考。

随着隧道技术的不断更新迭代，越来越多的攻击者利用隧道技术攻击企业内网，通过本篇文章从多维度分析隧道隐蔽技术的划分及对隧道技术整体来讲解，其中包含基础知识概括和相关隧道工具的利用方式及隧道隐蔽技术的检测防护方法，并且通过大量的案例来演示了多个实际常见的隧道场景，比如我们通过拿到系统权限后利用多个协议实现隧道穿透、端口转发、内网穿透，总之，希望本篇内容对读者有所帮助。

Hvv蓝队技战法：https://www.freebuf.com/defense/391301.html3个阶段，4大要点，蓝队防守全流程纲要解读：https://www.aqniu.com/vendor/84950.html。

各电力企业负责电力网络安全事件的应对工作，负责建立健全本企业的电力网络安全事件应对工作机制，具体负责本企业电力网络安全事件的预防、监测、报告和应急处置工作，在国家能源局及其派出机构的组织下，为其他电力企业的电力网络安全事件应对提供技术支持。各电力企业应按职责做好电力网络安全事件日常预防工作，做好网络安全检查、隐患排查、风险评估和容灾备份，健全本单位网络安全监测预警和信息通报机制，及时采取有效措施，减少和避免电力网络安全事件的发生及危害，提高应对电力网络安全事件的能力。做好预警信息要求的其他工作。

从市场规模来看，未来WAAP将逐步替代WAF，成为Web应用安全市场主流产品，同时也将涵盖API安全等其它市场。

通过这些措施，智能网联汽车制造商和服务提供商可以在保护用户隐私的同时，也提高用户对自身隐私保护的认识和能力，确保用户对自己的数据拥有充分的了解和控制权，包括他们可以选择是否分享数据，以及如何分享数据。智能网联汽车作为高实时、高交互的交通运载工具在运行的过程中暴露了较多的攻击面，通过资产管理、漏洞管理、事件管理来收敛智能网联汽车的攻击面，再通过监控、识别、处置的运营闭环来贯穿智能网联汽车的运营流程，构建一套具备韧性的安全运营体系，适应在不断运行的车辆终端、不断变化的安全环境，确保车辆的安全。

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性，并根据其组织战略完善该计划

建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，保障互联网政务应用安全稳定运行和数据安全。机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志，以及应用系统的访问日志、数据库的操作日志，留存时间不少于1年，并定期对日志进行备份，确保日志的完整性、可用性。应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理。

为贯彻落实党中央、国务院关于建设数字中国的重要部署，国家数据局会同有关单位系统总结2023年数字中国建设重要进展和工作成效，编写完成《数字中国发展报告（2023年）》（以下简称《报告》）。《报告》提出，2023年数字中国建设总体呈现发展基础更加夯实、赋能效应更加凸显、数字安全和治理体系更加完善、数字领域国际合作更加深入等四方面特点。

个人数据与人以及其他个人数据深深地交织在一起，它就像一幅巨大的挂毯，而这些线是无法轻易拆开的。尝试定义敏感数据就像徒劳地试图从挂毯中找出不同的线头一样，线头与其他线头交织在一起，一旦开始拆线，整个挂毯就会散开。

盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。

增速不及预期。

报告提到，不断演变的关键基础设施风险、勒索软件、供应链利用、商业间谍软件和AI是主要趋势；国家网络总监办公室同时公布了第二版《国家网络安全战略实施计划》，新增了31项倡议。

随着国内网络安全市场越来越来越来越卷，出海，从原来的陌生遥远不看好，已经成为许多厂商不得不思考的一个新方向。

研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。

人类距离将网络安全的控制权交给生成式AI还有多远？

美国务院推出聚焦“数字团结”概念的全球网络战略。

Flank 是谷歌 Firebase Test lab 开源在 Github 的一个项目，用于同时对多个安卓和IOS设备进行测试。2024年4月15号 AWS 安全工程师 Adnan Khan 公布了关于该项目代码仓库 Github Action CI/CD 存在漏洞的细节，漏洞在2020年于此 代码合并请求引入，3年多一直没人发现（这个仓库谷歌一直有赏金计划），谷歌把该漏洞归属为供应链漏洞，并给予该漏洞赏金 $7500 美刀（约 5w+ 人民币）。

研究显示，2024年巴黎奥运会组委会网站的总体网络安全态势基本安全，但也凸显了一些风险，包括开放端口、SSL错误配置、cookie同意违规和域名抢注。

API，即应用程序编程接口，是一组规则和协议，允许不同的软件应用程序相互通信。它定义应用程序可用于请求和交换信息的方法和数据格式。Web API：这些是可使用 HTTP 等标准 Web 协议通过 Internet 访问的 API。库 API：库 API 提供了一组函数和类，开发人员可以使用这些函数和类在其应用程序中执行特定任务。操作系统 API：这些 API 提供一组用于与操作系统交互的函数和过程。一篇详细介绍API渗透测试的文章，在黑盒、灰盒和白盒等三个方面分别讲述了测试原则、目标以及具体使用案例。

定义后查看动态链接库的方式(动态链接库在/usr/lib64)：echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令：strace -f -e trace=file /bin/ls。立即修改云账号，修改密钥，云平台远程桌面做一次远程连接，第二次就需要手机号验证了，敏感操作和登录启用手机验证码，不要在电脑上用验证码。

漏洞识别一般是通过漏洞扫描器实现的，识别漏洞的形式无外乎有四种：非认证式扫描、认证式扫描、API 扫描、被动流量扫描，前两种是最普遍的方式。非认证方式扫描，也称为网络扫描方式（Network Scanning），基本原理就是发送 Request 包，根据Response 包的 banner 或者回复的报文来判断是否有漏洞，这种分析 Response 包内容的主要逻辑是版本比对或者根据 PoC 验证漏洞的一些详情来判断。漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估，这一步非常重要会影响到后面的补救步骤。

2024年4月15日，美国国家安全局发布了名为《安全部署人工智能系统：部署安全、弹性人工智能系统的最佳实践》，该指南旨在为部署和运行由其他实体设计和开发的人工智能系统的组织提供最佳实践，以提高人工智能系统的机密性、完整性和可用性，并确保已知的人工智能系统的网络安全漏洞得到适当的缓解。同时，该文件还提供了一些方法和控制措施，以保护、检测和应对针对人工智能系统及其相关数据和服务的恶意活动。此外，建议使用最新的开发方法和技术，例如自动化代码审查和安全性测试，以及利用机器学习和人工智能来提高人工智能系统的安全性。

奢侈产品的现实情况就是，富人买很多，普通人买不起也用不上。

在我们发现了谷歌Kubernetes引擎（GKE）中的一个严重漏洞Sys：All后，我们决定对这个漏洞在现实世界中的影响进行研究。我们最初的探测就已经发现了超过一千个易受攻击的GKE集群，原因是管理员在配置RBAC绑定时，使得system:authenticated组特权过大，这可能允许任何谷歌账户持有者访问和控制这些集群。

NSA发布报告构建数据安全下的零信任证明框架。

美国劳工部每年会对全国各职业（约830 种）进行就业和工资统计（OEWS），该统计数据是职业就业统计（OES）的升级版。这项统计在许多州都是强制报告的，官方会从州上缴失业保险的人群中按照大城市/非大城市、行业等角度进行抽样选择被调查人。基于 2015 年到 2020 年的统计情况，美国劳工部从 2021 年5 月开始启用新估算方法（MB3），感兴趣的可以去美国劳工部统计局官方网站查看具体方法。

突破极限，终极大奖。

在实际中，个人数据保护规则被红十字国际委员会常态适用。