安全
文章平均质量分 84
si1ence_whitehat
情深不寿 慧极必伤 谦谦君子 温润如玉
展开
-
安全+大模型应用系列之RSAC的Dropzone AI的分析
从Dropzone AI广泛的认可度来看,国外对该思路的认可度较好,前期在国内项目验证的时候客户也非常感兴趣。但是目前国内的安全产品、安全平台较为封闭、无法像国外产品能够广泛直接对接、或许是当前制约国内的安全GPT广泛推广的一个阻碍;安全+大模型的产品的逐渐按照多能力的安全专家(全能)的能力和价值去规划、应该是一个受客户认可的正确方向。原创 2024-05-17 14:57:23 · 659 阅读 · 0 评论 -
以业务行为驱动的反入侵安全能力建设
没有一个安全产品可以100%检出所有安全威胁,也没有一个安全产品或者方案可以在不同的用户群体下发挥100%的效果;安全建设应该是以保护业务的思路出发、但是很多安全产品在规划设计的时候其实并没有这些的思路,更多的都以威胁对抗的思路出发,最后在真实的实际环境当中验证后的确能够应对常规的自动化攻击、单在高级威胁领域要么没有对应能力,要么就是海量的误报让真实的告警淹没,与狼来了的剧本类似、日常误报太多最后就失去了信任。原创 2023-02-25 21:11:43 · 1059 阅读 · 1 评论 -
炒冷饭|2022年看见的几个安全问题总结
最近陆陆续续的都放春节了,关注了一些做安全的朋友发现大家对今年的安全工作都不甚满意或距离预期挺远的,或者直接说感觉今年挺难的对以后的行情开始有一些担忧,但翻开新的一页应该是有总结分析也有展望预期的。由于持续三年的Virus的原因,很多安全建设方的业务或多或少受到较大的影响,随之传导到了信息安全的工作;原创 2023-01-19 10:59:22 · 716 阅读 · 1 评论 -
日常安全运营工作的一些思考
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末二天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;原创 2022-10-31 18:07:52 · 2176 阅读 · 0 评论 -
攻防演练第四年的一些碎碎念
安全厂商普遍都已经参与过3-4次的护网,当前各家安全产品针对hvv特殊场景都进行了一定的技术倾斜,故整体安全能力侧在未出现真实的入侵成功的场景(0day、钓鱼、凭证窃取),产品与产品之间很难从用户感知上拉开较大的差距、尤其是在hvv场景下用户往往更多的关注于失陷事件(外联、横向)、攻击成功事件(RCE攻击成功)这二类,而且目前攻击成功状态标签(结果)各厂家都基本已经具备、用户很难一下子看清楚差异;基于此背景、此类用户群体的调查场景会成为最关注的功能项;产品的易用性,专业性的提升、进一步促进了用户的成长;..原创 2022-08-02 16:31:19 · 3096 阅读 · 1 评论 -
基于Sysmon初步实现主机侧入侵检测的监控思路
ysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它可以提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动;原创 2022-04-22 11:49:07 · 2752 阅读 · 0 评论 -
Spring Cloud Function Spel表达式注入漏洞分析
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2原创 2022-04-14 17:49:37 · 3443 阅读 · 1 评论 -
热门的XDR到底是一类什么样安全产品?
最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品有什么区别?作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。原创 2022-04-09 15:51:24 · 5613 阅读 · 0 评论 -
漫谈反入侵技术的二三事
安全建设的主要方向粗略的看主要也分成二个大类,安全合规与反入侵;合规的驱动力为首要业务典型类似于ISO27001、等级保护等维度。而在反入侵的方向是以保护现有业务的CIA属性为主要的出发点,以攻击者的视角审视当前的风险并加以防护与检测,相比于法律合规当中明确了各项指标与参数的checklist,反入侵的工作开展难度明显要复杂的多,面临的挑战与技术的积累也要求更高。安全工作的本质上还是攻防双方之间人与之间的对抗、攻击技术与检测技术的对抗、流程与组织架构之间的对抗。原创 2022-01-11 10:08:06 · 3062 阅读 · 2 评论 -
企业安全建设的不同阶段概览
安全建设的源头来看主要还是领导层的决策,在不同的企业规划不同的场景会有不同的安全建设目标;从当前的安全建设来看主要的驱动力还是时间驱动与政策合规为主,随着最近一段时间陆陆续续地发布了不少法律法规,尤其是关键基础设施保护条例在等保的基础之下更加注重实战化能力,无形中提高了企事业对安全建设的要求;以下是目前常见的一些安全建设单位视角与不同的安全目标:Class 1基本不重视安全、安全建设无思路;日常的一些安全相关工作主要由运维、网络部的人员兼职完成,主要的安全产品以AC、VPN、AF(部分)为主部分原创 2021-09-13 14:38:50 · 348 阅读 · 0 评论 -
浅谈攻防技术未来几年内的演进趋势
0x0 背景在过去的几年里网络领域产生了重大影响,疫情改变了企业和组织的运作方式,使它们面临一系列新的风险和恶意攻击,同样也对网络犯罪的行为产生影响。基于安全产品、蜜罐、外部情报等数据来源,并结合安全专家调查的勒索软件、黑产团伙、APT 组织和其他利用客户端和服务器端漏洞的攻击事件进行整理获得,重点收集恶意软件、网站安全、漏洞、数据泄露、APT 攻击等方面的态势后得出的部分结论。0x1 攻击视角0x1.1 互联网攻击流量当中占比较大的流程化攻击有效性持续走低当前互联网用户遭受大...原创 2021-08-19 20:28:55 · 1114 阅读 · 0 评论 -
基于安全运营中心的工作总结
0x0 背景日光之下,并无新事。又是一年新旧交替,去年年底的时候Freebuf的小编在关于安全工作总结这块还做了一个专题讨论,关于安全工作的总结复盘与规划估计也是许许多多安全从业者比较为难回答的问题了,最近大家也比较热门的讨论过关于安全运营的工作开展思路,结合自己的一些实际体验和各位大佬分享一下希望能够抛砖引玉。目前无论是对甲方客户还是对乙方的技术提供商,普遍都遇见了一个比较大的问题,就是安全的价值到底要如何体现、如何量化、如何能能够看到效果,并以此体现自己的技术能力并让用户买单?技术变现的难度一直原创 2021-05-15 10:28:13 · 509 阅读 · 1 评论 -
攻防对抗模拟工具CyberBattleSim的简单分析
0x0总结整个CyberBattleSim是强化学习在攻防过程当中的一个典型的应用场景,主要针对攻击链当中的内网横向移动阶段;使用了Q-Learning技术训练二个Agent(代理)来模拟攻防演练当中的攻击队员、防守队员,利用高交互的环境模拟了一个相对简单的网络环境(靶场),通过部署一些有典型的漏洞、脆弱性的服务器资产,让攻击的Agent代理(集成了很多攻击方法)对内网资产模拟攻击队进行攻击,同时设置一个防御的Agent代理(defender)进行监控与简答程度的防御,攻击agent拿到不同的服务器权限原创 2021-04-17 12:36:03 · 4886 阅读 · 1 评论 -
一些基础的入侵绕过姿势案例分析
0x0 背景 谈论起溯源本质上是安全人员对多源数据的一些关联分析,结合自己的经验对攻击者手法路径的还原。所谓的数据来源主要还是流量层面的安全告警(依赖于WAF、IPS一类的设备的检出能力)、流量层面设备的审计记录(记录所有的网络行为)、主机层面的日志(系统日志、中间件日志、数据库日志等),简单分享一些在实际场景中遇见的一些比较有意思的场景;0x1 Shiro场景 Apache Shiro Java反序列化是今年比较热门的漏洞之一;Shiro提供了记住我(RememberMe)的功能对...原创 2021-01-20 17:32:55 · 710 阅读 · 1 评论 -
Ramnit病毒简介
0x0 背景1、Ramnit 病毒的网页传播方式在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码:当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...原创 2021-01-11 20:23:14 · 16293 阅读 · 0 评论 -
web安全之Openfire的脚本上传缺陷分析
0x0 背景一次偶然的机会发现某台Web服务器被黑了之后被植入了挖矿病毒,然后忙活了好久清理完病毒之后就开始思考思考到底是怎么被黑的,俗话说的好死要死得明白。服务器本身只开发了外网的web端口,然后初步怀疑是从web服务端进来的于是先用D盾查杀一下果不出所料查杀出一个webshell,路径却在Openfire目录下以前没有接触过这个玩意遂研究之。0x1 功能介绍Openfire 是基于XMPP 协议的IM 的服务器端的一个实现,虽然当两个用户连接后,可以通过点...原创 2021-01-11 19:50:06 · 438 阅读 · 1 评论 -
CSRF手法-Token在实际项目开发当中的实践
0x0 背景以前做等级保护的时候漏扫经常扫描出来一些网站有CSRF的漏洞,经常和开发人员扯皮要怎么改怎么改每次都描述的不清楚经常感觉心累。最近看到OWASP的一本《安全测试指南第四版》的书就随手翻了二页其中谈到了关于会话管理测试的一栏目比较感兴趣就从网上随便下载了一个开源的CMS做一下黑盒测试,练练手万一失业了还能转化写写代码做做测试,过程中发现CMS对于很多表单请求都采用了Token认证做的挺好的于是写个笔记方便日后来看。0x1 抓包分析架起代理burpsuit开启准备大干一场,首先找到.原创 2021-01-11 19:38:39 · 362 阅读 · 0 评论 -
一次网站攻击日志分析引发的思考
0x0 背景前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个payload有点意思,就花点心思瞧瞧。0x1 分析思路漏洞的原理分析就不多再赘述比较好奇的是这个http://107.148.223.222/php/1/editor.txt网页访问后确认就是一个wesbehll后门。该IP的归属地在米国加州,提示为ID...原创 2020-12-05 16:33:45 · 428 阅读 · 0 评论 -
从webshell的视角谈攻防对抗
0x0 背景由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上原创 2020-12-05 16:26:32 · 820 阅读 · 1 评论 -
浅谈安全攻防场景下面的安全检测
0x0背景安全本质是人与人之间的对抗,攻防技术的更新迭代促进了行业的发展。虽然都是做在安全技术的研究,但是发现其实二个方向的工作思路上还是有较大的区别;防御者从多个维度针对某一类攻击手法进行全面剖析提出一个能够覆盖大多数攻击场景下面的方案。攻击者往往在多次攻击测试之后,只需要有跳跃性思路能够利用一些出其不意的姿势从一些技术点上突破防御即可,攻防技术相辅相成,相互进步。笔者在机缘巧合下从一个...原创 2020-03-12 10:36:00 · 1049 阅读 · 0 评论 -
浅谈信息安全的职业发展方向规划(乙方安全公司篇)
0x0 背景 继上次写了一篇信息安全行业入门与各类技术简介(扫盲贴)之后,在CSDN没有想到还有这么多的访问量。笔者经常被人问起一些关于这个行业的职业发展问题,由于最近疫情期间周末也不能出去浪,算上本科的学习的时间到现在也差不多10年安全研究经验,这里结合自己的一些阅历简单写出来,希望对大家有所帮助,有遗漏和不当之处也希望大家包涵。0x1 职业规划 笔者第一次接触这个概念的时候,依...原创 2020-03-01 17:34:32 · 9882 阅读 · 4 评论 -
浅谈攻击溯源的一些常见思路
0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。0x1 主体思路溯源的过程当中的时候除开相关的技术手段之外,首先...原创 2019-07-13 12:05:43 · 18824 阅读 · 3 评论 -
小白帽从病毒视角聊企业安全建设
0x0 背景最近各类安全事件还是很流行的,以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野,仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。安全标准是个好东西奈何现在客户安全意识并没有特别高,所以在具体落实实践的过程中难度太大,况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个...原创 2019-07-13 11:53:26 · 434 阅读 · 0 评论