煜铭2011

探索企业信息安全建设,精通安全技术,欢迎交流^_^

ISO_IEC_27003:2017信息安全管理体系中文解读

0x00 前言ISO(国际标准化组织)和 IEC(国际电工委员会)形成了全球标准化专业系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与国际标准的制定,以处理特定的技术活动领域。ISO 和 IEC 技术委员会在共同关心的领域进行合作。其他国际组织、政府和非政府组织,...

2018-04-27 22:53:27

阅读数:2449

评论数:0

腾讯2016实习招聘-安全岗笔试题答案详细解释

0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两...

2016-06-11 20:50:25

阅读数:21698

评论数:3

安全技术思维导图

0x00前言     思维导图是表达发散性思维的有效图形思维工具 ,它简单却又很有效,是一种实用性的思维工具。思维导图运用图文并重的技巧,把各级主题的关系用相互隶属与相关的层级图表现出来,把主题关键词与图像、颜色等建立记忆链接。而安全人员在信息安全技术实践往往借助安全思维导图进行技术要点的呈现和...

2018-09-08 20:50:49

阅读数:265

评论数:0

PCI DSS 3.0附录要求

0x00 前言本支付卡行业数据安全标准 (PCI DSS) 旨在促进并增强持卡人的数据安全,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 为意在保护持卡人数据的技术和操作要求提供了一个基准。PCI DSS 适用于所有涉及支付卡处理的实体,包括商户、处理机构、收单机构、发卡机构、服务...

2018-05-06 12:46:45

阅读数:1859

评论数:0

PCI DSS 3.0 标准要求和安全评估程序

0x00 前言本支付卡行业数据安全标准 (PCI DSS) 旨在促进并增强持卡人的数据安全,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 为意在保护持卡人数据的技术和操作要求提供了一个基准。PCI DSS 适用于所有涉及支付卡处理的实体,包括商户、处理机构、收单机构、发卡机构、服务...

2018-04-29 13:49:30

阅读数:1976

评论数:0

ISOIEC27000标准族的介绍与进展

0x01  信息安全体系1 ISO/IEC27000信息安全管理体系概述和词汇 2016 ISO/IEC27000:2009被等同采用为GB/T29246—2012,具体信息为:GB/T29246—2012/ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》2 ISO...

2018-04-16 19:19:44

阅读数:2076

评论数:0

ISO27001-2013学习笔记

前言一、2013年新标准对企业的影响:1. 风险评估工具需要升-信息资产弱点建模及风险处置的控制项选择部分2. SOA适用性声明及文件体系的升级--一二级文件需要调整内容及升级,三四级文件需要少量增补3. 内部审核工具的升级--内部管理制度的调整二、已通过ISO27001 认证的企业需要在执行新标...

2017-03-11 20:23:51

阅读数:2266

评论数:0

BAT、360、网易等大公司开源项目

0x01 360 系列 1. MySQL中间层 Atlas Atlas是由 Qihoo 360, Web平台部基础架构团队开发维护的一个基于MySQL协议的数据中间层项目。它在MySQL官方推出的MySQL-Proxy 0.8.2版本的基础上,修改了大量bug,添加了很多功能特性。...

2016-11-13 17:02:49

阅读数:3990

评论数:0

神器nmap的web版-Rainmap Lite

0x00 前言     Rainmap Lite 是一款nmap对应Web应用程序,它允许用户从他们的手机/平板电脑/网络浏览器启动Nmap扫描!不像它的前身[1] ,,Rainmap Lite 并不依赖特殊服务(RabbitMQ,PostgreSQL,Celery, supervisor等),它...

2016-10-13 19:30:30

阅读数:1116

评论数:0

OWASP 测试指南 4.0-OWASP测试框架

本节主要介绍可用于组织或企业进行应用测试的典型的测试框架。它可以被看作是包含技术和任务的一个参考框架,适用于软件开发生命周期(SDLC)的各个阶段。公司和项目团队可以使用这个模式,为自己或服务供应商开发测试框架和范围测试。这个框架不应该被看作是指令性的,但作为一个灵活的做法,可以延长和变形,以适应...

2016-10-12 17:05:46

阅读数:2549

评论数:0

OWASP 测试指南 4.0-测试技术解释

该部分提出可用于创建测试工程的各类高级测试技术。这里针对这些技术的具体实现方法并没有进行详细讨论,详情可参见后文。该部分旨在为下个后文所提出的测试框架提供上下文并突出某些技术在选择使用时应考虑的优点以及缺点。特别包括: 人工检查及复查 软件威胁建模 代码复查 渗透测试 0x01 人工检查及复查  ...

2016-10-12 12:24:20

阅读数:1229

评论数:0

OWASP 测试指南 4.0-OWASP 测试项目

OWASP测试项目已经发展了许多年。通过这个项目,我们希望帮助人们了解自己的Web应用程序, 什么是测试 , 为什么要测试 , 什么时间 , 在哪里 以及  如何测试 WEB应用程序。这个项目是发布一个完整的测试框架,而不是仅仅提供一个简单的漏洞检查列表或者问题的简单药方。人们可以根据需要建立自己...

2016-10-12 11:50:31

阅读数:1243

评论数:0

OWASP安全编码规范快速参考的术语

0x01 外部的参考资料 1. 引用的参考资料 Sans and TippingPoint "The Top Cyber Security Risks" http://www.sans.org/top-cyber-security-risks/   Web App...

2016-10-09 20:22:28

阅读数:1049

评论数:0

OWASP安全编码规范快速参考指南

0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具...

2016-10-09 20:09:46

阅读数:2872

评论数:0

代码审计的艺术系列—第四篇

0x01 前言作者:HackBraid同学(乌云核心白帽子) 接白帽子分享之代码审计的艺术系列-第二篇和第三篇,这里讲宽字符注入漏洞产生的原因和案例分析。(没看过前三季的同学,可以先看看前三季) 代码审计的艺术系列—第一篇 白帽子分享之代码的艺术系列—第二篇 白帽子分享之代码审计的艺术系列第三...

2016-07-24 17:04:45

阅读数:546

评论数:0

代码审计的艺术系列—第三篇

0x01 前言 非常感谢白帽子HackBraid同学一直坚持分享。:)接下来的时间交给HackBraid。 接白帽子分享之代码的艺术系列-第三篇,主要是一些函数的错误使用会引发SQL注入的场景以及二次注入漏洞产生的原因。如果没看之前的内容,建议先看看前两篇。:) 代码审计的艺术系列—第一篇 ...

2016-07-24 17:01:57

阅读数:684

评论数:0

BruteXSS:XSS暴力破解神器

0x00 前言      相信很多小伙伴都知道XSS测试,至于如何更加有效地插入载荷是一件重复性的高强度劳动工作,在此本文介绍了一款自动进行插入XSS,并且可以自定义攻击载荷。这些载荷从几十条到几百条甚至几千条。该脚本也同时包含了一些绕过各种WAF的语句。 0x01 BruteXSS    ...

2016-07-21 22:21:11

阅读数:1640

评论数:0

渗透工程师必备的几款火狐插件

0x00 前言 相信不少小伙伴都知道火狐插件实在非常好用实用!在此,本人觉得有几款插件实在应该推荐一下!这些小插件在渗透测试时候起到鬼斧神工的作用。下面就来介绍这些插件。 0x01 插件 1 Wappalyzer Wappalyzer是一个浏览器扩展,它能够揭示在网站上使用的技术。它可以检测内容...

2016-07-05 21:09:15

阅读数:9124

评论数:0

使用HTTP头去绕过WAF

0x00 前言     现在,各个安全厂商的WAF越来越多了,虽然它们的WAF卖得挺贵,但是买的人也不少(运营商、互联网企业、政府部门、传统的产业)。因此我们也是经常碰到那么多WAF啊,绕过WAF技术千姿百态,各种天花乱坠的的招数。有些招数对于V WAF绕得过,有些招数对于N WAF可以绕过,还有...

2016-07-04 20:09:37

阅读数:3252

评论数:0

我在安全行业的成长踪迹

0x00 前言 即将大学毕业离校,此刻我无比感慨!!!回顾往事,历历在目,展望未来,难免迷茫。故留此记,以望后顾。 0x01 实习前的折腾 首先当时我是大三上学期,我是在一个很偶然的机会上了一个免费的公开课,这个公开课主要的内容是CCNA的内容,其实上课的内容比较杂,并不是很我们平时所熟知的CCN...

2016-07-02 20:59:34

阅读数:867

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭