- 博客(24)
- 收藏
- 关注
原创 某安全厂商外包安服工程师面试
Up没料到这题,傻瓜瓜的说的方法是写个脚本遍历一遍,每张表select xxx from xxx where xxx =xxx最后就可以找出来,面试官笑了笑耐心的给我讲了一遍大概有哪些思路,说我的也不算错(我也不记得他说啥子了,师傅们自己查吧,感觉你们也不一定碰得到这题)。总之一面还算顺顺当当的就过了,估计面试我的那哥们不怎么卡人都放进二面去了,一面是早上十点多给我打的电话,结束后不到几个小时吧下午三四点这样就约我第二天一早二面了,二面的详细过程up还在整理,最近比较忙,尽快出下篇。
2024-05-27 16:02:12 758
原创 安服仔养成篇——风险评估
分析的重中之重来了,因为风评也好,等保也好密评也好,这类测评性质的工作实际难点不是在技术上(要证和资质,懂的都懂),风险分析也包括了渗透测试、漏洞扫描的材料,这也是和安服仔们息息相关的工作,但这里的渗透不以目的为驱动了,不是为了打洞而打洞,一般来说很“机械化”,什么意思呢,没有什么剑走偏锋和什么出其不意的技术手段了,尤其是庞大的系统数量为前提的情况下,基本把渗透的流程和手段定死了,过一遍没有漏洞就没有了。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
2024-05-22 10:25:42 782
原创 IPSecVPN与SSLVPN
突出验证的重要性和安全性,而sslvpn注重校验用户身份及访问权限的特点完全契合零信任体系,vpn本身对于企业办公的助力良多,而vpn自身安全保障不足,普通网络结构下的vpn存在巨大风险,容易产生盗取账号、冒用,已致内网失陷等严重安全事件,sslvpn基于高层协议的特殊性可以严格管控用户权限,摒弃了原先vpn默认可访问所有资源的老套路,防患于未然。当然了,不是说ipsecvpn就在认证上次于sslvpn,sslvpn基于应用层,高层协议的强项是对用户身份认;IPsecVPN与SSLVPN。
2024-05-17 09:52:33 1258
原创 安全设备篇——抗DDOS设备
DDOS攻击很少很少能见到,真的是大场面发生的事情,除了很偶尔看到的APT组织发起的之外就没什么可能了,这里是给师傅们了解了解相关的设备特性,防患于未然,并且,学无止境嘛,现在关于ddos的一些防范和设备数据真的不多,搜一搜的确有很多小厂家在做,点进去一看感觉和waf差不多,啧,这就没意思了,师傅们可以看看某lm的产品,还是很有参考价值的。同理,在基于一个资源丰富的前提下,攻击者是具有混淆多种攻击方式的能力的,依据协议来封堵或拒绝也是不合理的。部署方式:直连or旁路。常见DDOS攻击类型。
2024-05-15 11:07:00 1074
原创 安服仔养成篇——漏洞修复
传参不规范、过滤不严格等问题,最多的就是各类注入漏洞,sql注入、xss、xxe等,有厂家就找厂家改,自己开发的就重新看一遍传参,多写点过滤函数、检查规则,再不行就是上安全设备,waf、IPS都是有效的解决方案;这类也是大头,shiro反序列化、各大oa漏洞、cms漏洞等我都放在这类里,没啥好说的,找官方,更新更新更新、补丁补丁补丁,至今fofa上一搜还是有很多小厂连2016年的漏洞还未修复的,连个补丁都不舍得打...来个小孩哥看看漏洞exp都能直接给他打进去,慎重!师傅们懂的都懂,不好深说了。
2024-05-13 16:40:22 1165 2
原创 安全设备篇——日志审计系统
日志审计突出的作用不像其他安全设备一样是已预防外来攻击为首要目标的,这只是其中之一,更重要的意义是记录整体系统结构的运行状况,提供系统运行安全的记录,方便出现故障时寻求到证据和相关信息,简单来说,日志审计系统关注的范围更广,如果系统出现宕机等紧急情况无法直接查看该系统日志时,就直接凸显出日志审计系统的重要性了。日志审计系统是安全监测环节中的重要组成,侧重系统运行安全,各种涉及的协议和框架太复杂了,up水平不够,就不现眼了,大家多包涵。以上两种方式并非唯一,只是最常见的两种方式,师傅们可以补充。
2024-05-13 11:19:03 1422 1
原创 安服仔番外——IaaS、PaaS、SaaS
SaaS化产品是安全厂商提供安全服务的一种形式,up见过的也不算少了,基本上说的出名字的安全设备都有SaaS版本(看厂商啊,不是每家都把自己所有产品都摆云上的),基本上和一个集成的工具箱差不多,不需要管理底层,不需要对其中的安全设备进行运维,只关注其功能和数据。数据作为关键词,在参考了深某服社区的帖子后我得出的一个大概的理解是,上述IaaS、PaaS、SaaS虽然分层明确,但注重提供的是服务,用户得到的是解决方案,但DaaS想提供的是结论,一个在起点,一个想直接到终点。②如何保证云服务接入过程的安全?
2024-05-11 10:34:40 1196 1
原创 安服仔养成篇——等级保护
答:这个up稍微有些发言权,之前在老东家那里up就是负责对接等保测评的,刚出来实习的时候也是配合某lm的等保评级项目,首先证书的需求还是得满足上,大部分公司在招人的时候证是硬性要求,也有部分公司是先入职,在规定时间内要考到相关证书(可能是签卖身契,也可能是自费),我这个二线小城也有小厂专做等保的,这么看也还行,岗位勉强算充足,这个方向的收入适中吧,不会超级高的,毕竟工作范围较小,不像安服当牛做马,给客户接孩子,给领导递华子,但较为稳定了,客户基本果字号,稳定合作,合同在人在!④等级保护需要的技能包?
2024-05-10 08:06:07 544 1
原创 安服仔养成篇——基线检查
啥意思呢,基线检查其实就是对操作系统、中间件、数据库、网络设备等多类进行配置检查,简单点讲就是看是否满足最小权限原则,举两个个例子,比如关键文件能给只读就不会给写的权限,不允许ssh到root权限用户等,一切以不影响系统运行的最小权限开放原则进行(所以完全进行整改的话有可能会出现影响业务运行的问题,大部分原因都是因为系统之间的调用或者系统建立之初就存在配置不规范、以及文件权限问题的问题)。“安全基线是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证,最基本的安全要求。
2024-05-09 11:27:27 1019 2
原创 安全设备篇——堡垒机
这一点和以上两点都是有关系的,单独划分出来是因为up在实际工作中对这一点的理解更强(因为当了个狗管理天天给人家申请账号增加资产),举个例子吧,假设up是后台运维管理员,A小组的员工的堡垒机账号只能访问a资产,B小组的员工账号只能访问b资产,而某天新增了C小组,需要新增c资产,且原本A小组的领导晋升,成为了A、C两个小组的经理。详解:部分堡垒机可以通过下载插件直接打开操作系统的界面,相当于一个远程桌面,也有部分堡垒机自带ssh插件之类的,看牌子,看情况,比如某治的堡垒机总体使用上体验还算不错的。
2024-05-06 10:32:04 1574 1
原创 一个安服仔的自白——我还会留下来吗?
绝大部分师傅学历平平,干了两年安服,想换个合适的窝罢了,想留在自己的城市吃口饱饭,陪陪家人,这些毒鸡汤各种忽悠,忽悠下海打工996,忽悠你特种兵hvv,赚完万把块直接失业在家自闭,真该死啊。这个话题,实在太,不好提了,毕竟有很多师傅算是被半骗着就去了,我也不是说市面上的培训班都是骗子,的确,培训班是个进修的好地方,很多师傅根基不稳,缺乏自主学习的能力大家都能理解的,尊重,接受,客观看待来说,真心想吃下这碗饭,并且不在意之后行业变化如何始终热爱网安的,好好选择吧,up没接广子就不给你们推荐了嗷,擦亮双眼!
2024-05-04 20:50:58 990
原创 安全设备篇——AC!
这类设备及其常见,离非专业人员最近的,网吧、公司网络,都会有,属于内部管控的安全设备,AC是针对用户个人终端的管控型设备,主要是用来严格限制上网行为、控制网络出口流量用的,相对其他类型的安全设备更容易理解,应用更广,底层原理也相对其他设备较简单一些些,软件硬件都有,大部分主流结构都是直接布置在网络出口前或者串联核心交换机流量主路上,也有部分是旁挂核心,对流量进行过滤和管理。解决过程:你耐心的和小美解释,公司在流量出口前布置了AC设备并开启了用户认证,需要添加相关用户信息、并经过验证,可以上网啦!
2024-04-29 16:36:26 1488 2
原创 安全设备篇——漏洞扫描器
以上,大概就是漏洞扫描设备的全样貌了,这类设备对安全体系的建设还是很重要的,约等于家里的扫把、拖把,家里很干净,但也得备着,总的来说漏扫设备不是那种能单纯以优缺点来评判的,虽然俺一样列出来了,只是为了给小师傅们了解设备特性,漏扫是安全工作中很重要的环节,要是问了,不会,那可太尴尬了,没有哪个客户会允许你每天拿自己的玩具来进行安全评估的,厂商产品是绕不开的一堵墙。这个肯定不用说了,漏扫嘛,顾名思义,设备一般是硬件,有些厂商的小一些,像个盒子,也有些直接搭载在一台笔记本上,比如up前东家的某眼。
2024-04-28 13:37:13 999
原创 初级安服仔面试攻略
(大概的罗列出来,先突出个数,再突出精,通过略列特点的方式,再进行厂商之间一些设备特征的对比,唬住甲方,大部分甲方直面最关注的一点就是你的经历,其中提纯关键信息:用过哪些厂家的设备 设备类型+厂商丰富度)。答:在公司的某系统上有碰到过一次疑似的xxxx攻击,因为威胁程度较大且当时是非工作时间,且一轮研判由于信息不足无法判断,处理思路是先进行了主机隔离,因为是xxx攻击,首先去排查了xxx和xxx,无异常,联系了相关业务的管理员和开发,发现是某个参数异常,在请求的过程中……容易受到信息泄露和拒绝服务攻击。
2024-04-24 14:36:09 1170 2
原创 小型企业网络安全建设方案
安全感知平台厂商:ddd资产位置:略具体资产:略防火墙AF厂商:xxx资产位置:略具体资产:略Edr厂商:ccc资产位置:略具体资产:略备注:略略。
2024-04-23 15:39:18 654
原创 浅尝流量分析
总的来说全流量分析设备确实是个好东西,初入浅尝流量分析基本是以健全的安全拓扑为前提,综合利用而已,主要为掌握攻击行为的具体数据流向和特征,这里小师傅们想深度联系的推荐去各大靶场找流量分析的包打一打,或者历年真题,题目不难,还挺有意思,在实践中去体会更容易理解。流量分析是安服仔们必备的一个技能,up其实接触的全流量设备不多,也就用过科莱的,产品级的全流量设备最大的特征就是简化了很多查询语句和查询条件,以及优化了界面、逻辑等,这次虽然是用小鲨鱼来展示,就不具体到查询语句上了,主要为研究流量特征。
2024-04-19 10:34:18 633 5
原创 安全设备篇——waf
这期主要是解读解读waf,也不过分研究雷池的功能呢,总的来说确实是很不错的项目,算是市面上很优秀的waf了,对中小型web来说实用性极高,防护到位,清晰明了、简单,不像某些花里胡哨的厂家的设备(我谁也没有说!别的帖子用awvs扫会阻拦,我这懒得开工具机就拿goby浅浅试了试(1000+poc版),没有拦截,只记录的访问数,但是可以后台设置访问数过大拦截的,也算找补回来了吧,毕竟那么多扫描器,各种大杀器小玩具,拦截一开就图一乐。随手开个http,雷池后台挂个代理:(截图有些是后边补的,端口对不上是正常的)
2024-04-17 11:13:31 763
原创 简简单单水一期从htb学到的linux提权
抄抄作业跟着做也挺好玩,很标准的一个作业化的玩意,还是能学学思路的,很多大佬都给作业抄了,我这里就简简单单做个提权分享了。前段时间朋友把我挂到htb的靶场上去了,逼着up强行学习了一波把靶场打了删掉txt,但是谁知道这玩意重置的这么快,一下子就没了,得,那就借着这个靶场讲讲里面的一个提权思路吧。放在前面:htb的靶场真的有点那啥,打了半天还是抄了点作业,也可能是我水平实在太菜,推荐感兴趣的师傅们选择欧洲的魔法去连,实测延迟低很多。总结的总结:生活不易,状态不佳,且水一篇。
2024-04-16 09:08:10 292 1
原创 看完你就学会了——研判
研判可是个大学问,学问在哪里呢,看完这篇就知道啦。研判是一个重要的分水岭,猴子和牛马还是有区别的,各位师傅们是否能够真正入行网安就看这个了。研判其实是比较细致、发散思维的活,可能很多师傅觉得套用公式、看看帖子也能精进,这是不可能的,研判是很需要积累和锻炼的,只有客户拿gun指在你头上的那一刻你才能意识到自己的水平,万幸,up刚刚交了报告客户把gun放下来,所以赶忙敲下这篇文章和xdm分享分享研判的一些技巧。(本篇不包括应急处理,后续或许会挖这方面新的坑,仅仅分析研判技巧。
2024-04-09 11:08:56 1044
原创 安全设备篇——防火墙
这么快就到总结了,防火墙其实真的是很简单的设备,这里还是以安全厂家的主流产品防火墙的角度去切入的,所以篇幅很短,当然了,很多细节诸如策略优先级等这里基本略过了,各家厂商的防火墙介绍在官网还是能查到的,所以就不替大家复制粘贴了,防火墙也是安服仔们必须知道的设备,不然封个恶意IP都懵逼,肯定会被甲方爸爸赶出去的。),指定a、b的区域,指定访问的端口,锁定策略。简单点说呢,对象就是你需要指定的目标,比如a的IP地址需要访问b的IP地址,此时a即为源地址,b为目的地址,a和b都是对象,需要先新建a和b两个对象。
2024-04-07 09:56:29 1255
原创 安全设备篇——EDR
但是从我个人角度出发这也是edr的侧弱点,对个人主机来说主动防御是几乎唯一的需求,但对服务器来说这是很单一的侧向,edr关注的更多只是端点安全,而忽略了点到点之间线段的安全,这就像是你的快递在到菜鸟驿站之前如果被抢劫了,你也没辙,这就需要找个强大的派送员来“押镖”,这就引出了XDR。Edr只是个概念,落实到产品上各家安全厂商都有自己的利器,先来说说鼠鼠用过的,某深x服的和微某步的edr都用过,还有某一所的,天擎也不用说了,九成九的安服仔都用过,大家感兴趣的都可以去官方主页搜一下。
2024-04-05 13:52:15 2078 1
原创 安全设备篇——态势感知
传感器其实就是探针,探针用来镜像流量,而态感就通过读取探针镜像的流量来分析数据的。其实网上很多有关安全设备的帖子,且各大厂家官网的产品详情也是介绍的清清楚楚的,开启此篇章的目的(除了水)主要是给刚入门的小师傅们尽可能通俗易懂的介绍各类安全设备的用途,而今天的主角就是——态势感知。说的稍微儿童一点,以图片中的规则为例子,就是态势感知会去看流量中有没有这些payload,如果有就判断为sql注入嘛,我这里写的比较水,当时实习也没什么空搞这玩意,应该分的细一点的,比如联合注入啊盲注之类的。
2024-04-04 12:23:15 3555
原创 冰蝎php马静态免杀
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
2024-04-02 13:01:55 1340 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人