墨痕诉清风的博客

web应用是通过使用javaScript、HTML5等web技术来实现交互、导航以及个性化功能的。web应用可以在移动端设备的web浏览器中运行，并通过向后台服务器请求web页面来进行渲染。一个web应用可以有浏览器渲染的版本，也可以有作为独立应用的版本。安卓使用了类似Unix中的文件系统来进行本地数据存储，用到的文件系统有十几种，如FTA32、EXT等。事实上，安卓系统中的一切都是文件。安卓在filesystems这个文件中存储了许多详细的信息，比如内置应用等。

只要你的 S3 对象存储桶名暴露，任何人都有能力刷爆你的云账单。作者：Maciej Pocwierz[1] ，译者：冯若航原文：https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1试想一下，你在自己喜欢的区域创建了一个空的、AWS S3 存储桶。第二天早上，你的 AWS 账单会是什么样子？

无文件落地攻击（）是一种高级的网络攻击技术，它利用操作系统或应用程序的漏洞，通过在内存中运行恶意代码而不在受攻击系统上留下任何可检测的文件痕迹。与传统的恶意软件攻击不同，无文件攻击不需要依赖传统的恶意软件文件来实施攻击，从而增加了攻击的隐蔽性和成功率。无文件攻击通常利用合法的系统工具和功能，如PowerShellWMI）、注册表等，来执行恶意代码。攻击者可以通过操纵这些合法工具来加载和执行恶意代码，并将其驻留在受害系统的内存中。由于没有文件被写入磁盘，传统的防病毒软件和安全工具难以检测到这种类型的攻击。

机器人验证码，作用防护机器人。

webshell的变迁过程大致如下所述：web服务器管理页面——> 大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高：攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多。Webshell内存马，是在内存中写入恶意后门和木马并执行，达到远程控制Web服务器的一类内存马，其瞄准了企业的对外窗口：网站、应用。

其中，信息收集阶段是关键，需要尽可能多地收集目标系统的各种信息，如脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等。而智能漏扫覆盖了传统漏扫的所有姿势（图4），且可对资产暴漏面进行全方位的规划、收集，不仅可以检测已知漏洞，包含零日漏洞、OWASP传统漏洞、自动提权及横向移动，有效的节省了人力及时间成本，对于中小企业有着显著帮助。为了实现人工智能与网络安全的良性发展，需要加强技术研究和创新，同时加强法规和政策的制定，确保网络安全和个人隐私的保护。

SDLC（Systems Development Life Cycle）是系统开发生命周期的英文缩写，是一个用于规划、开发、测试和维护信息系统的框架。它提供了一个系统性的方法，以确保在开发过程中每个阶段的有效性和质量。SDLC将信息系统开发过程分为几个阶段，包括规划、需求分析、设计、开发、测试、部署和维护。在SDLC中，规划阶段是至关重要的，因为它涉及到确定项目的范围、目标、限制和约束。需求分析阶段则是收集和理解用户需求的过程，以便为项目提供明确的指导。

在cookies中，Expiry是一个属性，用于设置cookie的有效期。它指定了cookie在客户端浏览器中保存的时间。当用户访问一个网站时，服务器会在响应中发送一个包含cookie的文本文件给客户端浏览器。这个文本文件包含了网站设置的cookie属性。Expiry是其中的一个属性，它告诉浏览器在什么时间之后，这个cookie就应该被删除。如果Expiry属性被设置为一个正数，那么cookie将在浏览器关闭后的一段时间内有效，这段时间以秒为单位。

QNX是一种实时操作系统（RTOS），由加拿大QNX Software Systems Ltd.（现为BlackBerry QNX）开发和维护。它是一种可嵌入式的操作系统，广泛应用于各种领域，包括汽车、航空航天、工业自动化、医疗设备和物联网等。QNX具有高可靠性、实时性和安全性的特点，适用于对系统响应时间有严格要求的应用场景。它采用微内核架构，使得系统具有良好的可扩展性和可定制性。QNX还提供了许多先进的特性，如多核处理器支持、分布式消息传递机制、实时调度算法和内存保护机制等。

【代码】Windows应急响应操作手册。

https://www.freebuf.com/articles/system/220061.htmlhttps://www.freebuf.com/articles/system/220573.html注入exe文件PE头，打开时发出“嘟”的一声#include "stdafx.h"//包含必要的头文件#include <windows.h>...

是Docker命令行工具提供的一个命令，用于获取有关Docker对象（如容器、镜像、网络等）的详细信息。命令输出的结果是一个JSON格式的文本，包含有关Docker对象的详细信息。快速定位镜像文件系统在宿主机上对应的目录，从镜像中提取恶意文件进行对比，以确认入侵的源头为恶意镜像。从镜像中提取 Dockerfile，在这里可以清晰地看到恶意镜像构建的过程，找到恶意挖矿程序的样本。是要检查的Docker对象的标识符，可以是容器ID、镜像ID、网络名称等。追溯镜像的来源，解析Dockerfile文件是关键步骤。

借助IaaS，你可以根据需要购买所需的产品，并随着业务的增长购买更多的产品。艾媒咨询分析师认为，新冠肺炎疫情的出现和延续，缩短了市场SaaS的应用周期，提高了远程办公、在线教育等领域SaaS应用的渗透率，加速了SaaS发展。PaaS是一种云计算服务模式，在这种模式下，云服务提供商提供一个完整的应用开发和部署平台，包括硬件、操作系统、开发工具、数据库和网络等。如图，伴随基础资源的搭建，部分具有雄厚资本和丰富资源的上游云服务商和中游企业直播平台，其业务能力逐步向PaaS级升级，产业链也随之延伸拓展。

RAID（Redundant Array of Independent Disks）是一种数据存储技术，通过将多个独立的物理硬盘组合成一个逻辑卷，以提高数据存储的性能、容错性和可用性。RAID技术在数据存储领域广泛应用，提供了不同级别的数据保护和性能优化。具体选择哪种RAID级别取决于数据的重要性、性能需求和成本预算。同时，需要注意RAID并不能替代备份，定期的数据备份仍然是必要的。

HTTP响应报文通过Set-Cookie通知客户端需要保存如下cookie;可以含多个Set-Cookie项<a></a>。由服务器发送一个HTTP-cookie到浏览器。PHP函数setcookie()和setrawcookie()均可设置Cookie，它们都有一个boolean型的返回值，如果是false，代表设置失败；如果是true，代表设置成功。但这个返回值仅供参考，并不能保证100%客户端能够成功。

比如有的浏览器（IE）能够请求成功，而有的浏览器却请求失败（Chrome）。这不是因为前一个浏览器行为正确，而是因为前一个浏览器发出请求时没有带上。当我们的浏览器发出跨站请求时，行为正确的服务器会校验当前请求是不是来自被允许的站点。HTTP 协议中的 Origin Header。Header，才能进一步保证服务器的安全性。当服务器的配置出错时，比如配置成了。Header，所以认为这不是一次。Origin 仅仅包含站点信息，，则可能造成一些难以理解的问题。而后一个浏览器带上了正确的。字段的值来进行的判断。

一、RefererReferer是HTTP请求header中的一部分，其表示请求当前资源的客户端来源，当浏览器（或模拟浏览器行为）向web服务器发送请求的时候，头部信息里会携带Referer。例如：在 www.google.com 里有一个 www.baidu.com 超链接，当点击这个链接跳转到baidu的时候，浏览器向baidu发出的请求信息里就有：Referer=http://www.google.comReferer的正确拼写是referrfer，由于早期的HTTP规范的拼写错误，于

host用的最多的场景是：单台服务器设置多个虚拟主机时，比如host碰撞。若是没有host请求头，客户端的请求就不能标记出该访问哪一个虚拟主机了。http/1.1中必须包含host请求头，且只能设置一个。host的值为客户端请求的服务器的域名（或者ip）和端口。origin较referer更安全。

SameSite是Cookie中的一个属性用来限制第三方Cookie，从而减少安全风险。Chrome 51 开始，浏览器的Cookie新增加了一个SameSite属性，用来防止CSRF攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie，从而减少安全风险。Web 前端安全，从影响面看排名前两位的就是XSS 和 CSRF，其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。

NIST隐私框架是一个通过企业风险管理来改善隐私的工具，这是一个与不同行业利益相关者合作开发的工具包。隐私框架的愿景是帮助组织识别和管理其隐私风险，目标是保护个人隐私。它还有助于打造具有集成隐私功能的创新产品和服务。为了实现“设计隐私”，使用NIST隐私框架，您在设计和部署影响个人的系统、产品和服务时将隐私考虑在内。您正在与所有利益相关者沟通您的组织隐私实践。您意识到，在与其他国家和司法管辖区打交道时，隐私问题可能会有所不同，例如，在欧盟内部运营或与欧盟打交道时，隐私问题可能会不同。

每个用户的信息与其他用户保持隔离，即使他们使用相同的程序。然而，在现代云计算中，该术语具有更广泛的含义，指的是共享云基础设施而不仅仅是共享软件实例。传统资产风险管理工具虽具备多租户统一管控的能力，但是部署架构的特性使其无法与云平台架构深度融合，无法从云原生的视角对云资产进行风险检测。虽然原生云基本都有自己的漏洞扫描能力，但是无法满足企业对云租户及其资产风险进行统一管控的需求。多租户是云计算的重要组成部分，没有它，云服务将远不实用。他们共享资源，云客户也不知道彼此，他们的数据是分开的。

表 1 显示了一个简单但有效的小示例，可以用来记录所有的 CASB 用例。和BYOD的问题，尤其是随着SaaS服务的快速发展，从底层硬件资源到上层软件资源，最终用户都无法实施控制，因为企业用户使用了哪些云服务和用什么设备访问这服务都不受企业管控，从而。最早是2012年由Gartner提出的概念，Gartner 将云访问安全代理（CASB）市场定义为云服务所必备的产品和服务，用来解决组织使用云服务时的。CASB 监测用户在云中的操作，并采用适用于该活动的策略和控制措施。，而CASB能很好解决此类问题。

组织决定的存留策略叫DRP。DRP灾难恢复计划（Disaster Recovery Planning） 灾难恢复计划是一个全面的状态，它包括在事前，事中，和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。在中断的情况下提供后备的操作，在事后处理恢复和抢救工作。

CMDB存储与管理企业IT架构中设备的各种配置信息，它与所有服务支持和服务交付流程都紧密相联，支持这些流程的运转、发挥配置信息的价值，同时依赖于相关流程保证数据的准确性。同步指确保CMDB中的信息能够反映联合数据源的更新情况，在联合数据源更新频率的基础上确定CMDB更新日程，按照经过批准的变更来更新 CMDB，找出未被批准的变更；配置管理——超越了资产管理，它保留了配置项的技术信息、配置项相互关系的详细信息及配置项的标准化和授权状况等方面的信息，还监控对当前信息的反馈。配置管理面向消费，发挥数据价值；

云作为一股改变世界的技术趋势，正被各种类型的组织所采用，基于云的数字化转型在加速进行。伴随着云计算一同快速发展的一个重要问题就是安全性。在云安全中一个首先需要使用者清晰的概念就是责任共担模型。由于云相关的复杂性，在开始之前我们需要清楚一些与责任共担模型相关概念。云安全是一个需要多方协同的安全体系，除云计算提供者，云服务用户也在服务链中有至关重要的影响，Gartner预估到2025年，99%的云安全事件将源于用户配置错误。

但是，许多重大的安全漏洞往往出现在网络内部，例如园区内部员工在浏览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并在内网传播，产生严重的安全隐患。设备端通常为支持 802.1x 协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。“基于端口的网络接入控制”是指，在局域网接入设备的端口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。是为设备端提供认证服务的实体。对用户终端的安全性进行检查，只有“健康的、安全的”用户终端才可以接入网络。

软件定义网络SDN（Software Defined Network）是由美国斯坦福大学CLean Slate研究组提出的一种新型网络创新架构，可通过软件编程的形式定义和控制网络，其控制平面和转发平面分离及开放性可编程的特点，被认为是网络领域的一场革命，为新型互联网体系结构研究提供了新的实验途径，也极大地推动了。在扁平控制方式中，各控制器放置于不同的区域，分管不同的网络设备，各控制器地位平等，逻辑上都掌握着全网信息，依靠东西向接口进行通信，当。的扩展，单一控制器结构的SDN网络处理能力受限，遇到了。

SLA 面向外部客户服务级别协议，是 IT 服务提供方和客户之间就服务提供中关键的服务目标及双方的责任等有关细节问题而签定的协议。既然名为协议，一般就是用法律术语完成，其内容包含所提供服务的范围和质量。

BC/DR计划是指业务连续性计划（BC）和灾难恢复计划（DR）的综合计划。计划介绍BC/DR必须影响到企业的文化。如果没有为生产系统做好BC/DR的准备工作，那么当生产系统发生变更时，它们不会自动的在你的准备工作中体现出来。当真的需要实施灾备切换时，就无法预测切换是否能够成功，因为文档只更新到了它被发布的那天。BC/DR计划应该像生产系统那样融入至企业文化中。要回答这些问题的人不只是备份管理员，BC/DR计划需要大量的努力。

收集设备信息，设备功能管控，设备配置推送（wifi email vpn 什么的，设备设置里有的），企业app商店（应用发布什么的 ），都是继续移动os提供的标准接口来开发的，安卓有安卓的，苹果有苹果的，国外厂商同步的速度比较快例如airwatch，mobileiron 基本能做到0延迟支持最新系统。还有一种方案是定制，根据用户需求，跟设备提供商合作通过签名或sdk方式获得更多更特殊的功能，但是只支持安卓，国内排名靠前的厂商基本都支持例如国信灵通。

IPSec是一系列为IP网络提供完整安全性的协议和服务的集合，能为上层协议和应用提供透明的安全服务。所谓透明，就是在整个IPSec的工作过程中，用户是感知不到的。这就很nice了，既保证了用户的数据安全，又不给用户添麻烦。IPSec是一组IP安全协议的集合，是一个体系结构，由AH和ESP协议、加密和认证算法、密钥管理和安全协商组成。IPSec为通信两端设备提供安全通道，设备可以是主机、路由器或防火墙等。AH协议​。

在区块链网络中，用户创建新身份或者新节点的成本极低，因此攻击者大量利用这一特性来发动Sybil攻击，通过伪造自己的身份加入区块链网络，在控制了若干节点以及节点身份之后，就可以做出一些恶意的行为：例如误导正常节点的路由表，降低区块链网络节点的查找效率等。Sybil攻击对区块链网络的影响主要体现在以下几个方面：虚假节点加入：在遵循区块链网络协议的基础上，任何网络节点都可以向区块链网络发送节点加入请求消息。利用这个过程，Sybil攻击者可以获取大量的区块链网络节点信息来分析区块链网络拓扑。

远程过程调用（英语：Remote Procedure Call，缩写为 RPC）是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序，而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程，那么远程过程调用亦可称作远程调用或远程方法调用，例：Java RMI。RPC 一般直接使用 TCP 协议进行通信，通常不涉及到 HTTP。HTTP 下面有2种技术：Web service 和 RESTful API 都可算作远程过程调用的子集。

还有就是 K8S 对于开发者来说是一个黑盒，不知道怎么去获取对应的流量，这些问题让人感到非常棘手，那么 Variance 就是用来帮助开发者能精准快速的获取流量的，并且支持 namespace 级别的获取流量，以及可以动态的更新当前 namespace 的 pod（ip 变更，pod 新增，pod删除等操作）。根据获取流量这种特殊的功能，需要确定的是获取流量一定要是非常稳定的，需要一直存在并且只需要一个就行不受其他的 Pod 所影响，为了满足这个要求，我们选择 Daemonset。

6年前，微软推出智能聊天机器人Tay，因她从不良用户那里“学坏”，小姑娘只好被下线结束了短暂的生命。最近，微软投资OpenAI推出了ChatGPT，它在安全性上一定大有改善，但是人工智能带来的安全风险有很多未知数，在这篇文章中提出了他对ChatGPT安全问题的见解，这对用户、厂商、监管部门都很有参考价值，CSA大中华区专家们快速将此文翻译为中文，希望也懂中文的ChatGPT能在中外都经受考验成为人们的终生聊天好伙伴。李雨航 Yale LiCSA 大中华区主席兼研究院院长。

黑产通过撞库攻击盗号成功之后，通常会登录账号查看玩家账号等级、资产、装备等信息（晒号），若账号不存在二次验证，黑产会在极短的时间将金币等资产、装备进行转移，甚至分解掉不能转移的装备（洗号），不仅给玩家造成财产损失，也给游戏平台口碑及生态造成破坏。，且不受AI流量波动影响，可以快速判定API存在的风险攻击事件，帮助企业全面梳理API资产、预防发现阻断API攻击、提升风险事件的响应速度、防止流动敏感数据泄漏，更好地护航企业的业务和数据安全，显然，技术领导者已经意识到了API带来的价值，

本人对RTF的混淆方式了解还不是很全面，难免会有纰漏，欢迎指正和补充。本人所实现的hook是基于frida的，整体实现十分简洁，准备部分是由python实现的，hook部分是用js实现的，python部分没啥可说的，很容易理解，可以看一下frida官方给出的例子，以及DarunGrim的Using Frida For Windows Reverse Engineering这篇文章，且这篇文章写的非常精彩，它为我们提供了基于frida hook对office宏指令进行有效处理的方法，值得学习。

全流量分析是非常重要的, 可以用来进行资产发现、网络监控和可视化，对安全而言，通过对网络流量的分析，对流量构建基线建模，从流量中可以发现异常、风险以及检测攻击，从流量中也可以实现数据内容提取，发现潜在的敏感数据流动或者泄露，还可以进行 ACL 策略校对，并将网络流量产出的数据特征通过机器学习和专家分析，可以挖掘更多的信息以及进行取证溯源和事件回查。QNSM。

DNS（domain name system）主要用来把人类可识别的域名解析成网络层的IP地址。这个过程中负责查询的组件称之为DNS Resolver，它会查询本地cache和远程的DNS server。DNS server的IP地址可通过DHCP协议获取或者人为配置，端口号固定为53，传输层协议为UDP。

yum安装的时候会自动创建组和账户。由于公司Exchange环境的邮件过滤的硬件设备存在单点故障又不想再花更多的费用去做这方面的投资，所以想通过Postfix工具实现一个冗余的方案。从上面的这个图片，我们就可以看到，postfix，把邮件接收下来后，交给amavisd-new，让他想办法，解决杀毒，垃圾邮件过滤的问题。可以这样理解，postfix，的所有额外的功能，都需要通过他才能实现。（邮件传输代理）软件，是linux世界的一个开源的邮件传输代理工具，通过一些组件可以实现反垃圾邮件和防病毒的功能。