- 博客(131)
- 资源 (4)
- 收藏
- 关注
RSS订阅
原创 安全工具 | AWVS漏洞扫描工具安装、使用技巧及注意事项(附工具下载链接)
AWVS(Acunetix Web Vulnerability Scanner)是一款常用的Web应用程序漏洞扫描工具,业界排名Top3,它可以自动扫描Web应用程序并发现其中可能存在的漏洞,包括SQL注入、跨站脚本、文件包含等安全漏洞。
2024-05-19 14:19:15
2543
原创 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
综上所述,0day 漏洞是指漏洞被公开披露后即被攻击者利用的漏洞,1day 漏洞是指在第一天内发布修复程序的漏洞,而 nday 漏洞则表示补丁修复延迟的漏洞。推荐阅读一、网络安全常用术语解读系列(持续更新中)「 网络安全常用术语解读 」杀链Kill Chain详解「 网络安常用全术语解读 」点击劫持Clickjacking详解「 网络安常用全术语解读 」悬空标记注入详解「 网络安常用全术语解读 」内容安全策略CSP详解「 网络安全常用术语解读 」同源策略SOP详解。
2024-04-21 13:42:37
3438
原创 不报辅导班一次性通过CISSP经验分享(附:备考教材、往年真题及个人学习笔记)
CISSP(Certified Information Systems Security Professional,注册信息系统安全专家)是一种国际认可的信息安全管理专业认证。CISSP认证由国际信息系统安全认证联盟(ISC)²提供,是全球范围内最受尊敬的信息安全专业认证之一。CISSP认证涵盖了信息安全的多个领域,包括安全和风险管理、资产安全、安全工程、通信与网络安全、身份和访问管理、安全评估与测试、安全运营。要获得CISSP认证,考生需要通过CISSP考试。
2023-11-12 16:37:20
2184
15
原创 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞。
2023-03-11 13:06:32
7966
原创 网络安全领域五大注入攻击类型介绍
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。
2024-07-21 21:59:07
700
原创 网络安全常用易混术语定义与解读(Top 20)
没有网络安全就没有国家安全,网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!
2024-07-21 20:42:04
842
原创 护网正当时 | 某知名网络安全公司的官网竟变成了一张静态图片,还有比这更安全的官网么!
目前该公司最近一个交易日的股市价格为14.99元,期待下周一开市的股价表现。猜猜看此波操作会不会产生蝴蝶效应。也静待知道内幕的同学能分享下信息,如果大家也有一些思考或想法欢迎留言区交流讨论~
2024-07-20 23:19:07
200
原创 收藏 | 恶意软件的九大家族介绍
恶意软件(malware)是指被专门设计用于损坏或中断系统、破坏保密性、完整性和/或可用性的软件,我们常说的病毒和特洛伊木马都属于恶意软件。定义范围: 恶意代码是一段具有恶意目的的程序代码片段,可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念,通常指完整的、可执行的恶意程序。功能完整性: 恶意代码可能只是实现特定恶意功能的一部分代码,不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。传播方式: 恶意代码可能嵌入在正常的软件或文件中进行传播。
2024-07-19 07:35:52
496
原创 如何构建全生命周期的安全体系架构来确保容器的安全?
容器技术在云原生应用和微服务架构中得到了广泛应用,其轻量、灵活和高效的特点使其成为现代IT环境中的重要工具。然而,尽管容器带来了许多优势,但其安全性问题也不容忽视。接下来跟随博主一起探索如何构建全生命周期的安全体系架构以确保容器的安全。
2024-07-15 22:48:05
675
原创 到处都在提数据安全,可什么是数据安全?有哪些相关法律法规和技术国标?
随着大数据、人工智能、区块链、云计算等新技术和产业的快速发展,数字化数据呈指数级增长,数据共享流通、开发利用的诉求愈发强烈。由于这类数据本身存在易于复制、确权困难的特点,数据在快速释放价值的同时,数据的安全风险也与日剧增。根据《中华人民共和国数据安全法》(2021年9月1日实施)的定义,数据安全是指通过采取必要措施对数据进行有效保护和合法利用,以及确保数据在使用过程中的安全性。数据+安全”强调的是数据的合法利用和有效保护间的动态平衡与持续保护。数据存储安全:确保数据在存储过程中不被非法访问、泄露或破坏。
2024-07-14 20:01:41
853
原创 护(H)网(W)行动正当时:你对HW知多少,一文带你全面了解护网行动
护网行动是由公安部牵头组织的一系列网络安全攻防演练活动,旨在评估和提升企事业单位的网络安全防护能力。每年的国家级护网行动一般在7、8月左右开始,持续2~3周时间,省级和市级的护网行动则相对短一些。攻防两方的组织:护网行动通常由公安部统一指挥,分为红队和蓝队两方。红队模拟黑客进行网络攻击,而蓝队则负责防守和应对这些攻击。实战攻防演习:每支队伍由3-5人组成,明确目标系统,并不限制攻击路径。进攻方会在一个月内对防守方发动网络攻击,以发现并暴露存在的安全漏洞。漏洞扫描与应急响应。
2024-07-12 08:00:16
1308
原创 我国网络安全领域有哪些法律法规?主要内容是什么?
在中国,网络与信息安全方面的法规主要有以下九个。分别是《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》、《反恐怖主义法》、《电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《关键信息基础设施安全保护条例》。
2024-07-07 22:18:03
1766
4
原创 Web漏洞扫描工具AppScan与AWVS测评及使用体验
AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描的问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程中使用AWVS,在针对重点或高风险版本使用AppScan进行查漏补缺。
2024-07-06 22:37:55
1334
原创 网络安全领域国标分类汇总大全V1.0版:共计425份标准文档,全部可免费下载
技术标准是安全建设的尺子。我国目前已经建立了一个与《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律规范相协调的标准体系。这个体系在确保网络空间的安全和促进网络治理结构的转型中,起到了至关重要的基础性规范性指导性作用。它能够全面地指导和规范需求方、供应方、监管方等不同层面的单位行为,从而科学高效地推进网络安全建设、软件与产品的研发、以及相关评估与认证工作。博主『筑梦之月』历时三周终于完成了上述安全标准体系的梳理,标准更新到2024.7.1号。接下来分享给大家学习。
2024-07-06 14:55:14
924
原创 轻松掌握X.509数字证书全解析,附赠权威详解资料!一读通透,安全之旅从此启程!
我们常见的.pem.pfx后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信中,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?
2024-06-25 07:43:41
1356
原创 常用网络安全国家标准分类汇总(含下载链接)V1.0版本-2024.6.21
为了更好地帮助网络安全领域的朋友们在安全洞察、方案策划交流与执行阶段轻松运用标准,博主筑梦之月凭借超过十载的实战经验,精心挑选并系统整理了200+ 个常用的网络安全国家标准,并以项目实施的类型和需求为维度进行分类,共分31大类相信这份精选集能为您的工作提供坚实支持。当然,如果还有任何遗漏之处,敬请指出,博主会持续优化和完善。
2024-06-21 22:28:17
1585
原创 安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导(附工具下载链接)
HCL Software 是 HCL Technologies(HCL) 的一个部门,负责运营其主要软件业务。它在 DevOps、自动化、数字解决方案、数据管理和大型机领域开发、营销和支持多款产品系列。HCL Software 在世界多地设有办事处和实验室。AppScan 与 AWVS、Burp Suite 列为业界排名Top 3 的Web漏洞扫描工具。若对另外两款工具感兴趣,可以参阅博主文章。
2024-06-21 07:19:55
1072
原创 全球网络安全标准组织有哪些?一张图带你全部Get!
全球范围内有多个组织和机构致力于制定和推广国家安全标准。这些组织通常负责制定安全框架、指导原则、最佳实践和标准,以帮助保护国家的关键基础设施和信息系统。以下是一些主要的国家安全标准组织。
2024-06-15 22:44:44
969
原创 网络安全知识全景地图V1.0 - 20240616更新
此全景地图提供了一个大致的框架,是网络安全领域的一个高层次概览,可以帮助个人和组织理解网络安全领域的主题。每个主题都可以进一步细分为更具体的内容,并且随着技术、新威胁及新法律法规和标准的发展,新的主题和工具也会不断出现。因此,保持持续的学习和适应是网络安全专业人员的重要职责,如果你也关注网络安全领域,请关注博主,我们一起跟随并学习、掌握与应用网络安全的前沿技术。
2024-06-15 22:10:57
1333
原创 如何看待黑客入侵我们的电脑?会有哪些影响?如何感知及应对?
黑客入侵电脑是一种严重的安全威胁,不仅会对个人,甚至可能对组织造成多方面的影响。我们在日常生活及工作中应该注意防范并能做到及时感知。
2024-06-12 22:01:33
1572
原创 网络安全领域六大顶会介绍,涨知识必备,赶紧收入囊中!
从事网络安全工作,以下六个顶会必须要知道,很多安全的前沿技术都会在如下会议中产生与公开,如下会议发表论文大部分可以公开下载。这些会议不仅是学术研究人员展示最新研究成果的平台,也是行业专家进行面对面交流和洽谈业务合作的重要契机。通过参加这些顶级会议,参与者可以了解最新的安全趋势和工具,推动网络安全领域的发展。
2024-06-06 08:09:35
1212
原创 探索安全之道 | 企业漏洞管理:从理念到行动
网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管理体系,提高企业的网络安全水平。而在实践中,企业需要注重漏洞管理的全过程,包括漏洞的发现、评估、修复和验证。只有这样,才能让企业的网络安全更加可靠,让客户和用户放心使用企业的产品和服务。
2024-06-02 21:46:46
1683
原创 140+ 款常用安全工具分类汇总,全网最全清单,只此一份!(内含工具获取链接,收藏不迷路)
本文汇总了140+款常用的安全工具,覆盖渗透测试的各个环节,黑客及安全从业者的常用工具几乎都涵盖了,若有缺失,欢迎随时留言补充!
2024-06-01 22:50:13
1045
原创 容器技术基础理论与常用命令:必知必会,效率翻倍!
如何利用容器技术提升你的工作效率?掌握基础理论和常用命令是必不可少的,本文将为你全面介绍容器技术,并教你必知必会的技能,让你工作、学习效率翻倍,对于网络安全工作者也是必不可少的技能!
2024-06-01 08:53:29
1362
原创 安全工具合集:内含渗透测试及黑客利器(持续更新中)
安全工具 | Burp Suite专业版本安装配置及使用指导安全工具 | Nessus漏洞扫描工具安装、使用技巧及注意事项安全工具 | AWVS漏洞扫描工具安装、使用技巧及注意事项(附工具下载链接)安全工具 | SCA工具ScanOSS介绍、安装及使用技巧安全工具 | 软件成分分析工具Black Duck,业界排名TOP 1的SCA工具「 CodeQL从入门到精通系列 」02.CodeQL安装指导及使用方式MacOS环境下Kali Linux安装及使用指导
2024-05-28 22:46:00
824
原创 安全术语 | 软件包purl详解:跨工具、数据库、API和语言之间可靠地识别和定位软件包
我们通过大量消费和生产软件包来构建和发布软件,如Maven、Gradle、NPM、RPM、Rubygems等。每个软件包管理器、平台、类型或生态系统都有自己的约定和协议来识别、定位和提供软件包。当工具、API和数据库处理或存储多个包类型时,很难以统一的方式跨工具引用同一个软件包。例如,这些工具、规范和API使用相对相似的方法来识别和定位软件包,每个软件包在语法、命名和约定方面都有细微的差异:1、Sonatype 使用组件标识(component Identifier)来区分不能组件。
2024-05-28 21:48:18
1592
原创 安全设计 | CISA:构建默认安全的软件,软件安全设计的未来之路
CISA发布的《软件安全设计的原则和方法》文档提供了一系列具体的建议和策略,包括威胁建模、最小权限原则、默认安全配置、纵深防御、安全编码实践、持续监控和响应、安全更新和补丁管理等,以帮助软件制造商实现这些原则。文档强调了国际合作的重要性,并呼吁行业反馈,以共同提高全球软件安全标准。通过这些努力,文档旨在促进一个更安全、更有韧性的技术生态系统,其中技术产品在设计和默认状态下都是安全的。(共36页,访问密码: 6277)
2024-05-26 11:23:35
1298
原创 安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
2024-05-26 07:55:37
1411
原创 安全设计 | Microsoft 威胁建模工具Threat Modeling Tool安装、使用及威胁生成原理详解(文末附样例)
微软 SDL 威胁建模方法涉及创建关系图、识别威胁、缓解问题和验证每个缓解操作。下面的关系图重点突出了此过程。在识别分析威胁时又用到了SRIDE方法。若想了解更多细节,可以关注博主,参阅博主前期文章。
2024-05-25 06:35:29
1605
原创 重新夺回控制权!原创始人从Synk回购FossID,致力于解决开源许可合规风险
FossID可帮助组织或企业保护软件免受软件供应链中第三方组件带来的安全、法律和操作风险的影响。FossID的软件组成分析(SCA)工具集可以在代码中查找所有开源软件,并突出显示关键的安全漏洞、许可证限制和违反策略的情况。使用FossID可以构建最准确的软件物料清单(SBOM),包括开源和商业组件。FossID 的使命始终是通过为企业配备准确、快速和自动化的软件构成分析 (SCA) 工具,帮助企业最大限度地提高开源软件采用效率。FossID相信协作的力量,合作可以激发创新。
2024-05-24 22:29:10
1396
原创 开源软件 | 一文彻底搞懂许可证的定义、起源、分类及八大主流许可证,让你选型不再头疼
开源许可证是一种法律协议,它规定了软件代码可以被如何使用、修改和分发。其中,著作权是指对于软件代码的创作者所拥有的法律权利,包括复制、发布、演绎等权利。分发是指分发指软件作者向他人提供软件源代码或二进制代码或二者的副本。著作权法默认禁止共享,没有许可证的软件就不能免费地使用、修改、共享。在开源许可证中,通常会涉及到著作权许可授权的问题。这些许可协议可以分为两大类:强制性许可证和非强制性许可证。强制性许可证要求使用该软件的用户必须遵守特定的协议,否则将面临诉讼风险。
2024-05-24 21:46:58
2560
原创 安全厂商 | Snyk:一家专注于应用安全的独角兽企业,2024年市值竟跌了近50%!
Snyk是一家总部位于英国伦敦专注于开源治理安全公司,提供开源软件漏洞检测和修复服务。Snyk由以色列人Assaf Hefetz、Danny Grander和Guy Podjarny于2015年创立。公开披露的信息展示,2022年 12月 13日,Synk在G轮融资中以74亿美元的估值融资了1.96亿美元。2023年4月18日,Snyk以510亿人民币的企业估值入选《2023·胡润全球独角兽榜》,排名第99位。
2024-05-22 22:16:59
1510
原创 「 网络安全常用术语解读 」静态应用安全测试SAST详解
静态应用安全测试 (SAST,Static Application Security Testing) 也称静态分析,是一种测试方法,通过分析源代码来发现应用受到攻击的安全漏洞。SAST 在编译代码之前扫描应用,故又经常被称为白盒测试。
2024-05-20 07:07:25
1318
原创 安全工具 | SCA工具ScanOSS介绍、安装及使用技巧
SCANOSS是第一个价格合理、完全开源的OSS组件和情报平台,专门为现代DevSecOps和供应链构建,使他们能够为DevSecOps团队及其供应链合作伙伴提供更大的许可证、安全性、质量和来源可见性和控制。通过让开发人员能够专注于编写他们和他们的团队完全信任的优秀、安全和兼容的代码,应用程序可以更早地完成,其质量始终更高,开发成本也大大降低。开源版本知识库一般按季度更新,如果企业或组织想获取更快的更新,需要购买SCANOSS商业版本。
2024-05-19 22:05:00
1263
原创 静态应用安全测试 SAST 与动态应用安全测试 DAST 有何区别?
由于泄露事件的数量不断增加,各组织日益重视应用安全。他们希望识别应用中的漏洞,并提早降低风险。有两种不同类型的应用安全测试:静态应用安全测试 SAST 和动态分析测试 DAST。这两种测试方法都能识别应用中的安全漏洞,但它们却又截然不同。
2024-05-19 22:04:39
1218
原创 OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告
在介绍过OWASP Benchmark后,我们已经知道了OWASP 基准项目的价值,可以用于评估SAST及DAST工具的规则检测能力,在本文将会重点介绍如何用Docker镜像安装配置OWASP Benchmark项目,以便将其应用于SAST/DAST工具的能力评估。
2024-05-19 15:04:17
918
原创 OWASP Benchmark | OWASP 基准项目介绍
市面上的静态代码检测SAST工具越来越多,除了业界比较知名的Coverity、Fortify、CheckMax,还有CodeQL、SonarQube、CppCheck等,国内也涌现了一大波检测工具,如鸿渐SAST、奇安信代码卫士、北大Cobot、酷德啄木鸟等,市场上能叫上名的SAST工具约200+种。不同SAST工具检测能力差异较大,比如支持的扫描规则,扫描规则能力。如何有效衡量这些检测工具规则扫描能力,给企业选型SAST工具提供参考,成为了一项业界难题。
2024-05-19 09:17:36
1072
原创 一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
2024-05-14 21:58:05
2175
原创 NIST权威漏洞库NVD竟存在大量CVE分析积压问题,NVD未来将何去何从,会不会运营中断?安全界纷纷支招
美国国家标准与技术研究院 (NIST) 运营的世界上最全面的漏洞数据库国家漏洞数据库 (NVD) 开始面临漏洞丰富的挑战。根据其自己的数据,NIST 仅分析了今年迄今为止收到的 14,228 个常见漏洞和暴露 (CVE) 中的 4523 个,分析占比不足32%。据了解NIST内部目前正在发生一些神秘的事情,如果此类问题不能迅速解决,可能会对安全研究人员社区和全球所有组织产生重大影响,甚至可能会使许多组织容易受到威胁行为者的攻击。
2024-05-14 07:40:00
1214
原创 「 安全设计 」68家国内外科技巨头和安全巨头参与了CISA发起的安全设计承诺,包含MFA、默认密码、CVE、VDP等七大承诺目标
美国网络安全和基础设施安全局(CISA,CyberSecurity & Infrastructure Security Agency)于2024年5月开始呼吁企业是时候将网络安全融入到技术产品的设计和制造中了,CISA于近期发起了安全设计承诺行动,该承诺旨在补充和建立现有的软件安全最佳实践,包括 CISA、NIST、其他联邦机构开发的最佳实践以及国际和行业最佳实践。 CISA 继续支持采用补充措施,以推进安全的设计态势。目前国外主流安全厂商(如Veracode、Sonatype、Qualys)
2024-05-12 22:04:41
1083
1
MFC多媒体播放器【录音+录像+播放音乐、视频、图片等】
2015-01-10
清华大学公开课讲义
2013-12-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人