- 博客(65)
- 收藏
- 关注
原创 安全管理如何避免无意义的消耗
如果你是一个安全从业者,你有没有被无意义的消耗过?如果是公司的管理,有没有发现各种汇报多如牛毛,但是安全问题该出还是出?多年前,有一次去例行给甲方做项目,甲方签署了多年的安全评估合同,每年四五个系统的样子。那年去了甲方现场,和客户沟通都正常,唯一有点无奈的时候,客户拿出了一个商业化产品让我们做漏洞挖掘,我委婉的提示一下,挖掘第三方的商业应用不但不合法,挖出来也是0day,原则上安全风险已经是很低的。但是客户明确表示要挖掘,而且提供他们公司的渗透授权(当然这是不够的)。
2024-10-16 10:46:40 910
原创 AI时代互联网信息的几点隐忧
笔者最近一年关注的AI技术比关注的安全技术还多,AI从事实上的对内容生产工作者带来工作效率的提高,年初的时候比较关注的是如何在安全行业使用AI进行赋能,领导也给了类似的命题,让我思考如何让AI在安全行业发力。目前已经看到的是有的安全企业用AI协助进行安全事件分析,也有的企业使用AI进行综合安全问题问答(NLP),也有的企业用AI做情报收集在综合整理。更是有的企业在研究如何用AI来打红队。
2024-10-08 14:55:08 322 1
原创 安全建设当中的冷门知识
今天说点有趣的话题,也是因为在安全建设过程中,安全员也不太可能都按照最理想的状态去工作,有资源的问题,有管理惰性问题,当然也有管理者本身决策的问题。安全行业起步较晚,16年才施行网络安全法,21年数据安全法才出炉,虽然经历过乙方厂商的大量宣传,但是你要说五六十岁的管理者很熟悉它,那也是不可能。甚至四五十岁的中层都不一定有多少了解。但是他们掌握着最终的决策权。
2024-09-13 11:33:42 1507 1
原创 应急响应那些不一样事儿
应急响应的概念较大,本文的应急响应专门指信息安全事件应急响应。其实应急响应完全可以扩展到极多的方面,都可以作为自己拔高的手段,前提是你能接触到老板。当前主流的应急响应流程是PDCERF法(Prepare准备)、Detection(检测)、Containment(抑制)、Eradication(根除)、Follow-Up(跟踪))。或者是六大阶段:准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结。
2024-08-06 10:10:10 590
原创 简单实用的企业舆情安全解决方案
企业舆情安全重要吗?其实很重要,尤其面对负面新闻,主动处理和应对,可以掌握主动权,避免股价下跌等,那么如何做使用简单实用的企业舆情解决方案呢?
2024-07-17 15:43:24 425
原创 逻辑类漏洞挖掘指南
逻辑类漏洞严格的说不算传统漏洞,它是基于程序逻辑产生,本身并不是bug,但是但是逻辑不严禁确实也产生了安全风险,逻辑漏洞在漏洞挖掘中属于必测的环境,下面就总结一下常见的逻辑漏洞。
2024-07-17 11:06:21 1108
原创 乙方安全从业者做甲方有哪些不同?
近期朋友失业较多,有找我诉苦的。让我对行业的寒冬又有一层新的理解,同时也有一个很有意思的事情,我在甲方的从业者朋友失业率明显低于在乙方从业的朋友。今天我试着说下这个事儿!
2024-07-15 14:21:15 1231
原创 安全开发基础篇-数据溢出
上一节我们简单讲解了多语言的数据类型,我们只需要知道这个概念,并且在不同语言有不同的规矩就好。这节讲数据溢出,严格说应该是字符串溢出和整数溢出。在软件开发中,字符串和整数溢出漏洞是常见的安全问题,它们可能导致程序崩溃、数据损坏甚至安全漏洞。不同的编程语言由于其内存管理和类型系统的不同,对这类漏洞的表现形式和处理方式也有所区别。按照安全常见的场景,本文将探讨PHP、Python、Java、C和Go(Golang)这几种语言中字符串和整数溢出的表现形式,并提供示例代码。
2024-07-11 10:38:23 1249
原创 认证和授权类漏洞挖掘指南
认证和授权机制的安全性对于保护系统至关重要。通过本文的介绍,希望能够提高大家对这些漏洞的认识,并采取相应的措施进行防范和修复。安全是一个持续的过程,需要我们不断地学习、检测和更新。
2024-07-10 18:21:22 1158
原创 甲方安全员应该持有什么心态
经常看到甲方的信息安全员(统称,管你是网络安全还是数据安全还是应用安全)工作到最后都是随便吧,领导咋说咋是,最后安全没做好,人缘也没维护好,老板也觉得你不行,如果各位有这种情况,那么请看我如何安利你。警告:风言风语,别跟我辩论。
2024-07-10 16:34:35 642
原创 安全开发--多语言基础知识
注释:还是要特别说明一下,想成为专业开发者不要看本文,本文是自己从业安全以来的一些经验总结,所有知识点也只限于网络安全这点事儿,再多搞不明白了。
2024-07-10 15:58:55 879
原创 大模型时代如何做安全?
各行各业都在努力促进AI的进步,纷纷开源自己的模型,而那些大的安全厂商,拿了别人的预训练模型却不舍得开源。5.yakit chatgpt,我不知道yakit的GPT仅仅是一个接口,还是有自己模型,但是我印象里,是第一个把gpt集成到渗透工具箱里的,只是他的大模型貌似没有私人订制的能力,最基本的都没有解放道德限制。2.利用大模型做安全运营,这个奇安信的大模型感觉就是这样,深信服的场景应该也是这样,大模型在流量分析,事件分析,应急响应,速度比人快,水平相当于中级师傅们的水平,那不是妥妥的。
2024-03-22 09:44:23 636
原创 企业信息安全建设的几大误区,你中了几个?
企业安全没有标准的建设模式一说,还有就是专业人才的短缺,作为审查工作合格与否的高层领导更是不懂得信息安全的相关知识,导致很多企业的安全员做安全建设时放飞自我,做了很多无用的工作。那么哪些行为是无用功呢?
2024-03-08 09:43:11 620
原创 认证授权--账户管理不规范测试用例
2.关闭系统登录入口自动存储密码的功能。系统自动存储密码,或系统存在僵尸账号。3.密码框的密码是否自动保存。4.密码框的密码是否可以复制。1.删除长期不登陆的僵尸账号。3.密码框的密码不可以复制。1.检查账户最后登录日期。2.检查系统登录入口功能。
2023-11-02 09:25:52 228
原创 认证授权--web弱口令爆破测试用例
检查中间件控制台、远程管理软件、数据库等第三方组件是否有弱口令,检查网站管理员、1.尝试使用常见密码如:123456,password,111111等尝试登陆。技术人员、客服人员是否使用了弱口令作为账号的密码,以及是否存在默认密码的情况。2.使用默认口令进行登陆,如设备的初始密码,身份证后六位等尝试登陆;黑盒测试弱口令只是一方面,还可以通过问询密码策略,白盒等方式进行判断。2.SSH,FTP,Mysql,RDP等端口开启且可爆破。2.限制用户最大登陆次数,超过一定次数禁止用户登录。1.修改弱口令为强口令。
2023-11-02 09:19:11 269
原创 认证授权--越权访问测试用例
流程描述:在服务器接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的访问。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。
2023-11-02 09:01:06 485
原创 xray的 webhook如何把它Hook住?^(* ̄(oo) ̄)^
xray可以通过webhook传递扫描信息,官方文档也是一笔带过,可能大多数人都不清楚,或者仅仅知道有这么个东西,但是不知道怎么使用,前阵子我通过抓取流量的方式抓到了参数,然后把这个请求解了,开放给大家看下,免得再在解包上浪费精力。上面是结构及解析,下面是一个基于gin使用例子。
2023-08-01 17:39:24 714
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人