- 博客(49)
- 收藏
- 关注
原创 大模型时代如何做安全?
各行各业都在努力促进AI的进步,纷纷开源自己的模型,而那些大的安全厂商,拿了别人的预训练模型却不舍得开源。5.yakit chatgpt,我不知道yakit的GPT仅仅是一个接口,还是有自己模型,但是我印象里,是第一个把gpt集成到渗透工具箱里的,只是他的大模型貌似没有私人订制的能力,最基本的都没有解放道德限制。2.利用大模型做安全运营,这个奇安信的大模型感觉就是这样,深信服的场景应该也是这样,大模型在流量分析,事件分析,应急响应,速度比人快,水平相当于中级师傅们的水平,那不是妥妥的。
2024-03-22 09:44:23 551
原创 企业信息安全建设的几大误区,你中了几个?
企业安全没有标准的建设模式一说,还有就是专业人才的短缺,作为审查工作合格与否的高层领导更是不懂得信息安全的相关知识,导致很多企业的安全员做安全建设时放飞自我,做了很多无用的工作。那么哪些行为是无用功呢?
2024-03-08 09:43:11 516
原创 认证授权--账户管理不规范测试用例
2.关闭系统登录入口自动存储密码的功能。系统自动存储密码,或系统存在僵尸账号。3.密码框的密码是否自动保存。4.密码框的密码是否可以复制。1.删除长期不登陆的僵尸账号。3.密码框的密码不可以复制。1.检查账户最后登录日期。2.检查系统登录入口功能。
2023-11-02 09:25:52 160
原创 认证授权--web弱口令爆破测试用例
检查中间件控制台、远程管理软件、数据库等第三方组件是否有弱口令,检查网站管理员、1.尝试使用常见密码如:123456,password,111111等尝试登陆。技术人员、客服人员是否使用了弱口令作为账号的密码,以及是否存在默认密码的情况。2.使用默认口令进行登陆,如设备的初始密码,身份证后六位等尝试登陆;黑盒测试弱口令只是一方面,还可以通过问询密码策略,白盒等方式进行判断。2.SSH,FTP,Mysql,RDP等端口开启且可爆破。2.限制用户最大登陆次数,超过一定次数禁止用户登录。1.修改弱口令为强口令。
2023-11-02 09:19:11 188
原创 认证授权--越权访问测试用例
流程描述:在服务器接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请求页面的表单时,将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对,控制该用户的访问。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。
2023-11-02 09:01:06 274
原创 xray的 webhook如何把它Hook住?^(* ̄(oo) ̄)^
xray可以通过webhook传递扫描信息,官方文档也是一笔带过,可能大多数人都不清楚,或者仅仅知道有这么个东西,但是不知道怎么使用,前阵子我通过抓取流量的方式抓到了参数,然后把这个请求解了,开放给大家看下,免得再在解包上浪费精力。上面是结构及解析,下面是一个基于gin使用例子。
2023-08-01 17:39:24 650
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人