最新文章

今日更新0
专题 选择在不同的维度做防御

选择在不同的维度做防御

选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的。 技术实现维度场景 在纵深防御的概念中企业安全架构是层层设防,层层过滤的,常见漏洞如果要利用成功需要突破几层限制,所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如SQL注入,治本的方法当然是代码写对,治标的方法WAF过滤,...
专题 如何衡量企业安全的效果

如何衡量企业安全的效果

在老池的粉丝群做了次分享,谈了谈几个基本的问题,分享到这里。 企业该如何做安全? 在早些年,我最早在阿里做安全的时候,遇到的最大的挑战,就是讲不清楚安全的价值。我想这可能依然是今天大多数CSO所面临的难题。 安全这个东西很微妙,不像业务可以用销售额和用户数来衡量,也不像运维可以用稳定性指标(比如故障数)来衡量,也不像研发可以用bug数、服务器台数(体现成本和性能)、扩展性、专利...
资讯 西湖天光云影之2016年JSRC安全乌托邦杭州站

西湖天光云影之2016年JSRC安全乌托邦杭州站

西湖的天光云影 ——记2016年JSRC安全乌托邦杭州站一行(含PPT) “欲把西湖比西子,淡妆浓抹总相宜”。5月的杭州褪去了3、4月的羞涩,展现出一幅水墨画浓墨重彩的光景。5月20日,京东安全响应中心联合途牛安全响应中心在杭州瑞豪中心酒店共同举办“2016年JSRC安全乌托邦——杭州站”,活动当天虽下着细雨,但阻挡不了杭州兄弟们的热情,甚至很多朋友专程从几十公里外开车前来交流...
CTF 前瞻WCTF世界黑客大师赛10大看点

前瞻WCTF世界黑客大师赛10大看点

前瞻WCTF世界黑客大师赛10大看点 由知名安全团队360Vulcan和韩国PoC Security共同主办的首届世界黑客赛WCTF即将于6月1日至3日在北京举行,这场设置了史上最高奖金的CTF竞赛,吸引了包括目前世界排行前五名的五大CTF战队在内的世界最强的10大顶级黑客战队参赛。以下梳理了首届WCTF的9大看点,让我们对即将举行的WCTF先睹为快。   看点1、...
Web安全 新姿势之Docker Remote API未授权访问漏洞分析和利用

新姿势之Docker Remote API未授权访问漏洞分析和利用

0x00 概述 最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如 新姿势之获取果壳全站代码和多台机器root权限 新姿势之控制蜻蜓fm所有服务器 新姿势之获取百度机器root权限 因为之前关注这一块的人并不多,这个方法可以算是一个“新的姿势”,本文对漏洞产生的原因和利用过程进行简单的分析和说...
国外资讯 知名黑客论坛Nulled.io被黑 9.45GB数据遭泄露

知名黑客论坛Nulled.io被黑 9.45GB数据遭泄露

在经历了系统入侵事故之后,知名地下黑客论坛Nulled.io于本周遭遇数据泄露,其论坛数据库副本被下载并上传至网络当中。 此次泄露事故发生于4月6号,泄露的数据亦于同日被上传至网络。5月12号,另一重要数据文件被发布至网上,其中包含24万3787条被破解的密码哈希值。 数据泄露内容无所不包! 根据安全企业Risk Based Security公司的调查,此次泄露的数据被包含于...
独家 2016 JSRC 安全乌托邦-杭州站

2016 JSRC 安全乌托邦-杭州站

2016年JSRC将面向全国白帽子聚集区域开展安全沙龙活动(北京、上海、杭州、深圳等)。 主要以增强行业内安全技术交流,建立京东与白帽子间的友好关系;提高京东安全的行业形象为目的开展。 1、   活动主题:2016 JSRC 安全乌托邦-杭州站 2、   主旨:开放、交流、融合 3、   主办方:京东商城-信息安全部 4、   活动地点:杭州市下城区体育场路370号杭州瑞豪中...
文章 ImageMagick 远程命令执行漏洞(CVE-2016-3714)安全预警

ImageMagick 远程命令执行漏洞(CVE-2016-3714)安全预警

5月3日,ImageMagick官方披露称,目前程序存在一处远程命令执行漏洞(CVE-2016–3714),当其处理的上传图片带有攻击代码时,可被远程执行任意代码,进而可能控制服务器。 ImageMagick 是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以...
CTF Google CTF WEB部分 Writeup

Google CTF WEB部分 Writeup

5月不减肥,6月徒悲伤…(╯-_-)╯╧╧,5月的第一个周末就哪也没去,打了google第一年办的比赛,整体还可以,就是月到了很多奇怪的东西。。。也不知道是我们脑洞太小了,还是说google的程序员什么洞都写过。。。 WEB Wallowing Wallabies 题目是一个系列的xss题目,有趣的是,最开始刚刚开始的时候,这个题目不是这样的…好像是把另一题的环境搭了过来,结...
内网渗透 内网渗透技巧:判断机器真实外网IP的5种方法总结

内网渗透技巧:判断机器真实外网IP的5种方法总结

去年写的一篇关于内网中找到某台WEB主机外网IP的文章,因为看到网上还没有关于这块的总结,这里斗胆发出来,权当抛砖引玉。 场景:在内网渗透中有时需要在某台WEB服务器中留下后门,该机器可以通过内网IP建立IPC连接,但还需要获知外网IP或域名才能访问Wbshell,在无网关权限的情况下,我总结了有如下方法:   1、通过nslookup访问外部地址 回显IP ns...
CTF 看我是如何闯关SOBUG迷之彩蛋,拿到1000元红包的

看我是如何闯关SOBUG迷之彩蛋,拿到1000元红包的

看我是如何闯关SOBUG迷之彩蛋,拿到1000元红包的 (附通关名单) 注:本文由SOBUG彩蛋游戏第一位通关的id_No2015429撰写。 今天早上10点,终于等来SOBUG安全平台彩蛋游戏的开始。没想到,最终成为第一个通关的人(大牛们这个时候也许在忙工作^_^)。以下是我通关过程的writeup。 第一关: 根据提示“这可以是一张图片,也可以是别的什么”。让我首先想到了...
专题 比戈大牛携手安全脉搏 三大波活动狂发35万现金

比戈大牛携手安全脉搏 三大波活动狂发35万现金

江湖任务榜: 为守护移动互联网的信息安全,比戈大牛网砸出巨额奖金鼓励白帽挖掘安卓应用漏洞 Hey!奖金丰厚机会难得!大牛们还不快来!                                                                             《第一波活动·小试牛刀--现正火热进行中》                         ...

不容错过

最新推荐

友情链接

合作伙伴

Qrcode