作者名片

京东安全中心
京东安全中心
文章总数 : 33
签名 : 京东安全应急响应中心

TA的文章

系统安全 安全小课堂第四十六期【Redis 未授权访问漏洞】

安全小课堂第四十六期【Redis 未授权访问漏洞】

Redis 未授权访问漏洞 讲师:valo 讲师简介:长亭科技首席安全官,多项国内重要网络安全对抗赛的冠军。曾任国内第一家安全众测平台技术负责人,参与了不同领域上百家大型企业的网络安全测试修复工作。 ISC 安全训练营讲师,Qcon、Wot、京东安全峰会等重要会议讲师; JSRC核心白帽子、TSRC核心白帽子。 专注于应用安全、渗透测试、安全架构、漏洞挖掘等领域。  ...
Web安全 安全小课堂第四十五期【域名爆破的原理与工具】

安全小课堂第四十五期【域名爆破的原理与工具】

域名爆破的原理与工具 对网站进行安全检测的过程中域名爆破不仅能帮助发现无法搜索到的域名,还能收集到通过探测目录是不能够探测到后台,能大大提高渗透的成功率。 本期安全小课堂JSRC邀请到了讲师Chora师傅的分享关于域名爆破的专业知识。 感谢Chora师傅的分享,以及 JSRC 白帽子iDear ,王松_Striker ,苦逼司马,恋锋,齐迹,胖猴粉、Stu、沦沦的讨论。 关于分...
招聘 京东信息安全部2017招聘各类人才

京东信息安全部2017招聘各类人才

京东商城是中国B2C市场最大的3C网购专业平台,是中国电子商务领域最受消费者欢迎和最具影响力的电子商务网站之一。 京东安全应急响应中心现诚意招聘各类人才。 网站:http://security.jd.com   网络安全工程师 工作职责: 负责对公司的网络安全状况进行分析与评估 针对发现的网络安全风险,提出有效的防御方案,并组织、协调相关部门实施 研究网络安全相关技术...
Web安全 详解XPath注入—安全小课堂第四十二期

详解XPath注入—安全小课堂第四十二期

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1<...
代码审计 谈一谈java代码审计—安全小课堂第四十一期

谈一谈java代码审计—安全小课堂第四十一期

安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞,PHP代码审计大家比较熟悉了,Java代码如何进行安全审计呢?本期邀请到孙爱萍小伙伴为大家分享Java代码审计。 关于分享者: 孙爱萍是京东高级安全工程师,有着多年的Java代码审计经验,参与京东代码安全审计平台建设。   >...
Web安全 聊一聊服务器的安全基线—安全小课堂第三十九期

聊一聊服务器的安全基线—安全小课堂第三十九期

安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到最基本的防护能力要求而制定的一系列基准。本期我们来聊一聊服务器的安全基线。 本期邀请到网易安全专家沈明星。 豌豆妹 服务器常规的安全配置有哪些? 哆啦A梦 安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到...
Web安全 越权漏洞泄露你的隐私—安全小课堂第三十七期

越权漏洞泄露你的隐私—安全小课堂第三十七期

越权漏洞正在泄露你的隐私。作为一种很常见的逻辑安全漏洞,越权漏洞的危害和影响与对应业务的重要性成正相关。如果存在平行越权的话,就可以查看所有用户的敏感信息,而这些敏感信息在黑产眼中简直就是珍宝。 本期邀请到河图安全专家Vern参与讨论。 豌豆妹 能说说对越权漏洞的理解么? 哆啦A梦 越权漏洞是一种很常见的逻辑安全漏洞。可以这样理解:服务器端对客户提出的数据操作请求过分信任...
Web安全 交易支付逻辑漏洞小总结—安全小课堂第三十六期

交易支付逻辑漏洞小总结—安全小课堂第三十六期

支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。本期我们来聊一聊交易支付逻辑漏洞。 本期我们邀请到 JSRC资深白帽子种田、紫霞仙子╰(*°▽°*)╯ 豌豆妹  先说说支付流程出现逻辑漏洞的严重性吧~ 哆啦A梦  支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费...
国内资讯 共赴年末安全技术盛宴,京东安全峰会暨2016白帽子颁奖典礼日程全曝光!

共赴年末安全技术盛宴,京东安全峰会暨2016白帽子颁奖典礼日程全曝光!

2016年12月16日,京东安全峰会暨2016白帽子颁奖典礼将在北京中奥马哥孛罗大酒店召开。京东、腾讯、360等安全专家悉数亮相。 将围绕:如何进行网络安全漏洞挖掘展开深度分享。京东安全在年末倾力打造一场安全人的技术盛宴! 大会期间,干货与互动满满,线上与线下实时交流,更有重磅消息将在次发布。 大会日程已公布,先睹为快吧!此次会议安全脉搏全程合作。    ...
专题 密码找回逻辑漏洞小总结—安全小课堂第三十五期

密码找回逻辑漏洞小总结—安全小课堂第三十五期

密码找回功能出现逻辑漏洞,利用漏洞修改他人帐号密码。比如重置了管理权限的账户密码,可能导致修改页面,上传shell,服务器被黑掉,可能使得订单与收货地址信息泄露,涉及用户隐私、账户被盗刷等。 本期,我们来进行密码找回逻辑漏洞小总结。 本期我们邀请到 JSRC资深白帽子种田、紫霞仙子╰(*°▽°*)╯ 豌豆妹 什么是逻辑漏洞?   小新 开发在开发程序中,根据假设条件来...
专题 谈谈DNS安全问题——安全小课堂第三十期

谈谈DNS安全问题——安全小课堂第三十期

DNS就是把我们访问域名地址进行转换成对应IP地址的一种系统,DNS服务可以用于外部和公司内部,提供主机名到IP地址的转换。本期,我们来聊一聊DNS安全问题。 本期我们邀请到唯品会安全专家Mils  猪八戒安全专家胡松林   大家欢呼╰(*°▽°*)╯ 豌豆妹 首先请科普下DNS吧。 小新 DNS就是把我们访问域名地址进行转换成对应IP地址的一种系统,是Internet上作为域...
国内资讯 2016 JSRC 安全乌托邦-成都站

2016 JSRC 安全乌托邦-成都站

2016年JSRC将面向全国白帽子聚集区域开展安全沙龙活动(北京、上海、杭州、深圳、成都等地)。 主要以增强行业内安全技术交流,建立京东与白帽子间的友好关系;提高京东安全的行业形象为目的开展。 1、   活动主题:2016 JSRC 安全乌托邦-成都站 2、   主旨:开放、交流、融合 3、   主办方:京东商城-信息安全部 4.合作方:猪八戒安全应急响应中心 5、   活动...
国内资讯 京东首席信息安全专家Tony Lee: 重新思考安全问题本质

京东首席信息安全专家Tony Lee: 重新思考安全问题本质

京东首席信息安全专家Tony Lee: 重新思考安全问题本质   “现在只要在手机上简单点几下就可以买到阳澄湖的大闸蟹、新西兰的牛奶、法国的红酒,京东的技术在颠覆式地重塑了人们的基础生活方式,更令人惊叹的是实现这些背后发生的事情——来自于所有的软硬件方面的支持,包括信息系统。 安全是这一切发生的基石,京东不仅在大力构筑这个安全基石,也要把安全能力共享,与行业一起提升互...
招聘 京东信息安全2016招聘大决战

京东信息安全2016招聘大决战

真正的信息安全探索将使你热血沸腾,视野开阔。 投入你无限的能量去完善安全建设,他将会给予你无穷的征服欲。 如果有这样一个平台:具有电商,金融,O2O,供应链,智能硬件等多个顶尖行业在内的舞台摆在你面前,等你挑战! 在这里,你的能力可以发挥到极致;在这里,你的潜力可以被无限激发; 在这里,你所做的事情将为全人类造福!来吧,等待你的摩拳擦掌! 简历请发送:bjlixueqing@j...
专题 聊聊app手工安全检测–安全小课堂第二十七期

聊聊app手工安全检测–安全小课堂第二十七期

上集回顾:深聊waf那些事儿(二)——安全小课堂第二十六期 安全小课堂第二十七期 借助相关工具进行针对性的测试,就是app手工安全检测。隐患、风险点距离实际的漏洞利用还有一定距离, 即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认, 这是无法替代的。由此可见app手工安全检测的重要性。本期我们来聊一聊app手工安全检测。 本期邀请到 盘古安全专家小G 盘古安全专家zh...

友情链接

合作伙伴