甲方安全无小事,在不同类型、不同体量的公司做法却有所不同。但万变不离其宗,万丈高楼平地起,我们依旧需要做好基础的工作,再谈"高端"玩法。JSRC 安全小课堂第129期,邀…
威胁情报最近概念很火,但是很多安全建设者在建设环节对威胁情报往往是泛泛的一笔带过,归根结底是威胁情报在运营和给企业带来收益的结果不是很明显,而企业内的一些数据往往是能够挖掘真实情报case的“金矿”J…
做威胁情报的目标是补充传统安全的遗漏面,对于甲乙方需要的都是及时的发现+足够的数据+全面仔细的分析,数据的全面性,开源向参考OSINT,闭源向就看各家资源与目标。白帽子则是爬虫与黑吃黑。JSRC&nb…
缓冲区溢出是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。JSRC 安全小课堂第…
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞JSRC 安全小课堂第125期,邀请到月神作为讲师就如何通过技术手段挖掘业务逻辑下的漏洞为大家进行…
JSRC从2013年成立到现在,白帽师傅和我们共同经历了5个春秋,在这些不长不短的日子里,JSRC积累了一箩筐的白帽子成长故事。这些白帽子故事,有些感人,有些励志,也有些坎坷。看上去,白帽子们的日子很…
邮件、论坛、日志发布等UGC类(用户产生内容)业务构成在线生活的重要部分。作为供用户创造内容的“生产力工具”,其背后隐藏着巨大的攻击面。其中,最易产生的问题是XSS。XSS(Cross-site sc…
XSS(Cross-site scripting)是一种常见的web漏洞,按XSS payload位置的不同,分为反射型、存储型和DOM型XSS。攻击者可以通过让受害者访问构造好的恶意链接,实现劫持、…
URL注入攻击,与XSS、SQL注入类似,也是参数可控的一种攻击方式。URL注入攻击的本质是URL参数可控。攻击者可通过篡改URL地址,修改为攻击者构造的可控地址,从而达到攻击目的。JSRC …
国内企业近年来越来越注意企业自身安全,也都开始逐步建立自己的安全应急响应中心平台。由于各家厂商情况不一和白帽子水准层次不齐,因此目前国内厂商和白帽子都还有一定的进步空间。2015年-2017年三年整,…
现在的网络犯罪案件具有专业化趋势,因为具有隐蔽的特性。例如传销、赌博、色情直播,更多是和手机app的交互,加上https的普及,很多公有云不能通过流量有效甄别网络犯罪行为,从而提供防护服务。网络对抗不…
路由器这个东西其实早就在IOT这个概念兴起前就出现了,以前主要就是一些大型的路由器,以思科华为的为主,要注意这些大路由是完全不同于现在的这些嵌入式linux形式的小路由的。再后来即便是出现了早期的以w…
在计算机领域,Fuzz Testing(模糊测试)是一种测试方法,即构造一系列无规则的“坏”数据插入应用程序,判断程序是否出现异常,以发现潜在的bug。在信息安全领域,也有人尝试引入fuzz test…
JSRC 安全小课堂第116期,邀请到l0ca1作为讲师就Nodejs安全为大家进行分享。京安小妹:常见的nodejs web框架有哪些?l0ca1:现在流行的 nodejs web 框架有…
CTF(Capture The Flag),中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,是目前较流行的网络…