记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭秘 | 为什么一家风控公司要通过网页重要性分析来进行机器学习?

起源 1 我们是谁,为什么要做这些 我们是一家业务风控公司, 公司的一项主要业务是提供给客户私有化部署的风控系统和长期的风控分析服务,最后提供给客户的产出,简单归纳来说就是哪些ip,哪些用户,哪些设备,哪些页面存在风险,并提供确实的证据。因为客户的需求、访问流量、内部架构情况各不相同,前期双方对接中涉及爬虫、订单、营销活动等大量业务信息需要大量的时间投入,接入之后分析师需要大量的时间来观察、分析、跟客户的不断沟通,因为当遇到某些业务细节的时候,沟通的成本就会被放大,才能确认最后完成策略的制定,然后观察效果,如此反复来确定风险IP、风险用户、风险设备和风险页面,即客户所需的业务风险评估。 2 为什么要分析网站结构、网站关键路径?  分析、计算成本的上升 一个最简单的博客,只有博文
发布时间:2018-01-14 17:10 | 阅读:108440 | 评论:0 | 标签:企业安全 机器学习 风险控制

批量挖SRC漏洞的一种打开方式

*本文原创作者:Aderduo,本文属FreeBuf原创奖励计划,未经许可禁止转载 混迹在各大SRC平台的白帽子手里都握着很多法宝,或私藏或公开。而给大家介绍下基于cms的漏洞扫描,如何挖漏洞。 一、绪论 1.1 首先获取补天厂商名单,这里保存在d:/butian.txt。你也可以放入各大src的域名 1.2 本cms是基于知道创宇的pocbuite二次开发。漏洞扫描器主要是扫描平台的整体框架设计,而真正需要耗时和长期维护的便是poc的编写与扩充。这里,重点在于poc的编写与扩充。 1.3 编写poc并批量扫描网站,将存在漏洞网站提交漏洞给相应厂商   二、系统设计 2.1  系统体系结构设计 本系统是基于CMS的漏洞扫描工具,确切来说是使用python作为脚本语言,使用PoC 编写的 S
发布时间:2018-01-06 16:20 | 阅读:135136 | 评论:0 | 标签:企业安全 漏洞扫描 漏洞

随笔:“知所应知”,你所不知道的秘密

作为IT安全人员,相信每一位都知道“知所必须”原则,结合“最小权限”的就是两个“最小化”原则,是很多IT安全人员在入门课上就学到的。怎样才是最小,相信也是IT安全人员一直孜孜追求的,很多人困惑于“如何将信息尽可能少的传递、权限尽可能小的授予,并能保证该岗位执行其正常工作。 首先,我们来看一个广为流传案例:“沃尔玛的任何一位员工,不论他/她的级别如何,如果获知其他地方卖的某样东西比沃尔玛便宜,他/她就有权把沃尔玛的同类商品进行降价”。这是一个授权,而这个权利对于很多企业来讲,非常“不小“。而沃尔玛的授权体系远不止如此,他们采取“店中店”的模式授权部门经理管理自己的业务,并认为信息共享的前提下,授权才会起到作用,因此沃尔玛的员工对采购价格、运输成本等数据(这些数据在很多企业被视为机密数据)都了如指掌的,难道沃尔玛不
发布时间:2017-12-23 11:45 | 阅读:70321 | 评论:0 | 标签:专栏 企业安全

暗网系列之:暗网威胁中常见的技术与战术(一)

背景介绍 暗网是与公开可访问的地面网络相对的、仅能通过加密链接访问的网络。暗网以其大量从事非法交易的市场和社区而备受执法机关和媒体的关注。 事实上,暗网上的内容纷繁复杂,混迹其中的角色除了注重隐私或逃避当局监测的自由派人士之外,还包括了形形色色的边缘人物,如企图购买假冒商品的商贩、毒贩和网络犯罪分子。本文讲述的重点是暗网中的网络犯罪态势,通过一些具体的案例,探索一下暗网中网络犯罪分子常用的技术和战术,从中我们可能会更加清楚这些威胁行为者是如何在暗网中开展业务的。了解对手使用的新的技术和战术,可以帮助我们更好的制定并实施有效的防护措施。 *资料来源:Recorded Future 出售泄露的数据,尤其是用户凭据 由于黑客攻击和数据泄漏是如此普遍,某些暗网市场已经成为交易泄露数据和用户凭据的代名词。不择手段的诈骗
发布时间:2017-12-05 12:25 | 阅读:118737 | 评论:0 | 标签:文章 观点 企业安全 安全威胁 安全情报 暗网系列

Gartner 2017调研报告:DevSecOps应当做好的十件事(上)

背景介绍 惨痛的教训告诉我们:DevSecOps很重要! 对于很多企业而言,云和DevOps是推动企业业务发展的关键的技术引擎。企业的IT、安全和开发人员都知道在云和DevOps环境中,有大量的敏感信息(如密钥和凭据)需要保护。尽管大部分人都有安全方面的意识,但我们仍能看到诸多的数据泄漏事件。 以最近发生的Uber数据泄露事件为例: “11月22日,Uber发布声明,承认2016年曾遭黑客攻击并导致数据大规模泄露。根据这份声明,两名黑客通过第三方云服务对Uber实施了攻击,获取了5700万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。” 对于面向消费者的企业而言,信任是企业顺利发展的一个重要组成部分。然而,不幸的是,最近几年,企业或机构发生用户信息泄露事件正在变的越来越普遍,引发的危害及潜在
发布时间:2017-12-02 08:35 | 阅读:122187 | 评论:0 | 标签:安全报告 DevOps DevSecOps Gartner 调研报告 企业安全 最佳实践

基于openresty实现透明部署动态口令功能

*本文原创作者:chenjc,本文属FreeBuf原创奖励计划,未经许可禁止转载 今天来讲讲基于openresty来实现透明部署动态口令功能,动态口令的基础概念这里就不讲了,网上的介绍很多,下面直入正题。 企业内部系统部署方案 通过在原有的业务系统上,部署WAF来反向代理业务请求,从而实现透明部署动态口令功能。 架构图如下: WAF在接收到用户提交的特定请求时,会获取用户密码后六位,即动态口令的值,在对动态口令进行校验后,如果正确则重写该请求,将请求中的后六位删除再转发到业务系统,如果失败则丢弃该请求并提示。 通过以上方式,无需对原系统的代码进行任何修改,即可实现部署动态口令功能的效果。 实战: 新建文件 waf_otp_rule.json 内容如下: [ { "ru
发布时间:2017-10-29 19:00 | 阅读:102248 | 评论:0 | 标签:网络安全 Openresty waf web安全 企业安全 动态口令

随笔:CSRS (Cyber Security Response System)要点

面向网络安全管理,在建设预警和防护措施的同时,面对突发事件的处置也是企业网络安全部门需要重点关注的内容。 信息安全突发事件的处置随着计算机的出现即受到企业的关注,CERT(计算机应急响应小组)作为早期出现的应急响应模式也逐渐发展成为应急中心的模式,因此企业有必要回顾网络安全突发事件的处置策略和体系。 建设网络安全突发处置体系(Cyber Security Response System),笔者认为可以从以下方面进行设计: 1、 CSRS策略是企业面对网络安全事件处置的基本指导,由管理层可接受的风险所决定,CSRS策略的制定需要基于风险分析。需要注意的是,网络安全事件的风险分析和DRP是不同的,例如:DRP中的风险分析并不包括信息泄露。 2、 CSRS响应范围的确立,针对网络安全事件的管理,很重要的一点是需要
发布时间:2017-10-26 23:20 | 阅读:83704 | 评论:0 | 标签:专栏 企业安全 网络安全管理

趋势科技有望跻身企业安全领导者

有产品,有生态系统,有策略,趋势科技具备成为企业安全领头羊的素质。现在,就差提升市场可见性以获得CISO的注意了。企业安全趋势最近ESG的研究中指出了企业安全市场中的一些趋势:24%的企业在整合网络安全供应商数量,38%的企业此动作限制在一定范围。这24%可被看作是先锋客户,而市场上的其他人将在未来几年里向他们看齐。62%的公司称,CISO越来越多地参与到网络安全采购和供应商管理中,作为安全技术整合中的一项职能。换句话说,在选择和管理将来会投入更多资金的供应商合作伙伴上,CISO们希望能有话语权。82%的网络安全人员强烈赞同此说法:我的公司正在积极建立集成了多个独立产品的安全架构。这里面有一种增幅效应,多种控制和检测引擎能相互支持。鉴于这些趋势,很多安全技术厂商都在集成单点产品,通过并购来填补产品空白,投资分发
发布时间:2017-10-25 22:15 | 阅读:63832 | 评论:0 | 标签:行业动态 企业安全 趋势科技

最近发生了很多数据泄漏事件,如果GDPR实施的话Equifax会怎么样?

最近 Equifax 可谓是站在了风口浪尖上,最大的原因还是自身对于数据的保护不力,而对于监管层面来说,是否有更好的预防措施呢。 欧盟出台的通用数据保护法规(GDPR)将在明年5月正式实施,想象一下,Equifax 是在 GDPR 生效期间出的事,它的结果又将如何呢,或许,它的处境会更加艰难。 GDPR 不仅仅局限于欧洲 这里有关于 GDPR 的详细信息,简单的说,GDPR 就是一套用来保护欧盟公民个人隐私和数据的新法规。对那些需要欧盟公民的个人信息的企业来说,无论企业所在地在不在欧洲都会受到影响,所以,这项法规不不仅仅局限于欧洲。法规中对企业通报数据泄露事件的时间做出了高要求,在一些情况下,需要在发现数据泄露事件72小时内就通知给外界。 企业还必须遵守法规中的其他规定,保证欧盟公民不会受到更多的损失: 1.
发布时间:2017-10-06 23:15 | 阅读:112552 | 评论:0 | 标签:企业安全 Equifax GDPR

暗网系列之:东欧地下网络黑市内部“勒索禁令”的困境

深暗网(Deep & Dark Web,DDW)俨然成为了非法交易市场、黑市论坛以及网络犯罪通信联络的温室,这已经不是什么秘密了。然而,不太明显的是这些犯罪分子个人画像的细微差别、网络犯罪社区默守的不言而喻的行为准则(潜规则),以及某些类型的攻击可能导致的“伦理”困境。 Flashpoint的研究员们从2014年初开始,持续监控了东欧地区的DDW社区,发现了犯罪分子们向勒索转变的前兆。 这篇文章,就让我们来讨论一下“勒索”的问题。 勒索曾在犯罪链底端 在2016之前,俄罗斯地下论坛的管理人员认为不应该使用勒索软件,主要原因有两个: 这样做浪费了僵尸网络的受感染机器和漏洞利用工具包 这种方式技术含量太低,是一种低级的手法(犯罪分子之间的鄙视链) 地下管理者坚信勒索软件吸引了太多的关注力,这可
发布时间:2017-09-22 05:20 | 阅读:103759 | 评论:0 | 标签:安全报告 企业安全 俄罗斯网络黑市 勒索 暗网

DHS称美国政府不能正确评估 WannaCry 和NotPetya的影响,对企业缺乏适当的保护

国土安全部官员上表示:由于缺乏私人企业的参与,美国政府不能全面衡量最近爆发的两起全球性网络安全事件 WannaCry 和NotPetya的影响程度。 国家保护和计划局代理副部长Christopher Krebs上周三在接受采访时称:这两起事件的最大问题是缺乏来自受到影响的企业的报告。虽然专家们说WannaCry和NotPetya对一些美国企业造成了业务中断,但现在还不清楚受损企业的范围,以及受损的程度。 政府希望从受影响的公司收集更多的信息,以便更好地评估最初的感染媒介,追踪病毒的传播,并制定方法阻止将来可能发生的类似的攻击。 美国一位高级官员匿名的发表自己的看法,称:在 WannaCry 和NotPetya事件中,收集受害者的组织的相关数据是非常重要的,因为这些信息可以被用来提醒安全策略决策者有关袭击的肇事
发布时间:2017-09-17 23:45 | 阅读:78096 | 评论:0 | 标签:观点 企业安全 安全事件 安全公司 政府职能

国家网络安全周开幕 大安全时代360前沿“黑科技”震撼登场

2017网络安全周“大阅兵”:360安全舰队闪亮登场 9月16日,以“网络安全为人民 网络安全靠人民”为主题的第四届国家网络安全宣传周在上海正式拉开帷幕。开幕式后,将迎来网络安全博览会暨网络安全成就展、网络安全技术高峰论坛等一系列活动。 图1:网络安全博览会暨网络安全成就展360展区 作为网络安全领域的年度“大阅兵”,安全周历来是安全厂商向全国人民汇报其先进安全技术的舞台。今年,国内最大的互联网安全公司360携国家安全、企业安全、个人安全领域的安全产品与业务矩阵参展亮相,结合“大安全”的理念,集中展示了一年来在网络安全态势感知、数据驱动安全2.0及场景化解决方案、智慧出行安全解决方案、人工智能研究等方面取得的经验和成就。 国家安全:全球首套VR+3D网络安全态势感知系统亮相 大安全时代,网络安全形势越来越严峻
发布时间:2017-09-17 06:50 | 阅读:106053 | 评论:0 | 标签:活动 企业安全 安全周 网络安全

浅谈端口扫描威胁感知系统的设计与实现

*本文原创作者:陆仁甲,本文属FreeBuf原创奖励计划,未经许可禁止转载 一 前言: 正所谓善守者不知其所攻,善攻者不知其所守。网络攻防本来就是一场看不见硝烟的对抗。 本人设计的这套端口蜜罐检测程序,是在总结了大量的APT攻击方法和思路之后,结合自己分析和思考,针对当前企业面临的大量黑客攻击,而无法得到有效的预警信息,设计了这个简易版本的蜜罐程序。 二 设计方法和思路 下面结合APT攻击的常见流程来分析端口蜜罐程序设计的方法和思路。 上面这张图片只是列出了常见的三种攻击流程,APT攻击的方法和思路还有很多,如2010年的震网病毒, 近两年被发现的往流行的网络管理客户端xshell,putty,secureCRT等植入后门再从中筛选攻击目标 等等。 在上面的三种APT攻击方法中,第一种方法是最普遍,
发布时间:2017-08-17 10:55 | 阅读:95803 | 评论:0 | 标签:企业安全 网络安全 端口扫描威胁感知系统 蜜罐程序 扫描

随笔:小议如何建设信息安全管理方针政策

企业在实施信息安全管理的过程中,制定信息安全方针政策是非常关键的工作。信息安全方针是信息安全管理工作的纲领,用于指明信息安全工作的方向,指导信息安全管理的基本工作原则。 制定信息安全管理方针政策,首先要确定方针政策的发布者,发布者在企业组织结构中的位置在相当程度上决定了信息安全管理方针的权威性,类同法律体系中的法律、法规的颁布机构。笔者认为,在信息科技已经融入企业核心生产的今天,信息安全管理方针政策由企业最高管理者(管理层)发布为最佳。 信息安全管理方针政策的首要任务是设置信息安全的目标,目标的设定应简单明确,例如:“保护企业信息的机密性、完整性与可用性”,良好的做法还包括为信息安全政策设置一个简短、朗朗上口的宣贯口号,例如:“信息安全、企业未来,管技结合、内外并重,预防为上、防范为辅,全员有责、高层表率” 由
发布时间:2017-06-22 21:45 | 阅读:72017 | 评论:0 | 标签:专栏 企业安全 信息安全管理

你会把安全控制权交由第三方外包吗?

较早几年,把一些重要网络和系统服务资产进行外包安全管理几乎不敢想像,但现在,面对每天频繁多变的网络攻击,很多公司认为,这种方式更能有效减少安全风险。这种把安全控制权完全交由第三方来管理的手段可不可行?我们随着Freebuf来听听各位专家的观点。 对于公司采用安全外包管理的前提,很多厂商企业表示这取决于公司的人员配备水平。如果公司内部缺乏相应的专业技能,或是因成立安全管理团队而缺乏预算资金的中小企业,可以采用这种方式。因此,在面对数据窃取和BYOD(员工携带自己设备办公)的风险担忧时,与安全管理服务提供商(安全外包服务商,MSSP)的合作成为使然。 各路专家观点:企业内部安全团队 VS 安全外包服务商(MSSP)如何选择? Alertsec公司CEO Ebba Blitz表示,安全管理服务商MSSP由各类IT安
发布时间:2017-06-06 16:40 | 阅读:91761 | 评论:0 | 标签:企业安全 安全管理 MSSP

这个时代,会偷偷犒赏愿意学习的人

网络威胁无处不在,不想哭,就要比对手更厉害! *推荐一些“Future Learn”平台上的信息安全课程: 1. Cyber Security for Small and Medium Enterprises: Identifying Threats and Preventing Attacks 课程主题:识别威胁和防范攻击(中小企业的网络安全) 面向对象: 任何中小企业的工作人员、有兴趣学习更多关于识别网络威胁和防止潜在攻击的学员,本课程同样适合没有任何IT技术背景的人员进行学习。 课程大纲: 如何检测正在进行的网络攻击 分析数据泄露的风险和影响 探索保护组织免受网络攻击的策略 网络安全专家的建议 课程目标: 识别中小企业面临的网络安全风险 探索网络攻击如何影响中小企业的发展 制定可行的解决方案,有效阻止
发布时间:2017-06-04 15:55 | 阅读:116979 | 评论:0 | 标签:工具 企业安全 数字取证分析 系统安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云