记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

每日攻防资讯简报[Dec.3th]

收录于话题 0x00工具1.fibratus:用于探索和追踪Windows内核的现代工具https://github.com/rabbitstack/fibratus 2.ELFPatch:使用动态大小的补丁为ELF打补丁https://gith
发布时间:2020-12-03 22:39 | 阅读:4488 | 评论:0 | 标签:攻防

聊聊企业在攻防演练该做点什么

文/马金龙是什么?俗称护网行动,由公安部等国家监管部门组织的,攻击队伍是由其内部技术团队,头部互联网巨头蓝军团队,以及安全公司渗透团队
发布时间:2020-12-03 19:58 | 阅读:4753 | 评论:0 | 标签:攻防

中兴通讯招聘安全专家(攻防渗透)

公司及团队简介中兴通讯股份有限公司,简称中兴通讯(ZTE)。总部位于广东省深圳市南山区科技南路55号,成立于1985年。在香港和深圳两地上市,是中国的通信设备上市公司。公司为全球180多个国家和地区的顶级运营商提供创新技术与产品解决方案,通过全系列的无线、有线、业务、终端产品和专业通信服务,满足全球不同运营商的差异化需求。产品涵盖无线、核心网、接入、承载、业务、终端、云计算、服务等领域。
发布时间:2020-12-03 12:56 | 阅读:3522 | 评论:0 | 标签:渗透 招聘 攻防 安全

活动 | 来咯!12月13日,神奇的字节跳动攻防论坛报名开启

报名地址:https://www.huodongxing.com/event/2574072793000 活动简介互联网、大数据、人工智能等新一代信息技术引领着一代技术变革,2020年疫情之下,更是为衣食住行、教育、医疗等行业带来全民级的数字化机遇。字节跳动秉承着激发创造,丰富生活的使命,与广大用户紧密相连,而保障庞大体量的用户和生态伙伴的信息安全,是必不可少的关键环节。
发布时间:2020-12-02 21:27 | 阅读:4764 | 评论:0 | 标签:攻防

每日攻防资讯简报[Dec.2th]

收录于话题 0x00漏洞1.iOS未经身份验证的内核内存损坏漏洞,该漏洞导致无线电邻近的所有iOS设备重新启动,而无需用户交互https://googleprojectzero.blogspot.co
发布时间:2020-12-02 20:52 | 阅读:2903 | 评论:0 | 标签:攻防

云原生攻防研究:针对AWS Lambda的运行时攻击

一、引言笔者在上一篇文章 《Serverless安全研究— Serverless安全风险》中介绍了责任划分原则。对于开发者而言, Serverless因其服务端托管云厂商安全能力强的特点,实际上降低了总体的安全风险。如各位读者所知,主流的公有云Serverless提供商,像AWS Lambda、Google Cloud Functions、Microsoft Azure Functions,均有一套自管理的函数运行环境及相应安全机制,那么这些不同厂商的函数运行环境是否安全也是业界关注的一大问题。
发布时间:2020-12-02 20:46 | 阅读:2211 | 评论:0 | 标签:攻击 攻防

补天白帽城市沙龙走进成都 实战化攻防推动安全产业发展

近日,国内知名漏洞响应平台补天举办了补天白帽城市沙龙-成都站活动,邀请了来自奇安信技术研究院、字节跳动、360cert以及无糖信息阿斯巴甜实验室等多个机构的顶尖攻防专家,分享了关于实战化漏洞挖掘、渗透攻击、DNS缓存污染攻击、基于IIOP的Websphere反序列化等方面的最新成果。毫无疑问,CTF是白帽子最津津乐道的比赛之一,为大量网络安全爱好者提供了学习、锻炼的机会。
发布时间:2020-12-02 19:49 | 阅读:2488 | 评论:0 | 标签:奇安信 补天白帽 白帽 攻防 安全

【云原生攻防研究 】针对AWS Lambda的运行时攻击

收录于话题 一、引言笔者在上一篇文章《Serverless安全研究— Serverless安全风险》中介绍了责任划分原则。对于开发者而言, Serverless因其服务端托管云厂商安全能力强的特点,实际上降低了总体的安全风险。如各位读者所知,主流的公有云Serverless提供商,像AWS Lambda、Google Cloud Functions、Microsoft Azure Functions,均有一套自管理的函数运行环境及相应安全机制,那么这些不同厂商的函数运行环境是否安全也是业界关注的一大问题。
发布时间:2020-12-02 18:18 | 阅读:2340 | 评论:0 | 标签:攻击 攻防

浅谈攻防演练中的信息收集

近期参加了几次攻防演练,本文记录一下自己在信息收集方面学习到的技巧与经验。一、从FOFA开始最近有好几个攻防演练的规则都是目标被打进内网或者拿下靶标就退出公共目标,其他攻击方无法再提交该单位的报告,因此最初的打点要越快越好,而第一轮信息收集的质量很大程度上会影响打点的成功率,因此推荐最先通过fofa进行信息收集,因为fofa既可以搜到部分子域名,也可以搜到目标的各种系统,如OA、后台等,而这些系统很容易成为突破口。
发布时间:2020-12-02 11:08 | 阅读:2273 | 评论:0 | 标签:攻防

每日攻防资讯简报[Dec.1th]

收录于话题 0x00漏洞1.支持Docker和常见Kubernetes配置的容器运行时containerd向外公开的API可导致提权(CVE-2020-15257)https://research.nccgroup.com/2020/11/30/technical-adv
发布时间:2020-12-02 00:15 | 阅读:7077 | 评论:0 | 标签:攻防

来咯!12月13日,神奇的字节跳动攻防论坛报名开启

收录于话题 互联网、大数据、人工智能等新一代信息技术引领着一代技术变革,2020年疫情之下,更是为衣食住行、教育、医疗等行业带来全民级的数字化机遇。字节跳动秉承着激发创造,丰富生活的使命,与广大用户紧密相连,而保障庞大体量的用户和生态伙伴的信息安全,是必不可少的关键环节。ByteDance缘起·字节跳动攻防论坛刷抖音看直播、通过今日头条获取资讯、使用飞书办公开会、用瓜瓜龙英语陪孩子上课……字节跳动的产品和服务已覆盖全球150个国家和地区、75个语种,截止2020年8月,字节跳动旗下全线产品总月活跃用户超过15亿,其中抖音日活用户数已经突破6亿。
发布时间:2020-12-01 11:23 | 阅读:1761 | 评论:0 | 标签:攻防

安全聘 | 奇虎360政企安全集团高级攻防事业部招人!

收录于话题 如您公司有信息安全人才的招聘信息发布,请关注公众号asjeiss,在后台给小编留言哦!或您可通过电子邮件或直接添加运营公众号,将您的招聘信息(无论甲方或乙方,仅限安全行业招聘)发送给我们,我们将为您免费排期推送!事不宜迟,速速加好友啦~邮箱:jacky.qin@anquanjia.net.cn微信:asj-jacky360政企安全集团公司介绍360公司成立于2005年,是全球网络安全领域的领军企业。在人才与技术方面,360汇聚了东半球最强的“白帽子军团”,具备世界级的漏洞挖掘与攻防对抗能力,是全世界发现漏洞和APT最多的公司。
发布时间:2020-11-30 22:29 | 阅读:6972 | 评论:0 | 标签:攻防 安全

每日攻防资讯简报[Nov.30th]

收录于话题 0x00恶意代码1.分析Go语言编写的高度混淆后们Blackrotahttps://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/ 2.分析一个未知黑客组织
发布时间:2020-11-30 22:29 | 阅读:5492 | 评论:0 | 标签:攻防

长安汽车在大型实战攻防演习中的蜜罐溯源实践

近几年来,实战攻防演习已经成为关键信息基础设施网络安全保护工作的常态化工作。在监管机构的有力推动下,我国的实战攻防演习日益得到政企客户的重视,成为检验网络安全防御体系有效性、全面提升网络安全综合防护能力的重要手段。在国家相关主管部门组织的2020年大型网络安全实战攻防演习行动中,中国兵器装备集团参与了此次演习,长安汽车作为其成员单位参与防守。长安汽车积极开展被动防御部署,并率先尝试部署了伪装欺骗溯源系统(以下简称“蜜罐”)进行主动防御和攻击溯源。
发布时间:2020-11-30 12:47 | 阅读:3052 | 评论:0 | 标签:攻防 蜜罐

报名倒计时!2020京麒大会 物联网安全攻防实战训练营

收录于话题 ‍‍‍‍‍‍‍‍‍‍‍‍智能水杯、共享单车、无线pos机、智能物流......这些常见的物联网设备正在渗透进人们生活中的每个角落。但是随着物联网应用场景不断丰富,物联网的安全问题随之而来。物联网安全研究员也成为炙手可热的职业。虽然物联网人才需求很大,但是复合型人才仍然不足,人才学习过程中也仍然存在诸多问题。本次看雪联合2020 京麒网络安全大会,邀请业内大牛亲自研发前沿课程《物联网安全攻防实战训练营》,拒绝纸上谈兵,带你用实践的方式,深入学习物联网攻防学习中的那些难点和痛点。
发布时间:2020-11-29 20:43 | 阅读:7539 | 评论:0 | 标签:物联网 攻防 安全

关于国家级实战攻防演习的一点技术总结

收录于话题 文章来源:瑞数信息针对关键信息基础设施的国家级实战攻防演习,关系到国计民生的关键信息基础设施单位、重要行业和产业的工业企业。自开展以来,便成为促进和推动国家关键信息基础设施安全防护工作的重点之一。每年举行的国家级实战攻防演习,聚集了国内多支顶尖攻击团队,在攻击手段和强度上远远超过日常安全检查和攻防演练,防守方都面临着非常严峻的考验:攻击方为了在规定时间内破解防护方严密的防守策略,必须使用更为高效、隐秘的攻击手段;演习期间大量自动化工具、多源低频等高级攻击手段的使用给防守方带来很大的压力;大量 0day 漏洞和利用工具的快速传播给防守方带来极大的挑战。
发布时间:2020-11-27 12:02 | 阅读:6001 | 评论:0 | 标签:攻防

每日攻防资讯简报[Nov.26th]

收录于话题 0x00漏洞1.自动化服务器管理工具cPanel漏洞,可通过爆破绕过2FAhttps://www.digitaldefense.com/news/zero-day-cpanel-and-webhost-manager/0x01工具1.elk-tls-docker:&nbs
发布时间:2020-11-26 23:09 | 阅读:10904 | 评论:0 | 标签:攻防

智能漏洞攻防探索 Note

0x00 前言PS: 本笔记来自张超教授的现场talk总结漏洞攻击 –> 漏洞漏洞防御 –> 补丁漏洞攻防路线:机器辅助人来挖(CTF, 主要依靠个人能力) –> 自
发布时间:2020-11-26 12:51 | 阅读:5256 | 评论:0 | 标签:漏洞 智能 攻防

每日攻防资讯简报[Nov.25th]

收录于话题 0x00漏洞1.蓝牙攻击可以在几分钟内偷走特斯拉Model Xhttps://www.wired.com/story/tesla-model-x-hack-bluetooth/ 2.详细介绍SaltStack命令注入漏洞https://www.z
发布时间:2020-11-25 21:23 | 阅读:7903 | 评论:0 | 标签:攻防

2020京麒大会 物联网安全攻防实战训练营火热报名中!

收录于话题 ‍‍‍‍‍‍‍‍‍‍‍‍智能水杯、共享单车、无线pos机、智能物流......这些常见的物联网设备正在渗透进人们生活中的每个角落。但是随着物联网应用场景不断丰富,物联网的安全问题随之而来。物联网安全研究员也成为炙手可热的职业。虽然物联网人才需求很大,但是复合型人才仍然不足,人才学习过程中也仍然存在诸多问题。本次看雪联合2020 京麒网络安全大会,邀请业内大牛亲自研发前沿课程《物联网安全攻防实战训练营》,拒绝纸上谈兵,带你用实践的方式,深入学习物联网攻防学习中的那些难点和痛点。
发布时间:2020-11-25 21:23 | 阅读:8002 | 评论:0 | 标签:物联网 攻防 安全

助力实战人才培养丨网络安全攻防对抗实战技术专题讲座(广东培正学院专场)

收录于话题 REVIEW网络安全攻防实战技术专题讲座◆ 广东培正学院专场 ◆活动回顾2020年11月24日,由锦行科技主讲、广东培正学院主办的网络安全攻防对抗实战技术专题讲座在第三教学楼3105教室如期举行。本次会议旨在加强同学们对网络安全的认识,同时对“锦行杯”大学生网络安全攻防对抗实战比赛内容进行答疑。广东培正学院数据科学与计算机学院教学副院长赵文、党总支书记兼行政副院长侯崇富、网络工程系系主任何小平等人出席了本次会议。讲座吸引了近百名学生前来观看,收获了来自校内学生的广泛好评。下面我们一起来回顾下吧。
发布时间:2020-11-25 21:23 | 阅读:7537 | 评论:0 | 标签:网络安全 攻防 安全

北约掀起抢占全球网络高地“风暴”构建一体化网络攻防体系

 【导读】当网络攻击成大国“沟通”的一种常态时,“网络战”便从概念走向实操,成为国家政府、国防军事决策者们重要关注点之一。“网军”作为新的军种(或兵种)必将走向战场,而与之相应“军备演习”也将随着时局刷出新高。11月16日-20日,北约完成其一年一度的“网络联盟”演习,与往年不同,此次演习不仅首次以线上方式进行,更为值得注意的是,此次演习在规模上再度创历年新高,而在攻防交错间,更有军事专家直评:北约此举,欲在抢占全球网络安全制高点。
发布时间:2020-11-25 16:48 | 阅读:5357 | 评论:0 | 标签:体系 攻防

每日攻防资讯简报[Nov.23th]

收录于话题 0x00漏洞1.基于DNS的服务发现软件HashiCorp:从信息泄露到RCEhttps://lab.wallarm.com/consul-by-hashicorp-from-infoleak-to-rce/?utm_source=Reddit&utm_medium=post&u
发布时间:2020-11-23 23:00 | 阅读:8105 | 评论:0 | 标签:攻防

记一次攻防演习渗透过程

收录于话题 记一次攻防演习渗透过程前言记录一次攻防演习渗透过程,文章仅写关于「打点」环节的部分,也就是拿到靶标的Webshell为止。任务: 拿到XXX
发布时间:2020-11-22 10:56 | 阅读:10038 | 评论:0 | 标签:渗透 攻防

2019新版渗透测试工程师攻防就业班视频教程(共计5套)

收录于话题 教程为网络安全工程师、渗透测试工程师培训教程,知识点非常全面,从网络基础知识到服务器安全配置,再到漏洞原理利用方法,常规的web渗透测试流程,以及python编程基础到代码审计都有讲解,非常适合学习网络安全,并将来有志于从事渗透测试工程师、安服、安全运维等岗位的小伙伴。教程获取方式请在文末左下角点击阅读原文教程共计5套,累计50G(不包含常用测试系统、镜像靶机环境、工具等情况下)。
发布时间:2020-11-21 19:28 | 阅读:15686 | 评论:0 | 标签:渗透 攻防

【中奖名单】《网络攻防实战研究:MySQL数据库安全》书籍中奖名单公布啦!

收录于话题 恭喜获得《网络攻防实战研究:MySQL数据库安全》书籍的八位同学鼓掌!!没有中奖的小伙伴也不要伤心哦!!后期我们还会有更多惊喜和福利哦!请以上截图中的八位获奖用户尽快将寄送地址和电话号码等联系方式,还有点击在看、点赞和转发截图统一发送至安全脉搏公众号后台或联系安全脉搏小编,我们会核查你的中奖信息,并尽快安排礼物寄送哟~注:晚于11月27日18点后概不兑换~小伙伴尽快给到地址信息哦。
发布时间:2020-11-21 19:28 | 阅读:8330 | 评论:0 | 标签:SQL 攻防 安全

攻防最前线:把小米扫地机器人变成窃听器

一台被黑客入侵的智能扫地机器人能够监听主人的一言一行?这可不是天方夜谭。黑客已经找到了办法,利用一种名为LidarPhone的技术(下图),把智能扫地机器人中的导航组件——激光雷达(LiDAR),变成激光麦克风。近日,马里兰大学和新加坡国立大学的学者用LidarPhone成功将小米公司热卖的“石头”(Roborock)扫地机器人变成了窃听器。LidarPhone攻击并不简单,需要满足某些条件。首先,攻击者将需要使用恶意软件或受设备固件更新漏洞来修改吸尘器的固件,以便控制LiDAR激光雷达组件。
发布时间:2020-11-20 15:01 | 阅读:8743 | 评论:0 | 标签:攻防

每日攻防资讯简报[Nov.19th]

收录于话题 0x00漏洞1.UOKOO安全摄像头的身份认证后RCE漏洞与驻留https://hex.fish/2020/11/17/post-auth-rce-and-persistence-on-uokoo-security-cameras/ 2.JamoDat – TSMManager
发布时间:2020-11-19 21:06 | 阅读:8405 | 评论:0 | 标签:攻防

一段代码瘫痪一座工厂?奇安信现场展示攻防全过程

11月19日,2020中国5G+工业互联网大会隆重召开,在5G+工业互联网成果展示的特别活动上,“网安一哥”奇安信亮相,并在展台复现了工业互联网攻防的全过程,一段代码真的可以瘫痪一座工厂?吸引了大量现场观众一探究竟。数据异常、设备损坏、工厂停产……这一系列问题的背后,可能只是电脑另一端的几行代码或几个指令,但却能给工业企业带来无法承受的经济损失甚至更加严重的后果。随着工业互联网时代的到来,网络安全形势日趋严峻,这就需要建设全新的工业互联网安全保障体系。据了解,奇安信此次展示的设备为一套生产有机农药的化工装置,在网络攻击发生之前,指标一切正常。
发布时间:2020-11-19 11:30 | 阅读:4462 | 评论:0 | 标签:攻防

RASP攻防:RASP安全应用与局限性浅析

文|腾讯安全平台部数据安全团队qiye & baz前言随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在2012年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP,属于一种新型应用安全保护技术,它将防护功能“ 注入”到应用程序中,与应用程序融为一体,使应用程序具备自我防护能力,当应用程序遭受到实际攻击伤害时,能实时检测和阻断安全攻击,而不需要进行人工干预。
发布时间:2020-11-19 11:24 | 阅读:5179 | 评论:0 | 标签:攻防 安全

公告

ANNOUNCE

ADS

标签云