记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SOBUG诚聘渗透测试工程师

SOBUG诚聘渗透测试工程师 职位诱惑: 黑客云集、技术前沿、氛围轻松 岗位要求: 以下要求满足两条及以上即可。 1、丰富的安全经验,熟练运用各种安全、黑客工具,对渗透有高度清晰的认识。 2、熟练使用包括但不限于PHP、python、java、C#、C++等常用编程语言一门以上,熟练mssql、mysql、oracle等常用数据库,能够自己写程序解决问题。 3、熟悉漏洞原理,能够独立挖掘/分析PHP或JAVA或.NET或ASP等应用漏洞,并编写exp。 4、熟练木马免杀,程序逆向,能独立分析后门文件。 5、熟悉waf、ips等防护设备原理,能针对环境绕过防护设备。 6、熟练社会工程学攻击,能在高度安全的渗透环境中进行社工攻击,包括但不限于撒网式钓鱼、以及定向欺骗等。 7、熟悉常见企业系统及其漏洞,包括但不限于
发布时间:2017-06-02 16:35 | 阅读:360461 | 评论:0 | 标签:招聘 sobug 渗透测试工程师

【实习招聘】安全圈老司机教你开车,还有优质工作推荐呦

SOBUG个人提升计划实习生招募开始~~ 如果你有 一定的渗透基础,略懂代码审计 有强烈的学习动力,希望实打实提升技术水平 希望有大牛指导提升,为简历增加竞争力 希望业内引荐,获得优质工作机会 有时间!有时间!有时间!重要的事情说三遍! 那你就是我们要找的人 工作内容及收获 通过面试的同学,将会加入SOBUG安全研究小组,由SOBUG资深安全研究员统一带队指导。工作内容大致分为代码审计和渗透测试,我们会根据你擅长的方向安排好相应的岗位,通过密集的项目测试,你可以在独立/协作漏洞挖掘中学习到更多漏洞思路,在遇见问题时求助,也可以通过漏洞相互讨论交流思路方法。 我们将会根据你的表现,在实习期结束后,为你出具实习证明,并利用SOBUG的安全圈人脉关系向业内各大公司帮你推荐优质工作。 工作地点 根据招聘结果以及结合实际
发布时间:2017-01-11 11:20 | 阅读:127413 | 评论:0 | 标签:招聘 sobug 代码审计 实习招聘 渗透测试

Sobug众测助阵MOSEC移动安全会议

“MOSEC移动安全技术峰会”是由盘古团队和韩国POC峰会共同主办。不久前,从盘古工作人员处获悉,不仅Keen Team、奇虎360、墨贝科技会在大会上进行技术演讲,微软大叔和韩国KAIST也将齐聚MOSEC进行交流分享。 Sobug作为国内知名的安全众测平台一直关注国内外重大的安全峰会,继去年赞助HITCON和KITCON盛会举行后。今年,Sobug众测平台也将作为MOSEC的合作伙伴亮相“MOSEC移动安全技术峰会”。 “互联网是无国界的,技术的交流是无国界的,开放、开源正是互联网安全的魅力所在。”Sobug众测平台CEO冷焰说到。“未来的某天,Sobug也定会举办这样的一场安全盛会。” 目前,峰会的7个议题已经全部确定,主要围绕iOS、Android和Windows三大移动平台的安全问题进行探讨。 下面
发布时间:2015-05-19 14:35 | 阅读:70417 | 评论:0 | 标签:业界 MOSEC sobug 盘古 移动

张溪梦:利用数据分析创造商业价值【Sobug技术分享】

“大数据”时代,数据成为决策最为重要的参考之一,但是大数据这个概念似乎还依旧停留在云端。如何利用大数据响应节节攀升的市场变化速度,同时也将企业利用数据驱动精益运营的能力推到一个至关重要的地位。4月28日下午,Sobug众测团队荣幸的邀请曾负责LinkedIn整个商业数据分析、现任Growing.io CEO的张溪梦先生分享他的经验与心得。 本次沙龙除邀请到张溪梦先生外,租租车 CEO Ken总、爱拍原创联合创始人&CTO 邹光先先生也为此特从广州赶来,同时在场还有辣妈帮社区Coo以及土巴兔装修家居、金斧子、嘀咕网的创始人&合伙人们,以及身在腾讯、华为、民生银行技术部门的工程师们。 一、大数据分析的核心方法论 张溪梦认为数据分析很简单,本质就是了解历史预测未来。李世民痛失魏征时讲过“人以铜为镜,可
发布时间:2015-05-05 11:05 | 阅读:80974 | 评论:0 | 标签:业界 sobug 大数据 张溪梦

SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议

0×01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。 在新加坡举行的Black Hat亚洲安全会议上,Imperva公司的安全总监Itsik Mantin详细介绍如何使用该攻击原理, 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个长达13年的问题所导致的. 通过RC4的不变性弱密钥,允许攻击者在特地情况下还原加密信息中的纯文本,可能就会暴露帐户密码,信用卡数据,或其他敏感信息。不像以前SSL攻击手法,仅仅只需要被动嗅探和监听SSL/TLS连接就可以进行攻击. Itsik Mantin介绍说如果要劫持会话可能还是要用到中间人攻击。 该漏洞的产生原因是由于不变性弱点,是在RC4加密算法中的一个L型关键图形,其中一旦它存在于一个RC4密钥,保存的状态会
发布时间:2015-03-30 13:40 | 阅读:240185 | 评论:0 | 标签:技术 Bar Mitzvah Attack sobug SSL/TLS 漏洞时间 漏洞

SSRF漏洞的挖掘经验

SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容
发布时间:2015-02-10 00:20 | 阅读:125985 | 评论:0 | 标签:Web安全 he1renyagao Naih secpulse Server-Side Request Forgery

关于校园安全联盟 来点小惊喜?

写在前面 2015年从开始就没能落得清闲,最近一直在忙,忙于各种奔走,忙于各种洽谈,见了很多人,探索了很多新领域,自然也从中学到了很多东西。 做完年终总结,对2014说了一声再见,对于沉默了一段时间网络尖刀来讲,也是时候该有点声音了,和冷焰彻夜长谈,我们计划了很多事,于是在今天宣布第一个小惊喜,对于我们两个人来讲,这算是我们新年开始的第一次改革。   小惊喜 我们决定拿出一百万的预算资金,在全国50所学校内,建立校园信息安全兴趣社团!通过定期授课、在线培训、实战探索等方式,用一年时间,构建国内最大的、最规范的校园安全社团!用以促进互联网安全文化在全国校园内的研究与交流,同时为信息安全行业增添新生血液。 项目落地 结合网络尖刀团队和Sobug众测平台优质资源,不但为广大在校生们提供有利的学习条件,还为
发布时间:2015-01-26 20:50 | 阅读:67507 | 评论:0 | 标签:业界 投资 sobug 校园安全联盟

众测之sobug的体验

如果觉得文章排版有点乱可以看这里:http://mp.weixin.qq.com/s?__biz=MzA4NzM5MTUzOQ==&mid=200791695&idx=1&sn=5af0d0d504b2306e2b4b44ab2065d01b#rd最近比较忙,每天差不多2、3点才睡觉,除了工作的事,还在整理自己的一些东西,包括一些想法、网站以及自己的知识点,不过还是抽出一些时间体验并且真正的以白帽子的身份参加了下sobug众测的两个项目,今天来跟大家聊聊。(如果不懂众测是什么的同学可以先百度了解下) 真正认识冷总应该在今年参加syscan360会议的那会,冷总加了我微信,然后本来要准备见面聊聊天,前后两三次都不正好,没聊成,不过syscan360当天晚上微信上与冷总聊了众测以及
发布时间:2014-09-04 07:50 | 阅读:118738 | 评论:0 | 标签:安全科普 思想碎片 360刃甲 sobug wooyun众测 众测 威客众测 安全众测平台 漏洞盒子

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云