• 2020中国NTA/NDR类产品能力测试结果公布:5大能力及应用组

    9月25日,中国信息通信研究院安全研究所联合FreeBuf咨询共同发布网络安全产品技术能力验证评估系列报告《中国网络流量监测与分析产品研究报告》(2020年)。其中,中国信息通信研究院安全研究所负责对国内主流NTA/NDR类产品进行基本面测试评估,并独立输出整体测试、分析结果与测试报告。本次测试的内容和角度覆盖全面且广泛,测试包括产品功能、性能以及自身安全测试,覆盖数十种技术能力指标测试项。作为NTA/NDR类产品的“能力拔高测试”,测试结果体现相关产品在某一个功能领域的真实技术实力。基于测试结果,《中国网...
  • Gartner 2020年-2021年十大安全项目

    点蓝色字关注“云技术”“您是否正在设法确保远程工作队伍的安全,但又不想阻碍企业的生产效率?”“您是否正在努力确认安全能力的风险和差距?”“首席信息安全官应该把时间和资源投入到哪儿?”安全和风险管理专家经常会提出这些问题,但真正的问题应该是在不断变化的安全形势下,哪些项目将带动最大业务价值并降低企业机构的风险。Gartner高级研究总监Brian Reed在2020年Gartner安全和风险管理峰会线上会议中提到:“我们可能把太多时间用在了过度分析我们所作的安全选择上,拼命去实现根本不存在的完美防护。我们不能...
  • 《中国网络流量监测与分析产品研究报告》(2020年)正式发布

    任何网络活动必定会产生网络流量,而基于网络全流量记录、实时深度监测分析,用户可以了解网络中发生的任何情况,做到对未知威胁的第一时间发现、第一时间响应。目前,伴随着物联网设备规模化增长、5G商业落地、云计算和边缘计算普及,网络流量也迎来爆炸性增长。一方面,网络流量中承载着庞大的业务信息(支付信息、账号信息等),能够反映出最为直观、真实和有效的数据。另一方面,日益复杂的IT环境则给流量监测与分析带来了更大的挑战。在现实需求下,以网络流量为基础的NTA/NDR技术逐渐应用于网络威胁和异常网络行为的检测。经过实际网...
  • 请尽快升级!Chrome浏览器又发现了可远程攻击的高危漏洞

    点击上方“python入门与进阶”,关注并“星标”每日接收Python干货!来自 |扩展迷EXTFANS9月22日,谷歌在公告中披露了Chrome浏览器的7个漏洞,其中有5个高危漏洞。攻击者只需通过钓鱼的方式引诱目标用户点击特定网页,便可以查看、更改或删除用户数据。其中最严重的漏洞,可能允许攻击者在用户浏览器执行任意代码。不过,如果应用程序在系统上具有较少的用户权限,则与配置了管理权限的情况相比,漏洞造成的影响相对要小一些。漏洞详情1. CVE-2020-15960 严重程度:高超出范围的存储读取。该漏洞可...
  • Firefox漏洞可通过WiFi网络劫持其他安卓设备

    澳大利亚安全研究人员Chris Moberly 近日发现了Firefox安卓浏览器中的安全漏洞,漏洞位于浏览器中的SSDP引擎中。攻击者利用该漏洞可以对连接到同一WiFi网络的安装了Firefox APP的安卓手机进行攻击。漏洞概述SSDP(Simple Service Discovery Protocol,简单服务发现协议)是一个基于UDP 的协议,是用于发现网络上其他设备的UPnP 的部分。在安卓系统中,有漏洞的Firefox 版本会定期发送SSDP 发现消息,寻找要投射的第二屏幕设备。这些消息会通过U...
  • 印度滑向网络犯罪大国

    点击蓝字关注我们三个月前,安全牛曾报道过“印度正在成为黑客大国”,印度的渗透测试人才和漏洞猎人正在急速崛起,已经超越了美国和巴基斯坦,印度正在成为网络空间超级大国。根据Insight的报告,2022年印度网络安全市场规模有望达到30亿美元,增长速度是全球平均水平的150%。但与此同时,最新的报告显示,紧张的地缘政治和新冠疫情正在加速推动印度滑向“网络犯罪大国”的深渊。从IT大国到黑客大国威胁情报公司IntSights的一份新报告显示,印度“生产”技术人才的速度远超过其国内市场的消化能力,许多年轻的印度人正在...
  • 寻找你的第一个漏洞

    最近 Burp Suite 社区有在收集赏金猎人对于新手的一些建议。其实,相对于国外来说,国内的白帽子的生存环境还是比较恶劣的,和国外相比,国内的白帽子的生存环境还需要进一步提高。如果想全职在中国做一名白帽子还是比较困难的,但国外全职的白帽子就比较多。自己其实在安全方面也不能算老手,之前也不是做安全挖洞出身的。自己当初第一个提交给 SRC 的漏洞还是在内网做代码审计发现的开源框架的 XSS 漏洞,当初是阿里和大众点评各一个。虽然漏洞不值钱,但当时还是比较开心的。后面也都是偶然发现的一些信息泄露,SRC 的项...
  • 从SDLC到DevOps下的广义应用安全管控体系

    前言17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。经过重人力运营的严格SDLC活动(各业务开发条线配备一名或多名专职安全运营人力进入开发团队深度运营),完成下来基本上可以极大的降低应用安全风险。但随着这两年公司IT人力迅速扩张,以及各类业务需求的爆发增长,推动着敏捷开发的迭代周期不断缩短,倒逼研发模式向DevOps转型。这种状态下,重人力运营的SDLC逐渐成为整个开发流程中的短板,对于动辄数千个应用的...
  • 要保护好自己啊,白帽子们

    最近网安圈有白帽子频繁以个人名义披露各家厂商的安全漏洞,着实为各家厂商以及安全从业人员敲响了警钟。反观整个事件,我们换个角度,漏洞真的是以个人或者组织名义想报就能报的吗?今天小编也借这个机会,和各位来共同探讨下这个问题。先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。从维护整个网络安全产业秩序,共建和谐社会的角度来看。安全产品需要维护,不断更新和迭代以适应不...
  • 宝塔曝严重漏洞,有人拿来黑gov并挂黑页!

    宝塔 Linux 面板是提升运维效率的服务器管理软件,支持一键 LAMP / LNMP /集群/监控/网站/ FTP /数据库/ JAVA 等100多项服务器管理功能。昨晚8点 宝塔发布官方平台短信漏洞细节:凡是在宝塔面板安装了phpmyadmin数据库管理软件只要通过对应方法,无需用户名密码即可操作数据库其中888为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该漏洞http://ip:888//pma/与此同时,宝塔官方发布了宝塔面板7.4.2的手动更改API鉴权破解方法该漏洞可以使其他人...
  • 十年十倍!网络安全产业迎来黄金十年

    点击蓝字关注我们安全牛评过去五年中国网络安全产业发展迅速,市场规模已经突破600亿元,但与欧美发达国家相比,我们的网络安全产业依然非常稚嫩,无论是市场规模、GDP占比还是企业IT支出占比,中国的网络安全产业都大幅落后于发达国家。21世纪的第三个十年,随着远程办公常态化、企业数字化转型深化、网络犯罪产业化、互联网巴尔干化,网络安全正在成为全球数字化变革和科技创新的主角。新的十年,面对十倍于当下的网络安全蓝海市场,一个“零时代、大安全”的历史性机遇,中国网络安全企业应当紧紧抓住生态融合、技术创新和资本助推三大发...
  • 黑客成果遭窃取,上亿黑产水有多深?

    自从6月份,“吃鸡”外挂黑产上亿的新闻出现以来,越来越多的人开始关注游戏外挂这个市场。其实,现在游戏上常见的外挂,主要就下面这几种形式:1、骨骼透视(游戏《绝地求生》截图)2、全屏秒杀,过TP(游戏《DNF》截图)3、瞬移穿墙(游戏《九阴真经》截图)4、GDI+ 透视(游戏《CS GO》截图)5、全图秒杀,吸怪(游戏《火炬之光》截图)最近几年,因为互联网的大规模普及,网络安全的需求略大,很多人甚至直接就把黑客和网络安全等同起来。其实,游戏外挂、对程序进行逆向和破解的,也属于黑客。这个圈子其实很直接——黑色的...
  • 如何从零成为黑客大神?

    hello 我是Xbaer在12年拿到数字公司ATEAM offerblackhat受邀演讲嘉宾之一的十二年安全圈老鸟经常有圈内新手、圈外人问我这样一个问题黑客真有这么厉害吗? 就目前而言,在黑客游戏或影视作品中黑客所展示的能力与现实是相差无几的(黑客帝国此种类型除外)唯一的区别是    影视作品中的主角能够瞬控电力系统,造成城市电力瘫痪。分分钟窃听遇到的任何人。     在现实里,很有可能是一群衣衫不整、日夜颠倒的技术人员,花了几天甚至几个月才能拿到相关权限或0day(零日漏洞)。    拿到后,瞬发是可...
  • 如何分析Linux恶意程序

    一、前言近期接手了不少Linux恶意程序的分析任务,在处理任务的过程中,当然会参考网络中的一些技术文档,于是就发现了一个问题:在各大平台上,关于Linux恶意程序的分析介绍相对较少;所以,自己就想对这方面的知识进行一些弥补,把自己对Linux恶意程序的分析方法和思路提炼分享出来,供大家参考交流。本篇文章中提到的所有方法均是在本人实际工作中接触使用并提炼出来的,例如:当遇到的rootkit会从自身解密ELF模块,并将其加载进内存中时,才发现详细了解ELF文件结构是多么的重要;当使用IDA远程调试,代码执行逻辑...
  • 征战云时代,为什么安全是关键命题?

    (本文阅读时间:10分钟)▲从左到右:李亮(主持人)、张美波、蒋涛、韦青扫描上方二维码直达精彩回顾全球数字化转型浪潮不断推进下,企业上云步伐加快,在这个过程中不少企业发现,随着 IT 基础设施逐渐云化,云改变企业的底层基础设施架构,安全也随之往云化,传统安全架构不再适用于云上。伴随AI、云计算等前沿技术的发展,外部安全攻击趋于智能化、复杂化、规模化,云上防护的方式变得更多元化、复杂化,部署强大的安全架构是企业迫在眉睫的事。那么在具体实现时,企业如何加强自身的云安全防御架构?8 月 11 日,由 CSDN、微...
  • BUF大事件丨佳能遭严重勒索软件攻击;谷歌浏览器漏洞,影响数十亿用户

    本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,Google Chrome浏览器漏洞,数十亿用户遭受数据被盗风险;佳能遭严重勒索软件攻击,10TB数据被窃取;黑客可远程破解奔驰E级轿车;国家互联网应急中心发布《2019年中国互联网网络安全报告》。想要了解详情,来看本周的BUF大事件吧!观看视频内容梗概Google Chrome浏览器漏洞,数十亿用户遭受数据被盗风险近日谷歌Chrome浏览器被发现严重漏洞,漏洞编号CVE-2020-6519。攻击者可以利用该漏洞绕过网络的内容安全策略对用户发动恶意攻击,窃...
  • 内网渗透中最常见的十种漏洞分析总结

    以下信息是根据2020年和2019年为全球各种中型组织和企业完成的60多个渗透测试报告汇总而来的,在跳转到列表之前,让我们简要介绍一下全面的测试方法。0x01 测试方法目的是使用白盒(灰盒)方法在现场进行内部基础设施渗透测试。这意味着对用于测试的工具没有任何限制,并且范围信息也预先共享。唯一的黑盒部分是,一开始并未提供网络访问权限。因此,在对网络访问控制进行初步评估(NAC旁路,WiFi评估等)之后,通常会将测试者列入网络白名单,以便执行实际测试而不会在网络级别受到阻碍。然后从网络上的员工/非特权用户的角度...
  • 蓝队反制手段

    PDF文章来源:NEO队网络安全攻防演习在国内已经逐渐常态化,从行业、区域(省份、地市)到部级...2020年1月份开始到现在可以说基本上每个月都有1-3场HW,红与蓝的对抗从未停息。红队的攻击技巧可以无穷无尽(扫描器、社工、0day、近源...),但是对于蓝队防守来说除了演习中常规的封IP、下线业务、看日志分析流量等“纯防守”操作以外,似乎实在是没有什么其他的防御手段了。笔者在参与的几场攻防演习项目中担任“蓝队防守”角色,就发现了这一缺陷,似乎安全防御基础较弱的厂商再怎么充足的进行演习前准备,都只有乖乖的...
  • 牛聘|2020年度岗位招聘第10期

    点击蓝字关注我们牛聘是安全牛旗下的垂直招聘平台,为了帮助安全牛会员企业更好的解决用人的需求,牛聘每周六陆续发布会员企业的招聘信息,发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定,本次发布2020年度岗位招聘第10期。牛聘|2020年度岗位招聘第10期烽台科技烽台科技(北京)有限公司成立于2015年,是一家创新型公司,烽台科技始终致力于工业控制系统(ICS)或数据采集与监视控制系统(SCADA)相关的安全研究与实践,提升行业用户对安全的意识。烽台科技通过提供风险发现、预警、加固技术,为行业风险管控...
  • Apple Touch ID漏洞被用于劫持iCloud账号

    今年初,苹果公司修复了一个iOS和macOS中的一个安全漏洞,攻击者利用该漏洞可以获取用户iCloud账号的未授权访问权限。该漏洞是2月份由Computest的安全研究人员Thijs Alkemade发现,漏洞位于苹果公司的TouchID (FaceID)生物特征实现中,经过认证的用户可以用TouchID 来登入Safari上的站点,尤其是那些使用Apple ID登陆的站点。研究人员将该漏洞负责任地报告给了苹果公司,随后苹果公司通过服务器端更新修复了该漏洞。认证漏洞当用户想要登入需要Apple ID的站点时...
公告

《从零开始开发BBS》课程上线啦,快来跟着我一步步搭建属于你的BBS吧。

课程地址:https://www.shiyanlou.com/courses/1436
9折优惠邀请码: ZHwfIjb1

该课程会带领大家一步步的了解并熟悉Go语言开发,如果你是一个Go语言初学者,或者正准备学习Go语言,那么这个课程非常适合你。如果你熟练掌握了本课程中的知识点,相信你就已经入门Go语言开发,并能胜任日常的开发工作了。

如果你在安装部署bbs-go过程中遇到了困难,请不要着急,这里为你准备了一份《bbs-go安装部署帮助》