• 某东签名算法解析(一)

    一、目标 我们来分析某东的 sign 签名算法,先搜索一个商品,抓包结果: 二、步骤 sign 是 32 位的字符串,从长度上看,很像 md5,我们先用 jadx 全局搜索 一共十几个结果,一个一个去 hook 肯定不现实,我们点进去分析代码找到了这个部分: 这就简单了,我们在源头拦住,直接 hook javax.crypto.spec.SecretKeySpec 相关的函数: var secretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec'...
  • 某东签名算法解析(一)

    一、目标 我们来分析某东的 sign 签名算法,先搜索一个商品,抓包结果: 二、步骤 sign 是 32 位的字符串,从长度上看,很像 md5,我们先用 jadx 全局搜索 一共十几个结果,一个一个去 hook 肯定不现实,我们点进去分析代码找到了这个部分: 这就简单了,我们在源头拦住,直接 hook javax.crypto.spec.SecretKeySpec 相关的函数: var secretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec'...
  • Gartner 2020年-2021年十大安全项目

    点蓝色字关注“云技术”“您是否正在设法确保远程工作队伍的安全,但又不想阻碍企业的生产效率?”“您是否正在努力确认安全能力的风险和差距?”“首席信息安全官应该把时间和资源投入到哪儿?”安全和风险管理专家经常会提出这些问题,但真正的问题应该是在不断变化的安全形势下,哪些项目将带动最大业务价值并降低企业机构的风险。Gartner高级研究总监Brian Reed在2020年Gartner安全和风险管理峰会线上会议中提到:“我们可能把太多时间用在了过度分析我们所作的安全选择上,拼命去实现根本不存在的完美防护。我们不能...
  • 开启人才进阶之旅,鲲鹏开发者技术沙龙点燃计算行业激情

    2020年,新基建风口已至,建设数字基础设施,打造数字产业生态是其关键与核心,而算力底座将成为其重要的运行支撑。数字化浪潮大背景下,鲲鹏计算产业生态,充满巨大的想象与发展空间,但同时也面临专业人才短缺的难题。可以说,计算产业的人才培养刻不容缓。9月16日,为促进信息技术应用创新领域人才建设、技术交流和相关适配工作的开展,共同推动计算产业生态建设,鲲鹏开发者技术沙龙启动仪式于北京鲲鹏联合创新中心成功举办,第一期沙龙也于9月17日正式拉开帷幕。信创之路漫漫,更当以人为本信息技术产业的发展离不开创新,北京鲲鹏联合...
  • 从SDLC到DevOps下的广义应用安全管控体系

    前言17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。经过重人力运营的严格SDLC活动(各业务开发条线配备一名或多名专职安全运营人力进入开发团队深度运营),完成下来基本上可以极大的降低应用安全风险。但随着这两年公司IT人力迅速扩张,以及各类业务需求的爆发增长,推动着敏捷开发的迭代周期不断缩短,倒逼研发模式向DevOps转型。这种状态下,重人力运营的SDLC逐渐成为整个开发流程中的短板,对于动辄数千个应用的...
  • 假如有人把支付宝的服务器炸了, 存在支付宝里的钱是不是没了?

    Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者丨净整些没用的出处:https://www.zhihu.com/question/350997893/answer/875003181今天在知乎看到了一个问题《假如有人把支付宝存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?》外行人问题。网站都是有服务器的,服务器都是有实体的。那么支付宝的实体服务器所在地假如被一颗核弹 / 导弹等等炸了,那么大众存支付宝里...
  • 要保护好自己啊,白帽子们

    最近网安圈有白帽子频繁以个人名义披露各家厂商的安全漏洞,着实为各家厂商以及安全从业人员敲响了警钟。反观整个事件,我们换个角度,漏洞真的是以个人或者组织名义想报就能报的吗?今天小编也借这个机会,和各位来共同探讨下这个问题。先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。从维护整个网络安全产业秩序,共建和谐社会的角度来看。安全产品需要维护,不断更新和迭代以适应不...
  • 智能风控系统设计与实践

    导读在主流互联网产品中,比如搜索和推荐的系统,为了挖掘用户潜在购买需求,缩短用户到商品或信息的距离,提高用户的使用体验,都需要使用大量的特征来刻画用户的行为。在信息安全领域,建立在人工智能技术之上的策略引擎已经深入到了风控产品功能的方方面面,相应的,每一个策略系统都离不开大量的特征,来支撑模型算法或人工规则对请求的精准响应,因此特征系统成为了支持线上风控引擎的重要支柱。本文以智能风控在线特征系统为原型,重点从线上数据从生产到特征物料提取、计算、存取角度介绍一些实践中的通用技术点,以解决在线特征系统在高并发情...
  • 有了这11个神器,瞬间逼格就上去了!

    每天12:18准时给大家惊喜!大家好!我是好奇仔,热衷于搜罗和分享各种好用、实用的软件神器和资源,有手机软件、办公软件、APP,还有网站资源……来自公众号:程序猿石头 作者:码农唐磊今天我继续推荐一些本人觉得比较优秀的其他软件。Near Lock这个 App 确实很符合题意啊。这个就是前文提到的装13神器,哈哈当初是遇到搞活动购买的,1 块钱还是多少忘记了。NearLock[1] 这款软件是 Mac + iPhone 结合使用,利用蓝牙进行距离感应,能够对 Mac 电脑进行自动锁屏/开锁。Near Lock...
  • 杯具!转正前一天被公司开除了...

    点击上方“民工哥技术之路”,选择“设为星标”回复“1024”获取独家整理的学习资料!那年4月,刚从上一家公司离职的我,在学车的同时,刷着简历,试着找下一份工作。无意间刷到一家企业在招聘IT负责人,看了看相关的要求,与自己还是比较匹配的,所以,随即就投了简历。几天后,HR电话通知我去参加面试,心里不由的还一整狂喜,心想:机会来了!到公司后,填表,第一轮是HR小姐姐面试,简单聊了聊目前的状态,工作经历等,然后,双方都感觉可能招聘要求写的也不太具体,可能与我的个人工作经历匹配度有所有不太相符,公司的初衷是想招聘一...
  • 假如把支付宝存储服务器炸了,里面的钱还在么?

    (给程序员的那些事加星标)作者:净整些没用的www.zhihu.com/question/350997893/answer/875003181曾经在银行做过四年的运维,一个干IDC的从业人员来答一波。其实这个问题早在几十年前,就有人提出。在2007年7月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室就制定了《信息安全等级保护管理办法》,其中明确表示:作为目前金融圈信息安全等级的权威认证系统,三级等保是除银行之外的金融系统最高等级信息安全认证。这个目的就是防止信息系统受到破坏后,对社会秩序和公共...
  • 聊聊推特的“内鬼”事件,企业如何防“内鬼”?

    我以前没得选,现在我想做个好人。十年卧底,白云苍狗,《无间道》那句经典台词想必大家还记忆犹新。而现实生活中也潜藏着、上演着《无间道》的“内鬼”剧情。本期话题讨论围绕企业“内鬼”的主题开展,观点纷呈,如果你也有话说,欢迎在留言区参与互动~你了解哪些著名的“内鬼”作案事件?@freebuf01@mxwx2018Bilibili源码泄露事件不知道算不算,还有那个微盟删库事件@qingxp92016年的新闻,富士康前员工搭建无线网桥到厂外,入侵苹果内网帮助激活手机@yuxuan007斯诺登棱镜计划应该也算是“内鬼”...
  • 牛聘|2020年度岗位招聘第10期

    点击蓝字关注我们牛聘是安全牛旗下的垂直招聘平台,为了帮助安全牛会员企业更好的解决用人的需求,牛聘每周六陆续发布会员企业的招聘信息,发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定,本次发布2020年度岗位招聘第10期。牛聘|2020年度岗位招聘第10期烽台科技烽台科技(北京)有限公司成立于2015年,是一家创新型公司,烽台科技始终致力于工业控制系统(ICS)或数据采集与监视控制系统(SCADA)相关的安全研究与实践,提升行业用户对安全的意识。烽台科技通过提供风险发现、预警、加固技术,为行业风险管控...
  • Apple Touch ID漏洞被用于劫持iCloud账号

    今年初,苹果公司修复了一个iOS和macOS中的一个安全漏洞,攻击者利用该漏洞可以获取用户iCloud账号的未授权访问权限。该漏洞是2月份由Computest的安全研究人员Thijs Alkemade发现,漏洞位于苹果公司的TouchID (FaceID)生物特征实现中,经过认证的用户可以用TouchID 来登入Safari上的站点,尤其是那些使用Apple ID登陆的站点。研究人员将该漏洞负责任地报告给了苹果公司,随后苹果公司通过服务器端更新修复了该漏洞。认证漏洞当用户想要登入需要Apple ID的站点时...
  • @企业,快给你的电脑加把锁!

    (本文阅读时间:3分钟)移动办公模式成为企业办公主要生产力,远程监控部署成为企业管理的首要问题。既要满足安全、高效,又需为员工提供便捷的支持与防护,实现全面守护个人及企业的信息安全。企业安全守护使者——Surface 商用版通过专业的设备搭载 Windows 10 专业版系统及 Microsoft 365 众多安全防护功能,软硬兼施,全面守护企业信息安全。长按识别二维码体验线上震撼体验微软 Surface 商用版产品功能展示Surface 商用版客户专享997售后服务热线:800-820-3800400-8...
  • 狩猎APT攻击有神秘武器?这场大会上我get到了【文末有福利!】

    随着数字经济的不断发展,5G、物联网、云计算、大数据、人工智能等新兴技术突飞猛进,数字化产业化和产业数字化使得虚拟空间与物理空间深度交融,网络攻击、数据泄露、安全漏洞等安全问题呈现新的变化,单纯的网络安全逐步扩展到全社会的所有空间,安全能力将成为关系社会安定、经济平稳运行的关键基础性能力。在此背景下,8月13日-16日,第八届互联网安全大会(ISC 2020)技术日正式拉开帷幕,推出网络空间测绘论坛、漏洞管理与研究论坛、移动安全论坛、电子取证与司法实践论坛、XDR分析检测、安全开发与测试论坛、威胁情报驱动的...
  • FreeBuf 咨询《2020安全信息和事件管理(SIEM)产品研究报告》正式启动

    随着国内大部分企业信息安全建设进程完成,解决了安全能力从无到有的问题。然而在此背景下,企业面临的威胁越来越多,为了能够进行快速、持续地响应,安全人员不得不与复杂的操作流程以及匮乏的资源、技能和预算等做斗争,此起彼伏的安全事件让安全运营人员越来越疲于应付。以勒索软件事件为例,为了控制病毒在企业内网中横向渗透的威胁,企业需要在几分钟内快速完成响应。如果只依赖人工,安全事件的响应线可能被拉长,也就无法快速有效解决安全问题。如果将安全产品与技术作为企业安全工作的输入,那么良好的安全事件运营则是企业安全能力的稳定输出...
  • BCS 2020 安全创客汇总决赛十强盘点

    昨日,BCS2020安全创客汇总决赛举行,本文将带着大家一同回顾下成功入围总决赛十强的产品和技术实力,分析被资本和安全创投领域广泛看好的网络安全细分领域(细分领域可结合2020网络安全产业链图谱)。安芯网盾——总决赛冠军 获四千万投资意向书图谱中所属领域:内存安全、服务器安全 、端点防护——主机安全安芯网盾(北京)科技有限公司成立时间:2019年主营产品与服务:智能内存保护系统:计算机体系结构决定了任何数据都需要经过CPU进行运算,其数据都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全...
  • 查询亿级数据毫秒级返回!Elasticsearch 是如何做到的?| 极客时间

    搜索是软件工程师的一项必备技能。而 Elasticsearch 就是一款功能强大的开源分布式搜索与分析引擎,在同领域几乎没有竞争对手——近三年 DB-Engines 数据库评测中,ES 在搜索引擎领域始终位列第一。此外,Elasticsearch 还被广泛运用于大数据近实时分析,包括日志分析、指标监控、信息安全等多个领域。作为目前最流行的开源搜索引擎,Elasticsearch 的全球下载量已超过 3.5 亿次,BAT、京东、滴滴、头条、饿了么、360 安全、小米等公司都在使用。 如何高效使用 Elas...
  • 【牛人访谈】零信任的本质:基于身份的动态管控

    点击蓝字关注我们安全牛评2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规、远程办公加速安全边界消失、数字化转型(上云)。而零信任正是当下企业渴望的一种能够应对以上挑战的,全新的网络安全防御方法和体系。零信任不仅可以保护整个企业范围内的总体边界,还可以将企业的安全边界移动到组织内外的每个网络、系统、用户和设备从而使更细粒度和更高效的安全访问控制成为可能。总之,零信任架构的本质是一次(身份管理)安全范型的转移或者变革。因此成...
公告

《从零开始开发BBS》课程上线啦,快来跟着我一步步搭建属于你的BBS吧。

课程地址:https://www.shiyanlou.com/courses/1436
9折优惠邀请码: ZHwfIjb1

该课程会带领大家一步步的了解并熟悉Go语言开发,如果你是一个Go语言初学者,或者正准备学习Go语言,那么这个课程非常适合你。如果你熟练掌握了本课程中的知识点,相信你就已经入门Go语言开发,并能胜任日常的开发工作了。

如果你在安装部署bbs-go过程中遇到了困难,请不要着急,这里为你准备了一份《bbs-go安装部署帮助》