腾讯安全应急响应中心

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

安全漏洞风险会对业务带来严重影响，外部黑客通过对线上业务的渗透攻击，可拖取敏感资产数据、中断在线服务等。国内外不少知名公司都曾因安全问题导致数亿用户信息泄露。所以在越早期发现和修复，能更有效缓解现网威胁，从而保障业务的安全稳定运营。在研发阶段代码编写时实现安全漏洞检测和修复是一种高效且准确的方式。

AI 帮你高效构建代码安全策略【大模型应用实践系列四】

我本是一名普通的小白帽，有一天上班路上，遇到了位神秘老者，他拦住我，问道：小伙子，你是做什么的？

AI猎手：我们用大模型挖到了0day漏洞！【大模型应用实践系列三】

腾讯混元大模型由腾讯全链路自主研发，从零训练自主创新。拥有超千亿参数规模，预训练语料超2万亿tokens，具备强大的中文创作能力，复杂语境下的逻辑推理能力，以及可靠的任务执行能力。

加入我们，共建腾讯混元大模型！

各位同学，腾讯网络安全T-Star高校挑战赛圆满结束啦～来自250多所高校的1400余名同学各展奇招，在脑洞大开解题的同时，也为我们展现了一场精彩有趣的夺旗之战。

揭晓｜腾讯网络安全T-Star高校挑战赛终极榜单公布！

2. 登录后发现除了视频播放，只有一个点赞功能，随便打开一个直播页面点赞，使用burpsuite抓包，尝试常见漏洞可发现该接口存在XXE漏洞，修改请求头中：

【官方题解】腾讯网络安全T-Star高校挑战赛write up

【有奖征文】冲关结束，T-Star集结！腾讯网络安全T-Star高校挑战赛write up征集中！

【有奖征文】T-Star集结！赛事笔记征集结果公布

本该平静的早晨，你突然遭遇了勒索攻击，并收到了一个神秘视频，视频里的人，正是你自己……

同学，你玩过密室逃脱式CTF吗？

作者：腾讯洋葱HIDS团队 xti9er、七夜、腾讯宙斯盾流量检测系统  Pav1

虚拟货币挖矿检测与防御

腾讯于2012年5月推出国内首家“漏洞反馈平台”——腾讯安全应急响应中心（TSRC），并开展“漏洞奖励计划”，邀请广大安全专家帮助腾讯发现和修复安全问题。在这个没有硝烟的战场，感谢各位白帽师傅与我们并肩而行，共同捍卫全球亿万用户的信息、财产安全！期待与您一起，继续携手并进，为建设更加安全繁荣的互联网生态而共同奋斗。

TSRC安全测试规范

笔者最近参加聂君和郭威两位资深安全人士主办的“2021金融业企业安全建设实践群系列论坛暨大型红蓝对抗经验闭门研讨会（深圳站）”学习网络安全建设经验，受益匪浅。会上笔者也分享了隐蔽通信应用及防御的相关内容，很高兴收到不少安全同行反馈说“议题内容对我们安全建设有很大的帮助，有不少信息是之前没有了解过的”。为了让更多企业单位更全面了解攻击者多样化的隐蔽通信手段以及更好的完善防御，笔者也将演讲稿分享出来，这些也是蓝军和红军在十多年的对抗中长期保持调研学习业界案例和经验、总结沉淀并延伸的成果，希望可以给行业带来帮助，也请大家不吝指正。

红蓝对抗之隐蔽通信应用及防御

提到Web指纹识别，大家并不陌生，相关的项目汗牛充栋，比如知名的Wappalyzer、WhatWeb等。而在运营上，各企业也都大同小异，利用提前构建好指纹库，通过对公司全域资产进行扫描实现对公司资产的摸底排查，当某些组件出现高危漏洞时，大家可以第一时间做到攻击面的迅速收敛。

Web应用组件自动化发现的探索

随着云计算的蓬勃发展，云原生概念被提出并快速发展，公司内部也在推进使用云原生技术进行架构优化，研发模式和基础设施都发生了很大的变化，新的k8s和容器技术正逐步取代传统的物理机和虚拟机。

云原生——容器和应用安全运营实践思考

不记得多早之前，大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章（原文链接），或许有读者会问，这么精确的时间我为什么记得这么清楚，因—为—我—瞎—编—的。言归正传，这里重点说下本篇文章，总的来说，这两篇其实都是关于数据分析的。一篇关于攻击过程中的用到的数据分析，而本篇则作为上一篇的姊妹篇，则着重讲一下在安全运营用到的数据分析，也就是企业防御；

自动化数据分析下的威胁发现

数月前我们在攻防两个方向经历了一场“真枪实弹”的考验，期间团队的目光曾一度聚焦到Chromium组件上。其实，早在 Microsoft 2018年宣布 Windows的新浏览器 Microsoft Edge 将基于Chromium内核进行构建之前，伴随互联网发展至今的浏览器之争其实早就已经有了定论，Chromium已然成为现代浏览器的事实标准，市场占有率也一骑绝尘。在服务端、桌面还是移动端，甚至据传SpaceX火箭亦搭载了基于Chromium开发的控制面板。

攻防启示：Chromium组件风险剖析与收敛

在2021年上半年，虚拟加密货币（Cryptocurrency，下文简称虚拟货币）价格屡创新高的新闻一次又一次的吸引着人们的目光，其中比特币是大众最为熟知的虚拟货币。特斯拉公司也在2月份高调宣布购入价值15亿美元的比特币并计划开始接受比特币作为其公司电动车产品的付款方式1。而特斯拉公司的CEO埃隆·马斯克也在国外社交平台公开表示大力支持狗狗币2，使其价格最高冲到0.73美元/枚，较年初暴涨近百倍（截止2021年6月29日，狗狗币已回落至0.26美元/枚）。

警惕！这种新型挖矿可能盯上你主机

“洋葱”系统是腾讯自研的主机入侵检测系统（HIDS），能够实时采集服务器上的各种行为并进行实时关联分析和落地存储，承载公司所有的服务器、虚拟机和容器的入侵防护、漏洞检测。洋葱作为公司的老牌安全系统，从2007年开始预研，经过几代洋葱人的不断努力，洋葱的功能不断完善、架构几经迭代，满足了公司的服务器安全需求。现在进入云计算时代，洋葱也要跟随业务拥抱云原生和DevOps。本文介绍洋葱后台系统在上云过程中的方案及实践，希望对大家的系统上云有一点帮助，涉及到的一些敏感信息将被隐去。

腾讯自研HIDS「洋葱」后台上云架构演进实践

这是前文《网络层绕过IDS/IPS的一些探索》[1]的延续，当时就想可以用四层以下的协议实现木马通信绕过各类IDS/IPS的检测，一直没有找到时间测试，正好这次攻防演练值守期间有了机会。

匿名信使：木马隐蔽通信浅谈

腾讯代码安全指南旨在梳理API层面的风险点并提供详实可操作的编码指引，是我们开展DevSecOps安全左移实践探索过程中，梳理沉淀面向开发人员的代码安全参考材料。

腾讯代码安全指南开源，涉及C/C++、Go等六门编程语言

导语：本文内容为XDef 2021的议题《云基础设施之硬件安全威胁》，特将PPT转为文字，以飨读者。

云基础设施之硬件安全威胁

事实证明，每年春节假期，不甘寂寞、蠢蠢欲动的除了熊孩子往往还有以DDoS为主业的黑客，而愉快的春节假期也随之成为DDoS攻击的高峰期。

游戏业务DDoS攻防对抗案例分享

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了腾讯安全应急响应中心专栏，为你提供了腾讯安全应急响应中心的相关文章，致力于帮助开发者快速成长与发展。

腾讯安全应急响应中心

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐