首页
学习
活动
专区
工具
TVP
发布

信安之路

专栏作者
614
文章
1126522
阅读量
180
订阅数
互联网行业的 35 岁魔咒
今天来一起聊聊互联网行业的“ 35 岁魔咒”,为什么是 35 岁?我们先来看两个安全行业的招聘要求:
信安之路
2024-01-04
1560
SRC辅助系统线上发布
最近一直在开发一个小工具,用来帮助大家做好 SRC 挖洞的第一步,资产收集,当你想要开始挖一个企业的漏洞时,第一步就是要了解目标的资产收集的范围以及属于该企业的域名资产有哪些,那么使用今天的小工具,只需一步,就能获取目标企业的基本信息。
信安之路
2022-12-30
1.8K0
隔离网络环境下如何实现文件传输
小张是一名 IT 工程师,在工作上拥有非常丰富的经验,然而最近却遇到了一个让他头疼的事情,就是传输文件,到底发生了什么呢?我们来一追究竟!
信安之路
2022-12-30
7080
懒人想入门云原生安全?建议先看这两个行业案例
云原生化成为企业数字化转型的高效方式,各大行业开始加速云原生化步伐。我们今天通过金融和制造业行业的两大实战案例,来看企业如何做好云原生全生命周期的安全,保护系统安全,降低安全风险。
信安之路
2022-10-04
3980
专注做身份验证的大厂疑似被黑
昨天黑客组织 Lapsus$ 在其 Telegram 频道发布已经控制 Okta 系统两个月,但是重点只针对 Okta 的客户。Okta 是谁?Okta 是一家专注身份验证的公司,如果 Okta 被黑,那么使用 Okta 做身份验证的客户都将受影响,身份验证是企业的看门狗,如果身份验证被人拿下,那么你的企业所有内容将无处遁形。
信安之路
2022-04-07
3690
这家公司把信息安全部全部裁掉了
最近有一家企业裁员的事件比较火爆而且涉及我们信息安全从业者,先看一则来自新京报贝壳财经的消息:
信安之路
2022-04-07
1.2K0
如何针对大量目标进行指纹识别
针对某个企业进行渗透测试,通过前期信息收集,会收集到非常多的子域名,有大量应用系统需要我们做测试,当然不可能所有系统都是企业自研,也许会用到比较多的开源系统或者开源组件,那么如何针对大量目标进行指纹识别呢?
信安之路
2021-07-29
9680
信安技术学习还是要化被动为主动
大家都是经历过九年义务教育的人,在上大学之前,传统的学习模式就是老师上课,学生听讲的方式,对于个人而言是属于被动接受知识的学习方式,回顾身边考上大学的同学,主要分两种,一种是天才,只需听老师讲课就能取得好成绩,平时看不到他在主动学习,另一种是普罗大众,除了认证听老师上课,还利用课余时间进行复习和练习。
信安之路
2021-03-25
4000
驱动安全建设的三架马车
企业为什么要做安全建设,为什么要雇佣安全从业者,为什么要在安全上投入资源去做大量的事情,大家都知道做安全在企业内部是成本中心,只是在花钱,消耗资源,并不能给企业带着直接的收益,那么为什么还要做安全呢?
信安之路
2021-03-25
6310
合规审计平台 Bombus 开源首发
很多企业因为面临的监管繁多而不知道从何处入手。当下企业不仅面临着国内隐私合规保护、等级保护、内部控制等监管合规要求,美国上市公司还要遵守SOX法案,一些出海公司更是面临GDPR、CCPA等更为复杂的合规要求。除外部监管之外,企业内部在快速发展的同时也会面临着系统繁杂、员工权限管理不到位、操作流程不规范等问题。随着监管合规要求的日趋严格和监管标准的日益精细,企业也更加重视合规工作,合规成本随之增加。传统的审计方法是人工采集、整理、归档各处离散的数据,并且在这过程中会存在重复沟通等低效行为,这样会让人力和时间成本消耗在对海量且割裂的数据分析中,不仅无法提升工作效率,更无法快速发现真正的潜在风险。
信安之路
2020-09-28
1K0
从受限的代码执行到任意代码执行
看到信安之路发了一篇关于某 CMS 的审计,之前对这个 CMS 也算是有一点了解吧,看到里面的一处 RCE 提起了我一点兴趣,于是有了下文。
信安之路
2020-04-22
9260
实战分析:乙方视角下行业攻防演练
网络安全以“人”为核心,网络安全领域的对抗本质上是人与人之间的对抗,而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。因此如何使网络安全人员合理的利用手中的各种工具和策略来提高网络安全对抗水平,是培养“高素质的网络安全和信息化人才队伍”亟需解决的问题。网络攻防演练由此而生,并成为各企事业单位,乃至国家层面培养网络安全人才的创新创新型培养模式。
信安之路
2020-01-17
1K0
某 CMS 的漏洞挖掘和分析
由于种种原因,又拿起了这套 CMS 的源码开始进行审计,代码是两周前下载的,结果现在好多洞的已经修补了(官方版本更新信息上并没有提示安全更新,有点坑)。稍微记录一下这次挖洞的过程吧。
信安之路
2019-08-30
1.3K0
聊一聊我所理解的业务安全风险
想要了解业务存在哪些业务安全风险,首先需要对业务非常熟悉,然而不同的业务将会面临不同的业务安全风险。学习业务安全之前要面对不同的行业,熟悉他们的主要业务,然后针对行业分业务来做风险识别,然后针对性的使用技术或者非技术的手段来保证业务的安全稳定。除了业务不同威胁侧重点不同之外,在企业的发展过程中,不同阶段的威胁侧重也不同,对于互联网行业来说,所做业务几乎都是先从一个点开始,做出特点,积累一定的用户量之后就会扩展其他的业务,最后发现所有互联网公司不仅仅是最初成名的业务,而是一个大而全的组织,比如:视频网站搞电商、招聘网站搞培训等等。
信安之路
2019-08-09
8260
换了套组合拳打出一个 webshell 你敢信
大概是运气好,又在这款某 CMS 挖到一处后台 getshell。老搞这款 CMS 我都觉得不好意思了。。个人感觉这个洞挖的还是蛮有意思的。
信安之路
2019-07-12
5660
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去,但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我没有留下截图,很多图是我后来补上的。转载请注明出处。
信安之路
2019-04-09
3.9K1
还记得当年踏上信安之路的初衷吗
一年前在信安之路的交流群里做了一个活动:在我们这个信息安全的圈子里,渗透测试仅仅是安全中的一个很小的分支,虽说这个圈子的缺口很大,但是为什么一直补不上这个缺口呢?
信安之路
2019-03-12
2.3K0
我对 SRC 和 CTF 的一点小理解
对于安全行业的小伙伴来说,对于 CTF 和 SRC 都不陌生,或多或少有所了解。但是,对于安全技术来讲,如何证明自己的能力?如何评估一个人的安全技术在什么样的级别?面试的时候拿什么来做参考?对于这几个问题,目前大家谈的最多的就是在 xxx SRC 排名多少、在 xxx 比赛中拿过什么样的奖项,对于没有工作经验的人来讲,这些都是比较好的参考,如果工作几年之后,判断一个人技术能力的最大参考将变为工作期间的成就与经验。
信安之路
2019-03-06
2K0
你为企业提出的安全问题都复现了吗
你是否遇到过,你发现一个安全问题,在让研发或者运维修复的时候,他们会告诉你,如果你拿到权限或者造成危害之后再来找我修复,比如你们公司有一台网络设备暴露在公网上,该设备未被防火墙保护,没有访问控制,虽然设置了强密码,但是所有开放的端口均可以被访问,这个时候,你发现了这个威胁,告诉运维,你这个设备可能被黑客攻击,不只是暴力破解密码,比如溢出、协议漏洞等方式,然而运维会告诉你,你要是能打下来,我再来整改,这个时候,你一万句草泥马从心中掠过。
信安之路
2019-01-23
5251
从事安全 价值几何 如何体现 你来说说
安全圈流传着一句话叫“安全是个尴尬的存在,不出事,老板觉得有你没你一个样,出了事,又觉得你安全做的不好!”,这就是安全的价值在甲方企业中无法很好的体现导致的,类比一下现实生活中的保安,一个有保安的小区和一个没有保安的小区,你会选哪个?当然是有保安,保安可以给我们带来安全感!对于两个小区而言,有保安和没保安就是两者的区别,在选择的时候,安全也可以作为选房子的参考,为小区提升竞争力,获取更多的客户!
信安之路
2018-12-18
5360
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
【玩转EdgeOne】征文进行中
限时免费体验,发文即有奖~
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档