腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

madMen

专栏作者

79

文章

77065

阅读量

14

订阅数

为什么 2022 年是漏洞赏金奖破纪录的一年

https git 安全网络安全编程算法

每年，GitLab 的应用安全团队[6] 都会回顾 GitLab 漏洞赏金计划的亮点。

2023-02-14

3990

CPE 获取指南

在我们考取 ICS 的认证之后，是需要通过 CPE(Countinuing Professional Education) 来进行证书的维持的。以 CISSP 为例，3年是需要 120 CPE 来进行证书的维持的。官方的文档[1]已经详细说明了获取 CPE 的各种途径，如果按照官方的说明，满足要求的难度是比较低的。我在取得 CISSP 认证之后，不到一年的时间已经获得 98 CPE 了，距离要求已经很接近了。所以就分享自己一些获取 CPE 的手段来进行分享。

2023-02-14

7230

Go 的漏洞管理

安全 https 网络安全 go 数据库

我们很高兴地宣布 Go 对漏洞管理的新支持，这是我们帮助 Go 开发人员了解可能影响他们的已知漏洞的第一步。

2022-11-22

8240

SAST 测试中要测量的三个参数

sas 网络安全安全腾讯云测试服务

在我们之前的博客中，为什么你不能仅使用列表、测试套件和基准测试来比较 SAST 工具，我们探索了当今常用来评估和比较 SAST 测试工具的各种工具和指标。我们还研究了为什么这些工具可能会产生不一致的结果并且对于评估 SAST 测试工具可能根本不可靠的一些原因。

2022-04-15

3690

安全运营平台从0到1

安全网络安全安全漏洞腾讯云测试服务运维

本文首发于安全客平台，https://www.anquanke.com/post/id/266237

2022-03-11

1.2K0

未授权访问火眼红队工具

github git 开源安全网络安全

一个由国家支撑的顶尖的竞争者窃取了火眼的红队工具。因为我们认为竞争者已经拥有这些工具，并且我们不知道攻击者是否打算自己使用被盗的工具还是公开披露它们，所以火眼在此博客中发布了数百种对策，以使安全社区能够保护自己免受这些工具的攻击。我们已将防御策略整合到我们的火眼产品中，并与合作伙伴，政府机构共享了这些策略，以显着限制不良行为者利用红队工具的能力。

2020-12-15

4150

黑客入门，从HTB开始

安全 bash bash 指令网络安全

Hack the box 是国外的一个靶机平台，里面的靶机包含多种系统类型，并且里面可以利用的漏洞类型多种多样，有很多靶机其实非常贴近实战情景。因此 HTB 是一个很好的学习渗透测试靶场。

2019-11-29

6150

基于MITRE ATT&CK的Red Teaming行动实践

安全网络安全 access

如果要评选最近一年内国内信息安全圈最火的一个安全新名词，那一定是“MITRE ATT&CK”了。这个词在其被引入国内的那一刻起，就似乎备受青睐，常见于各种文章、PPT、演讲之中，大有赶超前几年的安全热词“威胁情报”之势。一时间造成了一种如果在2019年没听说过“MITRE ATT&CK”的安全从业人员不算是真正的业内人士的错觉。可是，物极必反，但凡被吹捧的越高往往跌的越惨，笔者私下里也在多个场合听到一些对“MITRE ATT&CK”被过度吹捧的反感言论，其实看待任何新鲜的事物和概念都需要冷静分析、客观思考、取其精华、去其糟粕，最后为我所用才是正道。

2019-11-28

9050

Chrome 在野零日漏洞

javascript 网络安全安全

卡巴斯基安全防护是卡巴斯基产品的一部分，过去已成功检测到许多零日攻击。最近，为 Google的 Chrome 浏览器发现了一个未知的新漏洞。我们会立即将此情况报告给 Google Chrome 安全团队。在审核了我们提供的 PoC 之后，Google 确认存在零日漏洞并将其分配为 CVE-2019-13720。Google 已针对 Windows，Mac 和 Linux 发布了 Chrome 版本78.0.3904.87，我们建议所有 Chrome 用户尽快将其更新为最新版本！你可以点击此处阅读 Google 公告。

2019-11-28

7510

网站 dns http 网络安全安全

DDOS(Distributed Denial of Service)，即分布式拒绝服务，是一种针对于网络服务的攻击行为。对于 DDOS 我们可以这样通俗地理解，假如有一家商店在售卖商品，突然涌过来一大帮人说要买东西，这里面有的人是真正的顾客，有的人只是过来捣乱的，但是售货员可能就会崩溃了（不知道该卖给谁），就会导致一种拒绝服务攻击了。而分布式拒绝服务攻击，则是因为黑客控制了很多台肉鸡来发动攻击。这种攻击近些年来越来越流行，对于攻击者来说，成本小，但是相对收益大，对于受害者来说，造成的伤害却是巨大的。因为对于服务提供者来说，一旦服务不可用，就会造成不可挽回的损失，可能会导致用户量的流失。根据腾讯云发布的《2018年泛互联网行业DDoS攻击态势报告》，2018年 DDOS 攻击已经进入 TB 时代，2018 年的攻击峰值为 1.23Tbps（同比增长121%），而业界的攻击峰值更是达到惊人的 1.94Tbps。

2019-11-27

1.1K0

"隐写术" - 深入研究 PDF混淆漏洞

网络安全安全 java javascript api

上礼拜发现的关于使用 this.getPageNumWords()&this.getPageNthWord() 方法来进行混淆的 PDF 漏洞不久，我们发现另外一个在 PDF 漏洞中更加强大的混淆利用技术。这种技术使用所谓的“隐写术”方法来隐藏嵌入在 PDF 文件中的图像中的恶意 Javascript 代码，它非常强大，因为它可以绕过几乎所有的 AV 引擎。

2019-11-27

1.4K0

跨站请求伪造（CSRF）攻击

安全 http https 网络安全

跨站请求伪造（CSRF）攻击强迫终端用户在他们身份被认证的情况下执行对于目标应用未知的操作（恶意的）。CSRF 攻击一般针对状态更改请求，而不是数据被盗，因为攻击者无法查看对伪造请求的响应。通过社会工程的（例如通过电子邮件或聊天发送链接）方法，攻击者可以欺骗 Web 应用程序的用户执行攻击者选择的操作。如果受害者是普通用户，则成功的 CSRF 攻击可以强制用户执行状态更改请求，例如转账，更改其电子邮件地址等。如果受害者是管理帐户，CSRF 可能会危及整个 Web 应用程序。

2019-11-27

1.1K0

使用浏览器作为代理从公网攻击内网

javascript tcp/ip jenkins dns 安全

在 Forcepoint，我们不断寻求改善我们产品所提供的防护。为此，我们经常研究不寻常或潜在新颖的攻击技术。最近的一个研究课题是从公网发起的针对 localhost 和内网的攻击。

2019-11-27

1.2K0

2019 年针对 API 安全的 4 点建议

api 安全网络安全机器人企业

无论是在科技媒体亦或是分析报告中，2018年 “API”以及“安全”变得越来越常见，-或者更糟糕，“API” 以及“违规”一起出现在头条中。

2019-11-26

8570

DNS 缓存投毒

dns 缓存网络安全安全

DNS 欺骗是 DNS 服务器记录更改导致恶意重定向流量的结果。DNS 欺骗可以通过直接攻击 DNS 服务器（我们将在这里讨论）或通过任何形式的专门针对 DNS 流量的中间人攻击来执行。

2019-11-26

5K1

没有更多了

社区活动

RAG七天入门训练营

鹅厂大牛手把手带你上手实战，赢鹅厂证书、公仔好礼！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态