谈谈蜜罐与内网安全 0x00 写在前面 蜜罐系统通过在网络中部署感应节点，实时感知周边网络环境，同时将感应节点日志实时存储、可视化分析，来实现对网络环境中的威胁情况感知。网上的开源蜜罐很多，种类不一，不可枚举。有针对单个服务的蜜罐，也有多个服务整合在一起的。Github上有个项目，收集汇总了免费和开源的蜜罐，项目地址：awesome-honeypots，该项目按照蜜罐类型做了分类，包括Web蜜罐、

raul · 22289浏览 · 2020-03-04 01:20

SDL探索之路 SDL路阻且艰，但是却是一条必走之路。 目前就职于一家甲方公司，平时的主要工作是做安全渗透，偶尔也会做一下代码审计。总的来说流程很固定，每天重复差不多同样的工作。时间长了，也慢慢在思考一些问题。作为安全人员如何才能实现最大的价值呢？黑盒测试或者说白盒测试，总的来说属于事后的安全测试。在这个时间段发现的问题，往往比较滞后，修复起来通常需要消耗较多的时间。举个简单的例子

晴天安好2997 · 18386浏览 · 2019-10-29 01:14

注意！请不要在未授权的情况下对厂商的业务系统进行拒绝服务或者代码执行测试，一切后果自负！ 前言 在企业内部，为了方便员工无纸化办公及审批流程上的电子化需求，都建设了不少的IT业务系统，这些内部业务系统因为只有公司内部员工才能使用，所以可以从这些地方下手进行漏洞的挖掘。 在挖掘之前首先我们要搞清楚在企业的内网中，建设的业务系统有哪些，是自己建立的还是采用第三方厂商的系统，如果是自己建立的系统，则挖掘

柚子厨 · 13763浏览 · 2019-07-23 01:32

Author:@好好学习英语的abc 一、前言 一般安全都属于运维部下面，和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中，没多久因为各种原因离职。18年入职5月一家第三方支付公司，前半年在各种检查中度过，监管形势严峻加上大领导对安全的重视(主要还是监管)，所有部门19年的目标都和安全挂钩。由于支付公司需要面对各种监管机构的检查，部分安全做的比较完善，经过近一年对公司的熟悉

t4mo · 19484浏览 · 2019-08-05 01:00

几十年来，对攻击进行检测一直是信息安全的一部分。 第一个已知的入侵检测系统（IDS）的实现可以追溯到20世纪80年代初。 如今，攻击检测已经成为一种行业。IDS、IPS、WAF和防火墙解决方案等许多技术存在于网络，而其中大多数技术均提供基于规则的攻击检测。 使用某种统计异常来识别网络中的攻击似乎已经得到了印证。但这个假设是否合理？ 检测Web应用程序中的异常 20世纪90年代初，市场上出现了第一

Pinging · 8369浏览 · 2019-03-06 01:15

译者注 本文翻译自FireEye https://www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html 译者力求贴近文章原意，特别注释: threat actors 直译为"威胁行动者" 可理解为"攻击者" non-graphical backdo

arr0w1 · 11218浏览 · 2019-02-26 01:32

TL；DR 最近遇到一些和后门相关的技术，所以把之前linux backdoor相关笔记重新学习和整理了一下。在这里做一下记录，后续有时间整理一下windows backdoor方面的技术。 在服务器被入侵后进行应急响应无非通过文件排查、网络排查、进程排查、系统信息排查等方法进行入侵排查。下面就一些常见留后门技巧以及公开的工具进行剖析介绍。 现在有一些公司在发现入侵之后直接重装系统，那么基本所

利华 · 32952浏览 · 2019-02-15 01:29

背景 近年来，互联网上安全事件频发，企业信息安全越来越受到重视，而IDC服务器安全又是纵深防御体系中的重要一环。保障IDC安全，常用的是基于主机型入侵检测系统Host-based Intrusion Detection System，即HIDS。在HIDS面对几十万台甚至上百万台规模的IDC环境时，系统架构该如何设计呢？复杂的服务器环境，网络环境，巨大的数据量给我们带来了哪些技术挑战呢？ 需求描述

美团技术团队 · 10268浏览 · 2019-01-24 01:35

作者简介 练良伟，中通信息安全团队软件开发工程师，负责中通内部安全通讯产品的开发工作，专注于服务端开发相关的技术研究。 1.项目背景 中通快递目前拥有几万个快递网点、代理点和承包区，这些网点分布在全球各地。每天网点与网点、网点与集团总部之间都需要传输大量的信息，信息类型包括文本、图片、文件、语音等。在研发内部安全通讯软件之前，主要使用QQ、微信、钉钉等公众即时通讯类软件传输信息，导致公司的私密信息

中通SRC · 10834浏览 · 2019-01-03 01:16

一、前言 不知道大家是否还记得我去年的一篇文章《Web日志安全分析浅谈》，当时在文中提到了关于日志里的“安全分析”从人工分析到开始尝试自动化，从探索到实践，从思路到工程化，从开源组件到自研发，从..，其中夹杂着大量的汗水与踩过的大量的坑，文章中所提的思路以及成果也算不上有多少的技术含量，其目的一是为了总结、沉淀与分享，如果能帮助到任何为“日志分析”而迷茫不知从何着手的人便算获得了些许慰藉，其目的二

jeary · 21838浏览 · 2018-12-24 02:04

一、背景 甲方安全建设中有一个很重要的环节，即业务迭代上线前的安全检测。大部分公司的产品研发部门都会配备一个或多个质量测试工程师负责把关软件质量。 然而术业有专攻，质量测试工程师能够得心应手地应对软件功能方面的缺陷，却由于自身安全领域专业知识的缺失导致很难识别安全风险。 针对这一问题常采用的做法就是由甲方安全人员定期对业务线进行安全检查，但这种做法有很强的滞后性，一个业务从上线到最后被发现安全问题

中通SRC · 10404浏览 · 2018-12-04 01:24

前言 如何知道自己所在的企业是否被入侵了？是没人来“黑”，还是因自身感知能力不足，暂时还无法发现？其实，入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司，面临入侵的威胁也越大，即便是Yahoo这样的互联网鼻祖，在落幕（被收购）时仍遭遇全量数据失窃的事情。安全无小事，一旦互联网公司被成功“入侵”，其后果将不堪想象。 基于“攻防对抗”的考量，本文不会提及具体的入侵检测模型、算法和策略

美团技术团队 · 8736浏览 · 2018-11-15 23:37

如何在安全风控中评估和量化机器学习有效性 0x00 前言 近年来，越来越多的安全厂家把机器学习或人工智能纳入到产品里，但 是实际真正购买或者试用后，往往效果并没有厂商宣称的那么好用，常 常出现大量误报，漏报的情况。如何去评估或者测试这些产品或者机器 学习模型是否能够满足上线的需求以及对现有的防控体系有多少提升， 往往是进行采购或者上线时需要对业务部门说明的基础信息。 本文讨论的是如何去评估以及量化

wstart · 8227浏览 · 2018-10-22 01:08

0x00 前言 基于设备指纹的风控策略以及应用已经十分的广泛。 但是似乎大部分的文章都是为了产品做了PR又或者简单的介绍了场景 并未提及太多研究的过程，于是在重新造轮子的过程中， 顺便把过程记录一下就有了本文 0x01 设备指纹 设备指纹的采集有很多方式，但是我们主要关注以下几个方向 硬件环境 （cpu型号，主板型号，制造商等...） 硬件运行的环境（充电，电量，罗盘等...） 软件环境（系统

wstart · 11555浏览 · 2018-09-25 04:14

原文：https://aivillage.org/posts/detecting-web-attacks-rnn/ 几十年来，攻击检测一直都是信息安全不可分割的组成部分。根据目前掌握的信息来看，世界上第一个IDS实现可以追溯到上世纪80年代早期。以下内容摘自维基百科： Dorothy E. Denning在Peter G. Neumann的协助下于1986年发布了IDS模型，从而为当今的攻击检测系

mss**** · 9616浏览 · 2018-08-15 02:40