- 博客(45)
- 资源 (16)
- 收藏
- 关注
RSS订阅
原创 以业务行为驱动的反入侵安全能力建设
没有一个安全产品可以100%检出所有安全威胁,也没有一个安全产品或者方案可以在不同的用户群体下发挥100%的效果;安全建设应该是以保护业务的思路出发、但是很多安全产品在规划设计的时候其实并没有这些的思路,更多的都以威胁对抗的思路出发,最后在真实的实际环境当中验证后的确能够应对常规的自动化攻击、单在高级威胁领域要么没有对应能力,要么就是海量的误报让真实的告警淹没,与狼来了的剧本类似、日常误报太多最后就失去了信任。
2023-02-25 21:11:43
1009
1
原创 热门的XDR到底是一类什么样安全产品?
最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品有什么区别?作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。
2022-04-09 15:51:24
5438
原创 漫谈反入侵技术的二三事
安全建设的主要方向粗略的看主要也分成二个大类,安全合规与反入侵;合规的驱动力为首要业务典型类似于ISO27001、等级保护等维度。而在反入侵的方向是以保护现有业务的CIA属性为主要的出发点,以攻击者的视角审视当前的风险并加以防护与检测,相比于法律合规当中明确了各项指标与参数的checklist,反入侵的工作开展难度明显要复杂的多,面临的挑战与技术的积累也要求更高。安全工作的本质上还是攻防双方之间人与之间的对抗、攻击技术与检测技术的对抗、流程与组织架构之间的对抗。
2022-01-11 10:08:06
3025
2
原创 浅谈攻防技术未来几年内的演进趋势
0x0 背景在过去的几年里网络领域产生了重大影响,疫情改变了企业和组织的运作方式,使它们面临一系列新的风险和恶意攻击,同样也对网络犯罪的行为产生影响。基于安全产品、蜜罐、外部情报等数据来源,并结合安全专家调查的勒索软件、黑产团伙、APT 组织和其他利用客户端和服务器端漏洞的攻击事件进行整理获得,重点收集恶意软件、网站安全、漏洞、数据泄露、APT 攻击等方面的态势后得出的部分结论。0x1 攻击视角0x1.1 互联网攻击流量当中占比较大的流程化攻击有效性持续走低当前互联网用户遭受大...
2021-08-19 20:28:55
972
原创 炒冷饭|2022年看见的几个安全问题总结
最近陆陆续续的都放春节了,关注了一些做安全的朋友发现大家对今年的安全工作都不甚满意或距离预期挺远的,或者直接说感觉今年挺难的对以后的行情开始有一些担忧,但翻开新的一页应该是有总结分析也有展望预期的。由于持续三年的Virus的原因,很多安全建设方的业务或多或少受到较大的影响,随之传导到了信息安全的工作;
2023-01-19 10:59:22
649
1
原创 日常安全运营工作的一些思考
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末二天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;
2022-10-31 18:07:52
1972
原创 攻防演练第四年的一些碎碎念
安全厂商普遍都已经参与过3-4次的护网,当前各家安全产品针对hvv特殊场景都进行了一定的技术倾斜,故整体安全能力侧在未出现真实的入侵成功的场景(0day、钓鱼、凭证窃取),产品与产品之间很难从用户感知上拉开较大的差距、尤其是在hvv场景下用户往往更多的关注于失陷事件(外联、横向)、攻击成功事件(RCE攻击成功)这二类,而且目前攻击成功状态标签(结果)各厂家都基本已经具备、用户很难一下子看清楚差异;基于此背景、此类用户群体的调查场景会成为最关注的功能项;产品的易用性,专业性的提升、进一步促进了用户的成长;..
2022-08-02 16:31:19
2856
1
原创 基于Sysmon初步实现主机侧入侵检测的监控思路
ysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它可以提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动;
2022-04-22 11:49:07
2662
原创 Spring Cloud Function Spel表达式注入漏洞分析
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
2022-04-14 17:49:37
3399
1
原创 企业安全建设的不同阶段概览
安全建设的源头来看主要还是领导层的决策,在不同的企业规划不同的场景会有不同的安全建设目标;从当前的安全建设来看主要的驱动力还是时间驱动与政策合规为主,随着最近一段时间陆陆续续地发布了不少法律法规,尤其是关键基础设施保护条例在等保的基础之下更加注重实战化能力,无形中提高了企事业对安全建设的要求;以下是目前常见的一些安全建设单位视角与不同的安全目标:Class 1基本不重视安全、安全建设无思路;日常的一些安全相关工作主要由运维、网络部的人员兼职完成,主要的安全产品以AC、VPN、AF(部分)为主部分
2021-09-13 14:38:50
291
原创 RSA课题-How CISA Is Charting a Path Toward Defensible Infrastructure
0x0 总结CISA全称为“网络安全和基础设施安全局”(The Cybersecurity and Infrastructure Security Agency),它是一个新成立的联邦机构,旨在保护国家的关键基础设施安全。在当前的课题当中演讲者表示了解CISA在规划基础设施防护线路时所使用的方法,以及如何使用该方法来制定技术战略是非常重要的,因为目前我们许多基础设施的安全防御都是不够的,整个课题主要偏向于方法论的主要成分。视频主要引入了CISA在规划基础设施防护线路的话题上,借助于网络防御矩阵它
2021-08-13 09:14:36
139
原创 基于安全运营中心的工作总结
0x0 背景日光之下,并无新事。又是一年新旧交替,去年年底的时候Freebuf的小编在关于安全工作总结这块还做了一个专题讨论,关于安全工作的总结复盘与规划估计也是许许多多安全从业者比较为难回答的问题了,最近大家也比较热门的讨论过关于安全运营的工作开展思路,结合自己的一些实际体验和各位大佬分享一下希望能够抛砖引玉。目前无论是对甲方客户还是对乙方的技术提供商,普遍都遇见了一个比较大的问题,就是安全的价值到底要如何体现、如何量化、如何能能够看到效果,并以此体现自己的技术能力并让用户买单?技术变现的难度一直
2021-05-15 10:28:13
490
1
原创 攻防对抗模拟工具CyberBattleSim的简单分析
0x0总结整个CyberBattleSim是强化学习在攻防过程当中的一个典型的应用场景,主要针对攻击链当中的内网横向移动阶段;使用了Q-Learning技术训练二个Agent(代理)来模拟攻防演练当中的攻击队员、防守队员,利用高交互的环境模拟了一个相对简单的网络环境(靶场),通过部署一些有典型的漏洞、脆弱性的服务器资产,让攻击的Agent代理(集成了很多攻击方法)对内网资产模拟攻击队进行攻击,同时设置一个防御的Agent代理(defender)进行监控与简答程度的防御,攻击agent拿到不同的服务器权限
2021-04-17 12:36:03
4493
1
原创 一些基础的入侵绕过姿势案例分析
0x0 背景 谈论起溯源本质上是安全人员对多源数据的一些关联分析,结合自己的经验对攻击者手法路径的还原。所谓的数据来源主要还是流量层面的安全告警(依赖于WAF、IPS一类的设备的检出能力)、流量层面设备的审计记录(记录所有的网络行为)、主机层面的日志(系统日志、中间件日志、数据库日志等),简单分享一些在实际场景中遇见的一些比较有意思的场景;0x1 Shiro场景 Apache Shiro Java反序列化是今年比较热门的漏洞之一;Shiro提供了记住我(RememberMe)的功能对...
2021-01-20 17:32:55
625
1
原创 Ramnit病毒简介
0x0 背景1、Ramnit 病毒的网页传播方式在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码:当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...
2021-01-11 20:23:14
15950
原创 web安全之Openfire的脚本上传缺陷分析
0x0 背景一次偶然的机会发现某台Web服务器被黑了之后被植入了挖矿病毒,然后忙活了好久清理完病毒之后就开始思考思考到底是怎么被黑的,俗话说的好死要死得明白。服务器本身只开发了外网的web端口,然后初步怀疑是从web服务端进来的于是先用D盾查杀一下果不出所料查杀出一个webshell,路径却在Openfire目录下以前没有接触过这个玩意遂研究之。0x1 功能介绍Openfire 是基于XMPP 协议的IM 的服务器端的一个实现,虽然当两个用户连接后,可以通过点...
2021-01-11 19:50:06
398
1
原创 CSRF手法-Token在实际项目开发当中的实践
0x0 背景以前做等级保护的时候漏扫经常扫描出来一些网站有CSRF的漏洞,经常和开发人员扯皮要怎么改怎么改每次都描述的不清楚经常感觉心累。最近看到OWASP的一本《安全测试指南第四版》的书就随手翻了二页其中谈到了关于会话管理测试的一栏目比较感兴趣就从网上随便下载了一个开源的CMS做一下黑盒测试,练练手万一失业了还能转化写写代码做做测试,过程中发现CMS对于很多表单请求都采用了Token认证做的挺好的于是写个笔记方便日后来看。0x1 抓包分析架起代理burpsuit开启准备大干一场,首先找到.
2021-01-11 19:38:39
347
原创 一次网站攻击日志分析引发的思考
0x0 背景前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个payload有点意思,就花点心思瞧瞧。0x1 分析思路漏洞的原理分析就不多再赘述比较好奇的是这个http://107.148.223.222/php/1/editor.txt网页访问后确认就是一个wesbehll后门。该IP的归属地在米国加州,提示为ID...
2020-12-05 16:33:45
389
原创 从webshell的视角谈攻防对抗
0x0 背景由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上
2020-12-05 16:26:32
763
1
原创 浅谈安全攻防场景下面的安全检测
0x0背景安全本质是人与人之间的对抗,攻防技术的更新迭代促进了行业的发展。虽然都是做在安全技术的研究,但是发现其实二个方向的工作思路上还是有较大的区别;防御者从多个维度针对某一类攻击手法进行全面剖析提出一个能够覆盖大多数攻击场景下面的方案。攻击者往往在多次攻击测试之后,只需要有跳跃性思路能够利用一些出其不意的姿势从一些技术点上突破防御即可,攻防技术相辅相成,相互进步。笔者在机缘巧合下从一个...
2020-03-12 10:36:00
1004
原创 浅谈信息安全的职业发展方向规划(乙方安全公司篇)
0x0 背景 继上次写了一篇信息安全行业入门与各类技术简介(扫盲贴)之后,在CSDN没有想到还有这么多的访问量。笔者经常被人问起一些关于这个行业的职业发展问题,由于最近疫情期间周末也不能出去浪,算上本科的学习的时间到现在也差不多10年安全研究经验,这里结合自己的一些阅历简单写出来,希望对大家有所帮助,有遗漏和不当之处也希望大家包涵。0x1 职业规划 笔者第一次接触这个概念的时候,依...
2020-03-01 17:34:32
9662
4
原创 浅谈攻击溯源的一些常见思路
0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。0x1 主体思路溯源的过程当中的时候除开相关的技术手段之外,首先...
2019-07-13 12:05:43
18056
3
原创 小白帽从病毒视角聊企业安全建设
0x0 背景最近各类安全事件还是很流行的,以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野,仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。安全标准是个好东西奈何现在客户安全意识并没有特别高,所以在具体落实实践的过程中难度太大,况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个...
2019-07-13 11:53:26
389
原创 十大经典的心理学效应
1、蝴蝶效应:上个世纪70年代,美国一个名叫洛伦兹的气象学家在解释空气系统理论时说,亚马逊雨林一只蝴蝶翅膀偶尔振动,也许两周后就会引起美国得克萨斯州的一场龙卷风。蝴蝶效应是说,初始条件十分微小的变化经过不断放大,对其未来状态会造成极其巨大的差别。有些小事可以糊涂,有些小事如经系统放大,则对一个组织、一个国家来说是很重要的,就不能糊涂。2、青蛙现象:把一只青蛙直接放进热水锅里,由于它...
2019-03-10 17:48:27
3483
原创 Windows主机应急响应操作步骤文档
Windows主机应急响应操作步骤文档0x0 背景随着主机安全的问题日渐突显,挖矿勒索后门等病毒隐蔽手法越来越多种多样仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性、复杂性与专业性,基于windows系统的一些运行机制人工排查安全事件需要从多个方面去检查与清除,抛砖引玉提出以下思路供参考。0x1 检查思路恶意程序本身有网络行为,内存必然有其二...
2019-03-09 17:31:57
2849
原创 Redis未授权访问攻击场景分析与防御
主要从redis未授权访问入手,还原一些黑客的攻击场景,介绍一些常用的攻击方法和安全知识。0x0 应用介绍REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语...
2019-03-09 16:50:59
467
原创 捕获一起恶意入侵事件的攻击溯源
0x0 背景近日发现NTA提示有恶意的CC访问连接报警访问恶意域名down.mys2018.xyz达到了1057次、访问my2018.zxy达到了490次主机直接被标记为了已失陷,经过较多的杀毒软件查杀均未查杀出异常,后续经过相关的排查发现服务器存在较大的安全隐患与Myking团伙有较大的关联。0x1总体情况多方面的分析发现,客户本地存在较多的恶意脚本与病毒文件根据现象情况梳理与日志分...
2019-03-09 16:40:15
1325
5
原创 软件系统产品信息安全功能点要求
1.身份认证在需求分析阶段,应明确定义系统必须或可以达到的身份认证功能。必须的安全要求:账户管理方式账户的产生、修改、变更、删除以及身份认证应采用统一的身份认证平台来实现。认证失败后的处理方式设计,防止黑客暴力猜测。连续失败登录后锁定账户。账户锁定后可以由系统管理员解锁,也可以在一段时间后自动解锁。区分公共区域和受限区域将站点分割为公共访问区域和受限访问区域,受限区域只能...
2018-10-15 09:35:06
13711
原创 一道很有意思的CTF
某银行客户端以安全着称,有有天,你抓到了局域网中的网银登录流量。在这个流量中,密码字段的值为ac22543d5382cbf48b6ebcf6e40f123d9ca4b91f9998e4c2f2422402。根据分析,你获得了如下的线索:上面抓到的登录流量密码字段是SHA系列哈希算法的哈希值。这个登录密码也是银行卡的ATM取款密码。登录密码的哈希值是加盐之后计算的结果,根据逆向分析,盐的...
2018-09-20 09:20:00
1160
原创 记一次被QQ邮箱钓鱼邮件事件
0x0 背景福无双至、祸不单行。本来是风和日丽的天气,白帽子在工地认真搬砖然后被一些所谓的负(dou)责(bi)人怼了,心里感觉到很委屈。准备下班之际莫名其妙收到了一封QQ邮箱弹窗点开一看直觉就是"这货有毒"。0x1 过程新学期课程表安排通知,感觉还是比较有针对性的,想一想自己前段时间加入一些考研群的,目测就是这些群里面的人吧。话不多说,就开启burpsuit看看通信过程。一访...
2018-09-20 09:19:21
6277
1
原创 一句话木马绕过检测的常见思路
0x0 背景一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。主要总结一下常见的绕过安全检测的思路,欢迎各位大佬参与讨论。0x1 关键函数编码主要通过一些字符串对关键的几个函数比如eval、assert等函数进行变换绕过检测如下代码使用\x65编码字符串’e’,使用array类型进行混淆:<?php array_ma...
2018-09-07 15:36:22
10169
原创 批量勒索挖矿常用漏洞利用工具jexboss的简单分析
0x0 简介jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console、jmx-console、JMXInvokerServlet、struc2、Jenkins等漏洞并且可以直接获得一个shell,杀人越货勒索挖矿必备神器。起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同...
2018-08-21 18:53:59
1765
原创 内网安全常用攻击框架与工具简介
0x1 背景 根据应急响应当中众多样本分析发现许多广泛传播的病毒利用了一些windows自己的内部功能特征,如Powershell与wmi等系统功能,且流行度也越来越高已经出现了一些针对内网的渗透框架形成成熟利用框架。 0x2 常见的攻击框架Nishang(Powershell Penetration Testing ToolsPowershell用于渗透测试其实早在多年前就...
2018-08-14 12:38:35
2370
原创 0x2Meterpreter后漏洞利用攻击教程
Meterpreter的攻击场景一般为先向被攻击系统发送一个攻击载荷(payload),该攻击载荷会反向链接到meterpreter,然后发送一个Meterpeter Server dll紧接着发送第二个dll注入攻击载荷完成一个socket的,这样服务器与客户端的meterpreter会话就生成了。Meterpreter链接上后具有很多功能如下基于不同的用途,这里列举这些命令的部分...
2018-07-28 16:14:19
568
原创 Metasploit文件目录与入侵基本概念
漏洞利用基本概念 漏洞(vulerability)漏洞指一个软件或者硬件安全漏洞,攻击者可以利用这个漏洞攻陷系统,可以是一个弱密码也可以是一个CVE编号系统漏洞。漏洞攻击(exploit)黑客利用一个安全缺陷进入系统当中,本质上就是一些恶意的代码数据包,借助这些代码黑客可以入侵某台机器。攻击载荷(payload)攻击载荷是在漏洞攻击成功之后,方便我们控制这个系统。S...
2018-07-26 17:00:47
2109
原创 信息安全行业入门与各类技术简介(扫盲贴)
1.简介作为第一篇介绍信息安全的扫盲贴,就说一些干货要实际一些,主要介绍一下信息安全行业里面的一些业务开展情况与常规的一些技术手段与工具,附带推荐了一些学习的网站与书籍,纯手码字部分描述有失偏颇,欢迎指出斧正。 谈到信息安全,都离不开CIA三个属性即机密性(Confidentiality)、完整性(Integrity)、 可用性(Availability)三个性质简称CIA。机密性...
2018-07-23 19:24:30
17065
15
转载 达克效应:无知要比知识更容易产生自信
无知要比知识更容易产生自信。(Ignorance more frequently begets confidence than does knowledge) ——达尔文 在生活中,我们是否有遇到过这样一类人:他们很自信,往往对自己有很高的评价,一味觉得自己是对的,无法听进去别人的意见;认为自己比...
2018-07-20 14:20:17
8746
原创 实用版windows 安全加固
1.审核策略:本地策略——>审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败 2.安全选项:本地策略-->安全选项在运行中输入gpedit.msc回车,选择计算机配置--...
2018-07-19 09:21:34
7941
转载 生活中的十大心理学现象
1、蝴蝶效应:上个世纪70年代,美国一个名叫洛伦兹的气象学家在解释空气系统理论时说,亚马逊雨林一只蝴蝶翅膀偶尔振动,也许两周后就会引起美国得克萨斯州的一场龙卷风。蝴蝶效应是说,初始条件十分微小的变化经过不断放大,对其未来状态会造成极其巨大的差别。有些小事可以糊涂,有些小事如经系统放大,则对一个组织、一个国家来说是很重要的,就不能糊涂。2、青蛙现象:把一只青蛙直接放进热水锅里,由于它...
2018-07-19 09:15:05
11332
原创 信息安全之农夫与鸡
一农户在杀鸡前的晚上喂鸡,不经意地说:快吃吧,这是你最后一顿!第二日,见鸡已躺倒并留遗书:爷已吃老鼠药,你们别想吃爷了,爷他妈也不是好惹的。 当对手知道了你的决定之后,就能做出对自己最有利的决定。——纳什均衡理论 寓意:所以保密、信息安全很重要。...
2018-07-18 16:22:22
315
NIST提升关键基础基础设施网络安全框架分析
2021-09-15
RSA2021关键5个演进技术分析.pptx
2021-08-13
一键获取windows密码神器mimikatz咪咪猫
2018-07-23
XXXX项目渗透测试工作流程规范
2018-07-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人