5 煜铭2011

尚未进行身份认证

Some day when I think back my pass years, there are something to call back my memory in my favorite. there are something about my work, my life and other things. Additionally,my Github address is https://github.com/ym2011

等级
TA的排名 2k+

github下载单个文件夹

0x00 背景 一般来说,Github 默认是下载仓库的所有内容,但是我们有时仅需要下载某个项目的某个文件或者某个文件。这时应该怎么办呢?0x01 下载单个文件1、直接查看文件点击某个链接,直接查看raw或者download0x02 下载某个文件夹1、GitZipGitZip for Github 是一款可以快速从 GitHub 上快速下载文件或目录的 ...

2020-02-22 12:24:21

网上银行系统信息安全通用规范【学习笔记】

0x00 背景 中华人民共和国金融行业标准JR/T 0068—2020 网上银行系统信息安全通用规范是2019年10月份推出代替 JR/T 0068—2012,在2020年2月5日开展实施执行,作为一部通用规范合规要求,很有研读意义。本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件,针对性地提出安全要求。本标准旨在有效增强现有网上银行系统安全防范能...

2020-02-19 16:38:01

xhydra使用说明

0x00 前言 THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆破解工具。这个工具是一个验证性质的工具,它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的!并且支持多种协议和服务:asterisk cisco cisco-enable cvs firebird ftp ftps http[s]-{head|get} http[s]-{ge...

2016-06-27 08:58:04

软件安全建设【学习笔记】

0x00 背景 学习研读了钉钉安全白皮书,将一些关键点记录如下:0x01 全链路安全防护1、客户端安全应用完整性 重新编译 加壳保护 修改指令调用顺序环境可信性 模拟器运行检测 越狱和 ROOT 检测 终端进程注入检测 提供应用沙箱环境 病毒检测数据机密性 安全加密 安全沙箱...

2020-02-18 14:02:35

网络发现扫描的基础知识

0x00 网络发现技术网络发现扫描使用多种技术对一系列 E 地址进行扫描, 搜索配有开放网络端 口 的系统。网络发现扫描器实际上不能探测系统的漏洞, 只是提供一份网络检测 的系统显示报告和一份端 口清单, 这份清单通过网络和服务器防火墙公开了隐藏在扫描器和扫描系统之间网络路径中的端 口 。0x01 常见类型TCP SYN 扫描 向每个被扫描的端 口 发送带有 SYN 标志设置的单个数据...

2020-01-17 16:53:27

网络爬虫行为的刑事规制【学习笔记】

0x00 背景0x01 技术中立的网络爬虫行为可能构成犯罪0x02网络爬虫行为侵犯公民个人信息“非法”性的形式判断0x03 网络爬虫行为侵犯公民个人信息“非法”性的实质判断0x04 参考文章https://mp.weixin.qq.com/s/O9ue3cZjw5kfVFyFkoaeUg...

2020-01-08 19:02:00

SOC安全运营中心产品

0x00 背景 SOC( Security Operations Center) 安全运营中心,单独依赖于某些安全产品,在效果上总感觉有一个孤岛效应,从安全工程的角度来说,将安全工程化、系统化、流程化是一个更好的趋势,把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,尝试先构建一个完整的底层基础平台,再有的放矢地去完善管理、制度、策略...

2020-01-04 16:59:48

DDoS攻击应急响应-CLDAP协议 Reflection 攻击分析

0x00 背景 突然发现某台服务器出现大量的流量攻击,峰值达到24.7G, 阿里云进行异常告警,以此为案例进行延伸思考学习。0x01CLDAP协议 Reflection DDoS攻击响应1. 缺陷原理 轻量目录访问协议(LDAP)被定义在RFC2251(LDAPv3)中,由于LDAP是以TCP字节流的方式进行数据传输,其必要的绑定操作和频繁的数据搜索查询...

2019-12-19 18:43:43

BurpSuite 证书安装

0x00 背景 当使用burp进行拦截HTTPS流量时,往往需要在浏览器导入证书,对于刚刚接触burp的同学来说,查看官方文档是最好的帮助。仅以此文作为案例。 当导入的证书有问题的时候,会发现出现各种错误,例如浏览器出现HSTS错误、无法捕获到HTTPS流量等异常问题。0x01 导入burp证书 默认情况下,当您通过Burp浏览HTTPS网站时,代理会为每个主机生成...

2019-12-09 17:38:25

SOC体系建设学习笔记

0x00 背景 高级网络威胁等网络犯罪屡见不鲜,层出不穷。由于数据被盗、服务中断及声誉受损,导致企业的网络攻击损失也不断攀升。加之有关信息安全的法律法规相继颁布,以及各企业日益加强对第三方关系的管理,使用SIEM、SOC等产品来加强安全态势感知,建立信息安全情况运营中心,统一指挥作战,已成为大家共同的选择。目前,在国外,SOC服务通常是以一种类似于SaaS服务的SOC-...

2019-12-05 11:55:33

企业信息安全模型(成熟度模型)

0x00 背景 对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。 信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。0x01CMM...

2019-12-02 09:13:18

能力成熟度模型集成 (CMMI) V2.0

0x00 背景CMMI的全称为Capability Maturity Model Integration,即能力成熟度模型集成。CMMI是CMM模型的最新版本。早期的CMMI(CMMI-SE/SW/IPPD),SEI在部分国家和地区开始推广和试用。随着应用的推广与模型本身的发展,演绎成为一种被广泛应用的综合性模型。为了应对不断变化的全球化商业格局的挑战,CMMIDEVV2.0将通过标杆...

2019-11-30 10:03:15

Microsoft SDL 开源软件安全实践

Microsoft开源软件安全实践0x00背景帮助您管理第三方组件中的安全风险的工具和技术。使用开源从操作系统到用户界面小部件,从后端数据分析到前端图形,现代软件项目越来越依赖于开源软件。开源软件带来了一些惊人的好处,但是有时它们伴随着必须理解和管理的安全风险。在大多数情况下,使用任何第三方软件组件(无论是开源软件还是商业软件)都可能产生这些风险。了解Microsof...

2019-11-29 17:25:08

Microsoft SDL SecDevOps实践

0x00背景 将安全原则和实践作为DevOps的组成部分,同时保持提高的效率和生产力。从一开始,Microsoft SDL就确定安全性是每个人的职责,并且在SDL中包括了针对程序经理,开发人员和测试人员的实践,所有这些实践都是为了提高安全性。此外,认识到一种规模并不适合所有开发方法,因此描述了灵活的实践和活动,...

2019-11-29 17:24:22

Microsoft SDL -应用安全测试产品

0x00 背景Microsoft SDL在开发过程的所有阶段都引入了安全性和隐私注意事项,从而帮助开发人员构建高度安全的软件,解决安全合规性要求并降低开发成本。Microsoft SDL中的指南,最佳实践,工具和过程是我们在内部使用以构建更安全的产品和服务的实践。自2008年首次共享以来,由于我们在新场景(例如云,物联网(IoT)和人工智能(AI))方面的不断积累的经验,我们对实践进行了更新。...

2019-11-29 17:23:33

BSIMM(构建安全成熟度模型 version 10 ) 模型介绍

0x00 背景 构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型,采用一套面对面访谈技术开展 BSIMM 评估,唯一目标就是观察和报告。企业通过参与 BSIMM 的评估,不仅可以更加具体的了解自身 SSI 的执行情况,还可以从行业视角明确所处的具体位置。 BISMM 模型,是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM 软件安全框架(SSF)包...

2019-11-29 16:49:34

计算机病毒的命名规则

0x00 背景 相信大家在遇到计算机中毒的情况时都是首先通过杀毒软件来进行扫描清除的,大多数时候杀毒软件也能把系统中的病毒找出并清除。但是我们往往会忽略查杀后的病毒的具体名字,就算认真观察也只是看懂名字而不知具体的代表含义以及具体起这个名字的缘由。事实上如果我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。为此本次的讲解课...

2019-11-29 09:24:48

Microsoft SDL官方实践

0x00背景Microsoft SDL在开发过程的所有阶段都引入了安全性和隐私注意事项,从而帮助开发人员构建高度安全的软件,解决安全合规性要求并降低开发成本。Microsoft SDL中的指南,最佳实践,工具和过程是我们在内部使用以构建更安全的产品和服务的实践。自2008年首次共享以来,由于我们在新场景(例如云,物联网(IoT)和人工智能(AI))方面的不断积累的经验,我们对实践进行了更新。...

2019-11-23 11:11:25

人工智能安全标准化白皮书(2019版)笔记

0x00背景近期 全国信息安全标准化技术委员会 大数据安全标准特别工作组发布了人工智能安全标准化白皮书(2019版),针对人工智能安全的问题进行一个全面的探讨,经细读该白皮书后,留一下此笔记。原文版权,来源:全国信息安全标准化技术委员会 大数据安全标准特别工作组0x01 概述人工智能(Artificial Intelligence,简称AI),阿尔法狗对战中国的围棋高手,...

2019-11-07 14:44:42

NIST.SP.800-190容器安全指南

0x00背景计算机系统技术报告美国国家标准技术研究院(NIST) 的信息技术实验室(ITL) 通过为美国的测量和标准基础设施提供技术指导, 促进了美国经济和公共福利的发展。 ITL 开发测试、 测试方法、参考数据、 概念验证、 以及技术分析, 促进信息技术的开发和生产使用。 ITL 的职责包括制定管理、 行政、 技术和物理标准以及指南, 以经济有效地保护联邦信息系统中除国家安全相关信息以外的...

2019-10-18 13:55:05

查看更多

勋章 我的勋章
  • GitHub
    GitHub
    绑定GitHub第三方账户获取
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv2
    勤写标兵Lv2
    授予每个自然周发布4篇到6篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。