摘要： 一、概述 账号是进入系统的第一道关卡、是系统的“大门”，在满足正常功能的基础上，安全性也是其中一个重要属性。 本文主要从账号安全的角度，讲述在正常用户使用过程中可能遇到的安全风险，其实还有另一个方面，从恶意用户——黑车的角度，也就是账号风控，本文仅关注前者——账号安全： 账号功能安全 账号数据存储安 阅读全文

摘要： 漏洞概述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 的读取文件接口存在未授权，且未对文件地址进行过滤，导致可以目录穿越/../../../../../../../../../os fi 阅读全文

摘要： 《关键对话：如何高效沟通》、《关键冲突：如何化人际关系危机为合作共赢》、《关键改变：如何实现自我蜕变》，称为“关键三部曲”，其中《关键对话》有助于我们更好的和别人沟通，进而促成事情的达成，除此之外，《非暴力沟通》也值得推荐。 阅读全文

摘要： 容器和虚拟机 容器和虚拟化都是系统虚拟化的实现技术，可以实现系统资源的共享。相较于虚拟机，容器技术是一种“轻量”的虚拟化方式，虚拟机通常在Hypervisor层实现对硬件资源的虚拟化，Hypervisor为虚拟机提供了虚拟的运行平台，管理虚拟机的操作系统运行，每个虚拟机都有自己的操作系统、系统库以及 阅读全文

摘要： ##简介 官方地址：https://github.com/aquasecurity/trivy Trivy是aqua（专注云原生场景下的安全）公司的一款开源工具，之前历史文章也有对aqua的一些介绍。 Trivy是一个简单易用且全面的扫描器，支持容器镜像、文件系统、git仓库及配置文件的检测。 Tr 阅读全文

摘要： 安全的最终的目的是把安全风险控制在可控范围内，风险治理也是个老生常谈的话题了，本文主要是从相关的制度和规范来学习下信息安全风险治理的流程。 NIST RMF RMF是NIST于2010年出版的特别出版物800-37rev1。NIST开发的此框架，提供一种灵活、动态的方法有效管理高度多样化的环境中贯穿 阅读全文

摘要： 0x00 概述 如今年（2021）七月Gartner 发布《Hype Cycle for Security Operations, 2021》（2021安全运营技术成熟度曲线），漏洞管理已经成为安全运营中较为成熟的子领域，可以说一切安全运营活动的开始几乎都是从漏洞管理开始的，是安全工作中的基础也是重 阅读全文

摘要： 目录 宏观国家全球的安全态势 企业案例 生活中的普适场景 合规案例 云上安全风险案例 1、宏观国家全球的安全态势 震网病毒（美国以色列针对伊朗的网络战、网络世界的核武器） 百度百科地址 https://mr.mbd.baidu.com/r/tXtjBF8IXm?f=cp&u=ad5c4af60256 阅读全文

摘要： 意识培训是一个持续的、有一定强度的、潜移默化春风化雨般逐渐渗透的过程。 一、几点原则 为确保培训的效果的，使的培训对象知道怎么做、如何做，需要注意以下几点： 1、区分不同类型受众 不同类型的受众，培训时侧重点和关注点有所不同。例如： 针对一线同学可以就具体工作中的一些场景案例切入； 针对管理层可以从 阅读全文

摘要：  阅读全文