谈谈黑客攻防技术的成长规律(aullik5)
摘要:黑莓末路 昨晚听FM里谈到了RIM这家公司,有分析师认为它需要很悲催的裁员90%,才能保证活下去。这是一个意料之中,但又有点兔死狐悲的消息。可能在不久的将来,RIM这家公司就会走到尽头,或被收购,或申请破产保护。 RIM的黑莓手机以在911事件中仍然能够保持通信而名声大振,在此后美国政府与很多商务人
阅读全文
2016年Q2《网络安全创新500强》榜单解读
摘要:近日,美国投资咨询机构Cybersecurity Ventures发布了2016 Q2《网络安全创新500强》企业榜单,新兴安全公司root9B异军突起,国内4家企业上榜。 关于Cybersecurity Ventures Cybersecurity Ventures自1999年创建以来,主要从事网
阅读全文
解读智能硬件安全隐患 萤石深度保护数据安全
摘要:杭州2016年3月17日电 /美通社/ -- 央视今年在3·15晚会上把智能设备的安全隐患摆到消费者面前,不仅是给这个领域的公司、创业者以及尝鲜的用户提了个醒,也给这个飞速发展智能硬件行业扎了一针预防针。其中涉及到的品类包括:无人机、智能楼宇、智能家居类产品(如智能插座、洗衣机、烤箱等)、安防摄像头
阅读全文
阅读让我从兵团里脱颖而出
摘要:嘉宾简介 少时酷爱文学,自北大荒返京后,几十年来坚持业余笔耕。曾在《当代》、《驼铃》、《剑南文学》、《北国风》等刊物发表过小说、报告文学等。在《人民日报》、《北京日报》、《工人日报》等多家报纸发表过文章。笔名“锲舍”、“老风”。出版有长篇纪实文学《老屋》,长篇小说《玩儿房》,中短篇小说集《耍床》,报
阅读全文
爱读书的犹太人
摘要:爱读书的犹太人 2013-02-17 雪峰读书 摘自 新浪博客 2013-02-17 雪峰读书 摘自 新浪博客 原文地址:爱读书的犹太人(转载)作者:逍遥行者 爱读书的犹太人(转载) 2013年2月15日 在世界众多民族中,犹太民族可谓是个酷爱读书,非常重视教育的民族。由于热爱读书学习,喜欢钻研问题
阅读全文
一年犹太人读书64本中国人4本反映啥
摘要:中国新闻出版研究院最新调查结果显示,2012年中国18-70周岁国民纸质图书阅读量仅为4.39本,这其中有相当一部分还是教材教辅。而据联合国教科文组织的调查,犹太人以64本的年人均阅读量雄踞世界首位。(《新华网》08-15) 这是在去华盛顿的地铁里照的。(美国人在读书)照片中的每一个都在读书。(美国
阅读全文
浏览器的同源策略
摘要:古代的楚河汉界明确规定了楚汉两军的活动界限,理应遵守,否则必天下大乱,而事实上天下曾大乱后又统一。这里我们不用管这些“分久必合,合久必分”的问题,关键是看到这里规定的“界限”。Web世界之所以能如此美好地呈现在我们面前,多亏了浏览器的功劳,不过浏览器不是一个花瓶——只负责呈现,它还制定了一些安全策略
阅读全文
好的安全工具就该藏着?
摘要:Fooying · 4 小时前 每次总喜欢在个人资料里这样填写来介绍自己:Fooying,Security Researcher And Developer,安全研究人员与开发者,包含我的微博、知乎、微信等等,即使是在公司企业邮箱的签名里,我写的也不是自己的公司职位,也同样是这个。 为什么会钟情于或
阅读全文
Padding Oracle Attack的一些细节与实现
摘要:Padding Oracle Attack还是颇具威力的,ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。还是看 Juliano Rizzo and Thai Duong 的相关Paper。 另外就是padbuster这个工具也是针对paddi
阅读全文
世界上最爱读书的民族:犹太民族
摘要:4月23日是世界读书日,犹太民族被誉为世界上最爱读书的民族。 犹太民族也许是人类最独特的伟大民族——只占世界人口的0.2%,却获得过29%的诺贝尔奖;为人类奉献了《圣经》;在各领域都大师辈出,群星灿烂;全球流散2000年,甚至连语言都丢失了,最终说着85种语言、从115个国家移居以色列立国;战火中一
阅读全文
杭二中校长叶翠微谈名校生:不只会做题 更要懂得读书
摘要:2016-04-17 13:42:21 来源: 浙江在线 作者: 记者 吴俏婧 通讯员 蒋弃疾 编辑: 陈丽丽 浙江在线·浙江教育新闻网4月17日讯(记者 吴俏婧 通讯员 蒋弃疾)高尔基曾经说过:“读书,这个我们习以为常的平凡过程,实际是人的心灵和上下古今一切民族的伟大智慧相结合的过程。”中外名人的
阅读全文
cookie窃取和session劫持
摘要:Updates 2014-08-17 感谢@搞前端的crosser的提醒,加入了HTTP Response Splitting的内容。 此篇文章的Presentation戳这里。 一、cookie的基本特性 如果不了解cookie,可以先到wikipedia上学习一下。 http request 浏
阅读全文
2014-04-09 互联网Web安全职位面试题目汇总
摘要:Domain 解释一下同源策略 同源策略,那些东西是同源可以获取到的 如果子域名和顶级域名不同源,在哪里可以设置叫他们同源 如何设置可以跨域请求数据?jsonp是做什么的? Ajax Ajax是否遵循同源策略? json注入如何利用 浏览器策略 不同浏览器之间,安全策略有哪些不同,比如chrome,
阅读全文
webshell
摘要:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到
阅读全文
网络安全开发包介绍
摘要:引言:网络安全领域的许多网络安全技术,如防火墙、入侵检测、安全扫描、网络嗅探、协议分析、流量统计、网络管理、蜜罐等,其设计和实现都离不开一些网络安全操作,其中一些基本操作都在底层进行,使用频繁,如网络地址的操作、网络接口的操作、数据包的捕获、数据包的构造和发送、网络入侵检测等;还有一些比较复杂的操作
阅读全文
渗透测试
摘要:渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置
阅读全文
安全攻城狮研发技能栈V1.0,附详细点评~
摘要:2015-12-21 正宗好PT 正宗好PT 今天公司年会,又木有抽到奖,求安慰/(ㄒoㄒ)/~~ 言归正传,我曾经在推特发过一个Skill CheatSheet,被转发和点赞了几百次,我又更新了一下,在公众号首发^_^ 由于内容比较多,简单的的逐一点评一下: 动态调试技能 沙箱技术,Cuckoo
阅读全文
自学成才的黑客(安全研究员)是从哪学到那些知识的?
摘要:作者:Pnigos链接:https://www.zhihu.com/question/23073812/answer/23563575来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 问题中“黑客”这词用的有点大,因为黑客代表的不仅仅是专业技术上的造诣,更包括了思想,思
阅读全文
[TOP10]十大渗透测试演练系统
摘要:本文总结了目前网络上比较流行的渗透测试演练系统,这些系统里面都提供了一些实际的安全漏洞,排名不分先后,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识。 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于
阅读全文
理解RESTful架构
摘要:越来越多的人开始意识到,网站即软件,而且是一种新型的软件。 这种"互联网软件"采用客户端/服务器模式,建立在分布式体系上,通过互联网通信,具有高延时(high latency)、高并发等特点。 网站开发,完全可以采用软件开发的模式。但是传统上,软件和网络是两个不同的领域,很少有交集;软件开发主要针对
阅读全文
公有云安全修炼之路,郭靖和周伯通带你走
摘要:公有云安全修炼之路,郭靖和周伯通带你走 本文作者:孙维,FreeBuf特约专家作者 之前聊过安全对公有云来讲是一条红线,不容有失。今天我们再来聊聊,在看似威胁众多的弱势背景下,为什么公有云安全性比私有云更胜一筹? 老规矩,先上段子。 老司机的妖娆 要取得驾驶资格,首先你得有本儿,要拿到本儿,你先得脱
阅读全文
青云黄允松:2016年是云计算市场最关键的一年
摘要:——为社会创造长期价值是企业唯一目的 云服务,就是把企业的IT硬件和软件搬到网上,可为企业节约巨大的IT支出,市场潜力巨大。企业级公有云服务市场,从表层到底层可以分为SaaS(软件服务)、PaaS(平台服务),和IaaS(基础设施服务)三个层面,在技术含量上,基础设施服务层难度最大,通常都是像亚马逊
阅读全文
知道创宇CTO杨冀龙:网络安全人才决定行业格局
摘要:去年的时候,我曾经在团队内部分享了一个“网络安全人才迁徙图”,被圈子里的同行广为传播。几乎所有行业的安全人士都表示:国内网络安全行业人才资源情况并不乐观——有着10年以上网络安全行业经验的核心安全人才,只有很小一部分,遗憾的是,却没有更多的新鲜血液补充进来。 我们来简单回顾下近年来网络安全行业的人才
阅读全文
【FreeBuf视频】《安全大咖说》专访知道创宇CTO杨冀龙(watercloud)
摘要:【FreeBuf视频】《安全大咖说》专访知道创宇CTO杨冀龙(watercloud) 发布于 2016/05/16 FreeBuF.COM 杨冀龙,江湖人称watercloud,知道创宇公司CTO,是著名安全组织XFOCUS的核心成员,有超过8年漏洞发掘和安全产品研发经验,擅长漏洞发觉和安全软件研发
阅读全文
中国如何应对非传统网络安全风险?
摘要:互联网现在已经无处不在无时不在,可每个上网的人也都知道,身在网上,风险也无处不在,各种木马、病毒、欺诈让所有的用户都难以完全幸免。我们唯一能做的就是,上网的时候小心翼翼,同时在网络终端上安装最有效的安全工具,尽量使风险降低到最小。 云与端的战争爆发 我们几乎每个人使用的电脑或手机上都安装有安全(杀毒
阅读全文
中国黑客传说:游走在黑暗中的精灵
摘要:中国黑客传说:游走在黑暗中的精灵 255 25 三 2013 | 黑板报 Tags: 中国黑客传说 · 黑客 Tags: 中国黑客传说 · 黑客 (点击图片查看大图) 声明:本文内容禁止讲给16岁以下的小朋友听,以免吓坏小朋友。出于保护当事人的原因,禁止任何人在任何时候以任何理由向我打听其人其事,我
阅读全文
智能硬件安全入门
摘要:智能硬件入门 智能硬件目前玩的人相对于玩PC、服务器和移动的人来说要少很多。以前,大部分研究这块的人都是电子行业相关人士,但是目前物联网的流行,使得很多黑客和安全研究人员进入该领域,使得该领域产品安全问题频发。物联网的发展让虚拟网络与现实生活紧密的联系起来,一旦发生安全问题,遭受黑客攻击必将对人们的
阅读全文
迈克菲:2016年的八大网络安全威胁
摘要:2015年,网络安全事件层出不穷,勒索软件更是大行其道。为此,网络安全公司迈克菲近日发布了2016年网络安全威胁报告,概述了2016年的八大网络安全威胁。 在硬件攻击方面,以硬件为中心的网络攻击在2015年持续出现。比如,被卡巴斯基披露可能是目前世界上最复杂的网络攻击组织“方程式”在2015年被发现
阅读全文
走进科学之WAF(Web Appllication Firewall)篇
摘要:小编P.S:文章非常详尽对WAF领域进行了一次科普,能有让人快速了解当前WAF领域的相关背景及现状,推荐所有WAF领域的同学阅读本文。 小编P.S:文章非常详尽对WAF领域进行了一次科普,能有让人快速了解当前WAF领域的相关背景及现状,推荐所有WAF领域的同学阅读本文。 1. 前言 当WEB应用越来
阅读全文
从对SAE的一次授权安全评估浅谈云安全
摘要:EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-12-20From: http://www.80sec.com/ [ 目录 ]一 背景及描述二 什么是云三 什么是云安全四 如何对云进行安全设计五 对SAE的一次授权安全评估检测
阅读全文
沟通的艺术,心理学与生活,学会提问
摘要:沟通的艺术,心理学与生活,学会提问 沟通的艺术,心理学与生活,学会提问 因为人在国外不方便买书但空闲时间想读点心理学的书,沟通的艺术心理学与生活学会提问关键对话谈话的力量高难度谈话 因为人在国外不方便买书但空闲时间想读点心理学的书,沟通的艺术心理学与生活学会提问关键对话谈话的力量高难度谈话
阅读全文
知道创宇研发技能表v3.0
摘要:知道创宇研发技能表v3.0 2015/8/21 发布 by @知道创宇(www.knownsec.com) @余弦 & 404团队 后续动态请关注微信公众号:Lazy-Thought 知道创宇研发技能表v3.0 2015/8/21 发布 by @知道创宇(www.knownsec.com) @余弦
阅读全文
SYN Cookie的原理和实现
摘要:本文主要内容:SYN Cookie的原理,以及它的内核实现。 内核版本:3.6 SYN Flood 下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。 SYN F
阅读全文
知道创宇研发技能表v2.2
摘要:知道创宇研发技能表v2.2 2014/3/9 发布 by @知道创宇(www.knownsec.com) @余弦 & 行之 知道创宇是国内Geek十足且普遍被认为特别有前途的互联网安全公司, 动态请关注微信公众号:Lazy-Thought。 知道创宇研发技能表v2.2 2014/3/9 发布 by
阅读全文
安全之前言
摘要:在以前和现在的工作中都有过一些安全方面的涉猎,虽然不是很深入,也算是自己的一些经历,在接下来的几篇文章中会逐步跟大家探讨安全性测试,当然,更多是web安全相关的。而这篇文章,就当作是说一些正确的废话,作为正文前的序。 白帽子与黑帽子 黑客并非都是黑的,白帽就是通过攻击自己的系统或者聘请来攻击客户的系
阅读全文
使用HttpOnly提升Cookie安全性
摘要:在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,
阅读全文
cookie窃取和session劫持
摘要:Updates 2014-08-17 感谢@搞前端的crosser的提醒,加入了HTTP Response Splitting的内容。 此篇文章的Presentation戳这里。 一、cookie的基本特性 如果不了解cookie,可以先到wikipedia上学习一下。 http request 浏
阅读全文
安全增强 Linux (SELinux) 剖析
摘要:架构和实现 架构和实现 Linux® 一直被认为是最安全的操作系统之一,但是通过引入安全增强 Linux(Security-Enhanced Linux,SELinux),National Security Agency (NSA) 将 Linux 的安全性提升到了新的高度。SELinux 通过对内
阅读全文
浅谈Ddos攻击攻击与防御
摘要:EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-2-10From: http://www.80sec.com/ [ 目录 ]一 背景二 应急响应三 常见ddos攻击及防御四 根源及反击五 总结 一 背景 在前几天,我们运营的某
阅读全文
未来 3-5 年信息安全行业会如何变化,目前可以观察到的变化有哪些?
摘要:作者:余弦链接:https://www.zhihu.com/question/31548509/answer/52769816来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一个行业成熟有一些特点或规律:越来越细分,大家可以看看现在安全圈很多人创业等推出的产品/服务,
阅读全文
信息安全经典书籍
摘要:来自: ringzero 2011-11-10创建 2016-02-24更新 很多时候,是否好好看完一本好书,对一个人的提升往往能达到质的区别。 这里是关于信息安全的几本重量级的书单计划,同时寻找想看、看过、正在看这些书的人! 暂时未作更细致的分类,以后会加上! 如果您有好的推荐,可以在这个豆列留言
阅读全文
Apparmor——Linux内核中的强制访问控制系统
摘要:AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制。 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个
阅读全文
深入理解SELinux
摘要:目录(?)[+] 目录(?)[+] 1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selin
阅读全文
FreebuF黑客专访系列之吴翰清(刺):接下来几年,有两样东西必定会火
摘要:注:吴翰清——中国网络安全圈最具影响力的人物之一。西安交大少年班毕业,大学期间创办民间组织幻影,阿里巴巴集团最年轻的高级安全专家,创新工场安全宝任联合副总裁,热门公众微信“道哥的黑板报”幕后作者……一系列的经历让人印象深刻。 不久前“Freebuf黑客与极客”于深圳独家专访了吴翰清,一起聊聊安全圈的
阅读全文
Security Checklist (路由器安全checklist)
摘要:Home | Introduction | Router Bugs | Security Checklist | Tests | Resources | About | The most expert person in the world can only make a router as sec
阅读全文
CPU MPU MCU SOC SOPC关系及区别
摘要:在嵌入式开过程,会经常接触到一些缩写术语概念,这些概念在嵌入式行业中使用率非常高,下面我们就解释一下这些概念之间的关系和区别: 1、CPU(Central Processing Unit),是一台计算机的运算核心和控制核心。CPU由运算器、控制器和寄存器及实现它们之间联系的数据、控制及状态的总线构成
阅读全文
军火库(第一期):无线电硬件安全大牛都用哪些利器?
摘要:军火库(第一期):无线电硬件安全大牛都用哪些利器? 军火库(第一期):无线电硬件安全大牛都用哪些利器? 「军火库」系列是FreeBuf最新策划的专题栏目!在本系列文章中,我们将邀请安全圈里某一领域,如:无线电硬件安全领域、代码审计方向、域渗透方面等等,有所专长的安全研究员将分享他们自己情有独钟的工具
阅读全文
华为V-ISA信誉安全体系:对付新型DDoS攻击的利器
摘要:华为Anti-DDoS解决方案基于华为颇具传统优势的专业软硬件平台开发,在防护机制中,引入先进的检测机制,提供了业内首创的“V-ISA”信誉安全体系,是业界唯一单机可提供超百G DDoS防御能力的产品,它为运营商、企业及数据中心提供了全面精准的防御新型DDoS攻击的利器。 AD:网+线下沙龙 | 移
阅读全文
物联网兴起 嵌入式系统安全日益受关注
摘要:随着越来越多设备连接到互联网,专家们担心嵌入式系统将给企业带来严重安全风险,而很多企业还没有意识到这种风险或者无法缓解这种风险…… 随着越来越多设备连接到互联网,专家们担心嵌入式系统将给企业带来严重安全风险,而很多企业还没有意识到这种风险或者无法缓解这种风险…… 随着越来越多设备连接到互联网,专家们
阅读全文
DDOS攻击原理及防护方法论
摘要:从 07年的爱沙尼亚DDOS信息战,到今年广西南宁30个网吧遭受到DDOS勒索,再到新浪网遭受DDOS攻击无法提供对外服务500多分钟。 DDOS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了 12G,这样流量
阅读全文
优秀网络安全从业者的五项核心技能
摘要:保护现代企业中的数据和系统,需要多个不同领域的技能支撑。 目前,网络安全人才极度紧缺,但他们到底该具备哪些技能才能有效防护企业安全?以下便是网络安全从业者必备的五项核心技能: 密码学 密码学意味着学习和实践安全通信技术,这是保护计算机系统中存储数据的重要方法。 加密是密码技术的重点,涉及到用算法编码
阅读全文
全球著名的渗透测试Linux简介
摘要:注:如发现链接无法打开,请尝试代理登录链接 1. Kali Linux Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon
阅读全文
知道创宇研发技能表v3.0
摘要:Expand - Collapse 知道创宇研发技能表v3.0 2015/8/21 发布 by @知道创宇(www.knownsec.com) @余弦 & 404团队 后续动态请关注微信公众号:Lazy-Thought 说明 关于知道创宇 知行合一 | 守正出奇 知道创宇是一家黑客文化浓厚的安全公司
阅读全文
玩转渗透神器Kali:Kali Linux作为主系统使用的正确姿势TIPS
摘要:Kali Linux 前身是著名渗透测试系统BackTrack ,是一个基于 Debian 的 Linux 发行版,包含很多安全和取证方面的相关工具。 本文假设你在新装好的kali linux环境下…命令之前的说明带#的,表示需要root权限执行,带$的,表示普通用户权限。 #安装好Kali后为系统
阅读全文
知道创宇研发技能表v2.2
摘要:Expand - Collapse 知道创宇研发技能表v2.2 2014/3/9 发布 by @知道创宇(www.knownsec.com) @余弦 & 行之 知道创宇是国内Geek十足且普遍被认为特别有前途的互联网安全公司, 动态请关注微信公众号:Lazy-Thought。 说明 本技能表为知道创
阅读全文
我对什么都感兴趣,可我迷茫了(转载)
摘要:我对什么都感兴趣,可我迷茫了 2013-12-05 余弦 懒人在思考 我收到一个同学给我的邮件问了个在我看来属于“太阳系”级的难题,比宇宙终极难题还差那么些^^ 他问: 这几天一直挺困惑。说下我的问题,你有空的时候帮我解答下吧。 今天问自己个问题,找个自己的特长现在开始发展它。 基本上以后主要就靠这
阅读全文
防御性编程
摘要:一、什么事防御性编程 详细请见:http://www.uml.org.cn/codeNorms/201007165.asp 防御性编程是一种细致、谨慎的编程方法。为了开发可靠的软件,我们要设计系统中的每个组件,以使其尽可能地“保护”自己。我们通过明确地在代码中对设想进行检查,击碎了未记录下来的设想。
阅读全文
防御性编程技巧
摘要:c++基础知识(4) c++基础知识(4) 在防御性编程的大框架之下,有许多常识性的规则。人们在想到防御性编程的时候,通常都会想到“断言”,这没有错。我们将在后面对此进行讨论。但是,还是有一些简单的编程习惯可以极大地提高代码的安全性。 尽管看上去像是常识,但是这些规则却往往被人们忽视,这就是为什么世
阅读全文
浙公网安备 33010602011771号