随笔分类 - 13-企业安全
企业安全、安全体系
摘要:以攻击者的视角来审视企业互联网资产可能存在的漏洞或其它可被攻击的可能性,这是一项极其重要的工作。今天分享几款开源的企业攻击面分析工具,可帮助甲方安全团队对攻击面进行梳理和检测。 01、Goby - Attack surface mapping Goby是新一代的网络安全评估工具,它能够为企业梳理出最
阅读全文
摘要:针对不断扩大的攻击面,需要企业从攻击者的视角出发,从外部探测企业的网络资产,并对Web 站点进行深入扫描,及时发现并处理高危风险,进而能够有效收敛攻击面。 通过一些工具自动化检测攻击面,在一定程度上可以提升安全人员的工作效率,本文分享的是Goby+AWVS 实现攻击面检测,下面一起来学习一下吧。 使
阅读全文
摘要:近日,Spring框架爆出0day漏洞,而这样一个框架漏洞,涉及的资产多、范围广、应急时间紧,框架升级的工程量存在较大挑战,考验着整个团队的协作能力。 今天我们探讨的话题是,对于突发0day漏洞等安全应急场景,如何快速进行排查和处置。我将分享我的思路和一些理解,欢迎补充和指正。 01、资产梳理 资产
阅读全文
摘要:弱口令问题一直是企业安全管理的痛点,一旦企业用户的账号密码泄露或被破解,将导致大量的内部信息泄露。 假设一个场景:一家大型企业使用AD域架构实现用户账号管理。面对大量的域用户弱口令问题,如何通过技术手段来实现弱口令安全治理呢,这个就是我们今天探讨的话题。 01、安全场景分析 比较常见的用户密码登录场
阅读全文
摘要:被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件
阅读全文
摘要:SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。 本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。 1、RIPS 一款不错的静态源代码分析工具
阅读全文
摘要:IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试
阅读全文
摘要:漏洞描述: EJBInvokerServlet和JMXInvokerServlet Servlet中存在一个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制请求利用此漏洞来安装任意应用程序。 https://192.168.xxx.22/invoker/EJBInvokerServlet ht
阅读全文
摘要:钓鱼邮件是一种比较常见的网络攻击手法,很多企业都深受其扰,稍有不慎将会导致数据被窃取。各种安全意识培训,其实都不如真刀真枪的演练一次来得深刻。今天,来分享一下如何快速构建内部钓鱼平台,实现一站式钓鱼邮件攻防演练环境的准备。 1、Gophish搭建Gophish是一款专为企业和渗透测试人员设计的开源网
阅读全文
摘要:10个好用的Web日志安全分析工具 经常听到有朋友问,有没有比较好用的web日志安全分析工具?首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多
阅读全文
摘要:主要解决两个问题,防下载,会话水印。这是是指用户名浮动水印,而不是固定的水印标识。 1、PDF文档 PDF文档在线浏览的保护,在线浏览防下载,文件不落地、禁止打印、禁止另存、禁止文字复制、动态添加防截图水印;内置PDF解析引擎,可独立运行,无需其他任何特定PDF软件支持。 2、在线视频播放 通过防盗
阅读全文
摘要:当攻击者发现目标站点存在CDN防护的时候,会尝试通过查找站点的真实IP,从而绕过CDN防护。我们来看一个比较常见的基于公有云的高可用架构,如下:CDN(入口层)->WAF(应用层防护)-> SLB(负载层)-> ECS(源站) -> RDS(数据库)即对应关系为:域名 cname CDN,CDN-→
阅读全文
摘要:这几天,一直在关注微盟删库事件的进展,在3月1日晚上,微盟发布最新公告称数据已经全面找回。而此时,距离事故发生的2月23日晚,过了有足足七天七夜,也就是7*24小时。 01 关于“删库跑路"的段子一直都在,而这样的真实事件也不是第一次发生了。 2018年6月,某科技公司总监因为被离职而一气之下删除了
阅读全文
摘要:SaaS模式下,企业用户无需维护系统,只需登录就可以享受系统功能带来的便利。但是SaaS服务和数据部署在云端而不是本地机房,可能存在不可控问题。 企业用户最关注的是自己的数据能不能得到有效的保护。 本文整理了10个必问的SaaS安全问题,包括基础安全,应用安全,安全合规、数据安全、安全责任划分等方面
阅读全文
摘要:友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产、资产梳理、摸清家底、资产安全治理 如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。 你了解过你所在的企业有多少资产暴露在外网吗? 通过防火墙发布外网,这里
阅读全文
摘要:短信API接口在web中得到越来越多的应用,如用户注册,登录,密码重置等业务模块都会使用手机验证码进行身份验证。一般情况下,我们会采用这样的安全策略,将短信发送频率限制在正常的业务流控范围内,比如,一个手机号一天最多下发10条短信,同时限制时效,验证次数。但这样的策略,攻击者通过遍历手机号,还是阻止
阅读全文
摘要:这是一份开源安全项目清单,收集了一些比较优秀的开源安全项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。 项目收集的思路: 一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。另一个是来自企业安全能力建设的需求,根据需求分类,如
阅读全文
摘要:代码审计系统 https://github.com/yingshang/banruo 该系统是使用python3的django去开发,队列使用celery+redis,最后调用代码审计工具fortify进行审计代码。 参考文章: [甲方安全建设之路]自动化代码审计系统 https://www.cnb
阅读全文
摘要:Debian搭建教程:https://www.jb51.net/os/618680.html 蜜罐t-pot教程:https://www.cnblogs.com/zealousness/category/1267439.html 实践操作 1、 apt-get install git apt-get
阅读全文
摘要:好处: 1、降低成本 项目成本、人员成本 2、使用简单 无需系统维护,用户只需登录就可以享受系统的功能 3、安全性 SaaS模式下,企业用户最关注的是自己的数据能不能得到安全保护。 A、涉及的数据有哪些,敏感程度如何。 B、SaaS服务商是否有有足够的技术能力,可以保证企业数据的安全性和保密性。 采
阅读全文
