干货-2016暑期学校"软件与移动智能系统安全" PPT

作者: 分类: 干货分享 评论: 暂无 时间: 2016-07-30 浏览: 8,251 次

0x00 前言

很感谢上海交通大学计算机系分享PPT资源,满满都是优质的干货,我这里把全部的PPT打包,欢迎大家下载学习!

阅读全文»

入CTF坑必不可少的地方-保持更新

作者: 分类: CTF 评论: 3条 时间: 2016-07-30 浏览: 20,748 次

ctf.png

0x00 前言

没有交易,没有买卖,没有排名,纯属分享:p

0x01 CTF介绍

CTF领域指南
CTF介绍大全
CTF赛事预告

阅读全文»

2016 JSRC乌托邦广州站沙龙议题PPT

作者: 分类: 干货分享 评论: 暂无 时间: 2016-07-29 浏览: 6,853 次

0x00 议题

议题一 以攻为守的情报分析 张佳发

议题二 基于威胁情报的业务逻辑漏洞分析V0.2 吴灵敏

议题三 当威胁情报遇上业务安全 张洪

阅读全文»

史上最强适合安全爱好者的截图神器Snipaste

作者: 分类: 神兵利器 评论: 4条 时间: 2016-07-28 浏览: 15,524 次

0x00 前言

编写文档几乎是与计算机和互联网接触的工作者的日常,在信息安全领域中,信息安全工程师编写渗透测试报告、漏洞分析文档是必备技能,同时也是家常便饭,文档编写时经常需要相关的截图来说明解释,而一款顺手强大、绿色免费截图神器正是我们作为安全研究爱好者所强烈渴求的。偶然地机会在v2ex看到levie开发的截图神器Snipaste,跟着操作学习了一般,给我的感觉就是从未用过这么适合安全研究爱好者的截图神器,特别是它除一般截图所具有的功能之外的精确控制截图范围特点、代码选取转为图片特色、强大的图片编辑功能,总之是一款很赞的适合安全爱好者的截图神器,在此向作者说声感谢!

阅读全文»

wooyun drops乌云知识库全部文章打包离线下载

作者: 分类: 学习记录 评论: 4条 时间: 2016-07-27 浏览: 29,912 次

0x00 前言

乌云网是一个安全研究者集聚地,是一个非常值得推荐学习的地方,特别是各路大牛分享技术文章的乌云知识库,由于近几天乌云在进行升级,导致很多小伙伴看不了乌云知识库里的技术文章,所以分享一份来自JmNkS的乌云知识库全部文章包,一共是1157篇,赶紧下载去学习一波吧!另外正如乌云所说:与其听信谣言不如相信乌云,相信过不了多久乌云会正常回归!

阅读全文»

黑客宝典 -《安全档案(第一期)》:逆向工程与WEB安全 下载及征稿

作者: 分类: 渗透测试 评论: 暂无 时间: 2016-07-23 浏览: 8,083 次

0x00 前言

很荣幸的作为参编参与《安全档案》的制作,现在《安全档案(第一期)》:逆向工程与WEB安全终于发布啦!

筹划良久,爱安全与众技术大拿共同打造的新信息安全技术文献——《安全档案(第一期)》:逆向工程与WEB安全正式放送给大家!

这一期满满72页的干货,有逆向工程大牛深入浅出的漏洞分析,有Web安全大触独具特色的研究成功,在此衷心地感谢他们辛勤的付出!

欢迎大家阅读和分享,同时也欢迎大家向安全档案投稿!

在此由衷的感谢《白帽子讲浏览器安全》作者Blast、phithon、jas0n、hero、k0sh1等对稿件的授权,以及爱安全团队的每一个伙伴齐心协力。

阅读全文»

干货-信息安全甲方乙方理解和职业群岗位脑图

作者: 分类: 学习记录 评论: 2条 时间: 2016-07-16 浏览: 14,672 次

0x00 甲方乙方

随着社会的发展,我们国家越来越重视信息安全,国内许多大厂商也越来越重视企业的信息系统的安全防范,对于我们从事这行的小伙伴来说无疑是个好消息!不过,许多刚刚接触这行的小伙伴并不太了解信息安全方面有些什么岗位,所以给小伙伴分享信息安全职业群岗位脑图,主要是关于甲方企业的岗位,说到甲方企业,那么在信息安全里所谓的甲方和乙方怎么理解呢?通俗理解就是甲方给需求,乙方给服务,当然这不是绝对的,只是大致是这样。举个例子,比如,像京东、携程、小米,华为等公司就属于甲方,而像启明星辰、绿盟、知道创宇这些公司就属于乙方,还有一些公司甲方乙方性质都具有,360就是典型的公司,既需要给其他公司需求,也对其他公司提供安全服务。

下面是引用hblf对于甲乙方自己理解:

在乙方:更专注某一领域的技术,在这个领域里技术研究的更深入。毕竟目前没有哪家乙方公司敢说自己的产品线覆盖了网络安全的所有领域,有侧重攻防漏洞的(比如绿盟),有侧重web安全的(比如知道创宇),有侧重恶意代码的(比如各杀毒软件公司),在任何一家公司做乙方的技术,都有更多资源在这个领域里挖的更深,甚至成为专家。但是显而易见,在创宇可能你就不会对恶意代码研究那么多,在mcafee你可能就没机会深入玩玩DDoS。

在甲方:甲方的安全工程师首先要求懂业务,要懂得把各种安全技术如何恰当合理的应用在自己服务的企业并创造价值。安全技术千千万,能与公司业务流程完美融合发挥效力的,需要的不仅是对技术细节的了解,更需要合理应用和取舍。在甲方你会因为项目的原因,有机会接触不同层次的乙方公司及工程师,接触的人更多,学到的东西也更多。在甲方也许更能体会“三分技术七分管理”的含义。并不是说这句话有多么多么金科玉律,但离开安全管理玩技术,效果也会打折扣。

总之,甲方的面更宽,但深入度明显不够,同时,不同公司业务形态不同,在A甲方做的好未必能完美移植到B甲方。

最后希望小伙伴们都能够找到自己的定位,并为之奋斗,不用多久,相信你就会升职加薪、当上总经理、出任CEO、迎娶白富美、走上人生巅峰,是不是有点小激动2333。

0x01 脑图

阅读全文»

浅谈安全性攻击人为攻击的主要形式和防御

作者: 分类: 渗透测试 评论: 1条 时间: 2016-07-04 浏览: 16,164 次

0x01 安全性攻击主要的两种方式

当前,对信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)的攻击来自多方面,这些攻击我们可以宏观地分为人为攻击(主观因素)和自然灾害攻击(客观因素),这两大类的攻击都会对信息安全构成威胁。造成自然灾害攻击的自然因素包括各种自然灾害:如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等;系统的环境和场地条件,如温度、湿度、电源、地线和其他防护设施不良造成的威胁;电磁辐射和电磁干扰的威胁;硬件设备自然老化,可靠性下降的威胁等。因为自然灾害往往不可预知和抗力,所以自然灾害发生而造成的攻击通常是不可避免的。虽然自然灾害攻击通常不可预知,但是我们可以做一些防患于未然的措施,比如根据信息系统的重要性对其所处的地方进行自然灾害的预测与报警,根据信息系统所处环境的情况进行隔离保护等。不过往往信息安全安全性攻击的方式主要以的是人为攻击的形式出现,因为精心设计的人为攻击威胁较大,灵活多变而难于防御,所以在这里我们主要讨论人为攻击方式。

0x02 安全性攻击人为攻击

一般而言,人为攻击都是通过寻找系统的弱点,以非授权的方式达到破坏、欺骗和窃取数据信息等目的。由于人为攻击运用的方式往往非常灵活,所以导致人为攻击方法没有规范的分类模式,从攻击的目的来看,可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击;从攻击的切入点来看,有缓冲区溢出攻击、系统设置漏洞的攻击等;从攻击的纵向实施过程来看,又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等;从攻击的类型来看,包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。所以说,很难以一个统一的模式对各种攻击手段进行分类,采用不同的分类标准(如攻击手段、攻击目标等)我们可以将攻击形式分为不同的分类,这里我们参照美国国家标准局在2000年9月发布的《信息保障技术框架(IATF) 3.0》版本里的给出的参考,《信息保障技术框架(IATF) 3.0》中将攻击形式大致分为被动攻击、主动攻击、物理临近攻击、内部人员攻击和软硬件配装攻击等5类。

阅读全文»