发表于 |
业务安全与风控对抗原则 相对的风控而非绝对的防黑 增加黑产的成本而非阻断他们的行为——假如投入成本超过损益点,那就没必要薅你羊毛或者攻击你 永远的情报——深入敌后,爬虫与QQ群 方法比技术更重要——技术对抗是无止境的,改变战场规则可能起到一招退敌效果 数据比算法更重要 勤能补拙——不断改变业务逻辑, ...
阅读全文 »

发表于 |
防御架构原则防守体系建设三部曲三个层面的攻防对抗:信息对抗、技术对抗、运营能力对抗 信息对抗:知己知彼,情报优势 技术对抗:高维防守、建立优势、工程化 运营能力对抗:闭环运营、执行力 大规模生产网络的纵深防御架构互联网安全理念作者赞同腾讯的“河防”以及数字公司(应该指的360 )用的“塔防”概念 ...
阅读全文 »

发表于 |
安全大环境与背景对于有一定IT资产的企业,企业安全不是发现漏洞然后修复漏洞,在设置一下防火墙之类的。 攻防只解决了一半的问题,安全的工程化以及体系化的安全架构设计能力也是同样重要的。 安全建设包含:组织、管理、技术,组织 就是安全组织 作者认为的企业安全:从广义的信息安全或者狭义的网络安全出发,根据 ...
阅读全文 »

发表于 |
IDA安装通过在ida的python console输入下面代码获取plugin路径(下面获取的一般是C盘的用户路径,C:\Users\XXXX\AppData\Roaming\Hex-Rays\IDA Pro\plugins),或者你直接放到IDA根目录的plugins文件夹 1import id ...
阅读全文 »

发表于 |
centipede是谷歌的新的分布式模式测试工具,不过现在合并到了https://github.com/google/fuzztest, 没合并之前,有个人搞了个Blender,据说是Automatic whole-program fuzzing,就是不需要编写模糊目标函数,而是直接接受要测试的二进 ...
阅读全文 »

发表于 |
通常,Linux恶意软件在启动后会自行删除,以免文件扫描器和完整性检查发现二进制文件的存在。这也会使得取得二进制文件变得困难,从而增加了取证分析的难度。 然而,在Linux上恢复已删除的进程二进制文件是很容易的,只要该进程仍然在内存中。 在 Linux 系统中,/proc/<PID>/e ...
阅读全文 »

发表于 |
概述二进制污染是篡改系统命令并用恶意版本替换它。这可以是全面替换为一个新文件,设计成像旧命令一样运行,或者篡改原地可执行文件,使其直接运行恶意代码。 如果一个毫不知情的用户运行了一个被污染的命令,就是以该用户身份运行攻击者想要执行的代码。 简单污染示例下面的shell模拟污染/bin/ls 注意:不 ...
阅读全文 »

发表于 |
注:下面来自半翻译,半实践 对Linux进程进行取证,可以通过/proc/<PID>/environ来查看某个进程的环境变量,来获取一些信息。 所以说,遇到可疑的进程不要立即杀掉,不然取证都可能无从下手。 背景当在Linux上启动一个进程时,该进程的许多环境变量将在其运行期间保持不变。那 ...
阅读全文 »

发表于 |
简单看下https://github.com/quarkslab/pastis/的样本同步相关的代码 fuzz端fuzz端就两个功能,发送新增的样本或者crash,以及接收新样本 发送新增样本或者crash以afl++为例: https://github.com/quarkslab/pastis/b ...
阅读全文 »