代码审计 好书推荐

68
※代码审计环境准备 ※漏洞挖掘和修复方法 ※功能怎么设计更安全 ※应用整体安全体系建设   欢迎关注博主个人微信公众账号“互联网安全与创业”   2015年11月,在每天都被问到什么时候能买到的情况下,我的个人原著《代码审计:企业级web代码安全架构》终于开始预售(本文的目录更细,实书封面会是黑色这个),它是代码安全审计领域的第一本书,这本书从2014年5月开始动笔,......

代码审计 编程开发

68
  系统名称:Seay源代码审计系统 系统作者:Seay 官网:www.cnseay.com 团队网站:www.safekeyer.com    BUG反馈+规则共享+插件共享,请发送到邮箱root@cnseay.com,我会集成在下一个版本。   历史版本: 2014年7月31日 Seay源代码审计系统2.1 时隔刚好一年之久,源代码审计系统再次更新,这次主要优化审计体验,优化了漏洞规则,算......

关于博客

★不断学习 不断钻研 才能不断进步

发表于5年前 | 作者: seay

150
    欢迎添加友链 — 链接名:Seay安全博客      链接地址:http://www.cnseay.com/                            本博客PR 5,申请友链请在本文下面留言…24小时内会加上贵站链接…   ......

人文创业 安全运营

0
    最近在给企业做安全顾问,主要包括安全体系建设、应急响应、日常安全运营,安全体系覆盖到了主机、应用、网络、数据、业务、人员、物理几个大方面,而这几个方面需要很多的第三方产品和服务来支持。所以很重要一块是给客户做安全产品和服务的选型,因此我根据技术能力、品牌、服务能力、产品能力等多个方面,对比了很多的安全厂商,其实大多数安全厂商都有多个产品线,那我就是要挑出来......

求职招聘

0
简历发射到yinyi@sobug.com 职位诱惑: 黑客云集,技术前沿,氛围轻松 职位描述: 招聘要求: 以下要求满足两条及以上即可。 1、丰富的安全经验,熟练运用各种安全、黑客工具,对渗透有高度清晰的认识。 2、熟练使用包括但不限于PHP、python、java、C#、C++等常用编程语言一门以上,熟练mssql、mysql、oracle等常用数据库,能够自己写程序解决问题。 3、熟悉漏洞......

求职招聘

3
去年年底的时候我从北京搬到了深圳,现在公司业务发展,需要招聘销售和售前工程师,有意向的MMMMMMMMMMM 岗位职责: 1、负责公司产品和服务的售前技术咨询和交流工作,为客户讲解公司业务,并挖掘需求。 2、根据客户需求撰写方案文档,交流PPT等资料。 3、良好的表达和沟通能力。 岗位要求: 1、有两年以上网络安全领域的售前、渗透测试或者安全研究等工作经验; 2、对主机安全、应用安全、......

代码审计

2
偶尔会收到邮件、微博还有博客来咨询,说在代码审计的时候总感觉程序比较乱,读不懂框架,理不清思路,发现了一段漏洞代码,但是不知道怎么去找到漏洞利用点(请求哪个URL、提交什么数据),这是因为你对这套程序的大框架还不够熟悉,对程序执行流程理解不透彻。 既然这么多人反馈,那我就简单说一下我的方式:利用思维导图。 思维导图是个很好的东西,我在思考各种事情、写复杂程序等等各种场景都会用......

投资理财

9
外汇交易技巧 一、总的交易纪律 交易纪律是控制风险的宏观规定,是为了规避人的心理弱点和心态变化的规则,帮助控制心态变化后的交易频率等内容。是交易系统的第一个构成部分。 1、宏观纪律 (1)出现连续3次亏损,则应强制自己休息下,不盲目交易,分析下自己发生亏损的原因,调整好心态再寻找机会入场。 (2)连续交易获利超过50%,则强制休息下。 (3)每日交易不要过于频繁。 (4)交易止损后,不在3小时内......

实用工具

实用工具:免费Zend 5.2 5.3 5.4解密工具

发表于10月前 | 作者: seay

8
最近在读一些有zend 5.4加密的代码,之前的黑刀无法解密5.4,网上找了下发现大多要收费,有一个工具叫G-DeZender能解5.4,但是未付费版本每点一次只能解密一个文件,这TM四五千个文件点完会死人的。 丢给公司的小莫同志研究了下,抓了下这个程序的进程,发现这个程序也是调用的本地文件去解密,那直接写个循环调用不就完了。。。 花了点时间抄了个SeayDzend,支持zend 5.2,zend5.3,zend5.4 的解密,造......

实用工具 渗透测试

15
某夜,某个酒店,某位体型略发福的老友打开他的笔记本,告诉我很怀念以前版本是那么详细,那么友好,看在睡了不止一次的份上,于是更新了这个版本。   更新内容如下: 1、降级.NET版本至4.0,因之前有人反馈WIN2003无法使用,因为2003不能安装.NET4.5,现在win2003及XP都可以正常使用。 2、增加获取web服务器信息的功能,如果在渗透过程中,担心软件自动访问web服务器会记录到web日志,可以关闭获......

实用工具 渗透测试 编程开发

32
经常看到有文章推荐用这个子域名挖掘的小工具,但之前都没好好写,代码很乱,效率也不高,有时候还经常崩溃,既然大家这么喜欢用,那干脆今晚抽了点时间全部重写了下,新版更稳定,也加入了更实用的端口探测功能,可以在挖掘子域名的同时扫描端口。 优化详情: 1、新起项目,代码全部重写,性能更优更稳定。 2、增加子端口探测功能,方便渗透测试。 3、增加DNS服务器切换和自定义,目前测试DNSPOD最快,......

人文创业

3
配图:这个我给满分。     最近一直在琢磨方向和产品的事情,通过拉勾、智联招聘、it桔子、36kr、google等网站,几乎看遍国内外所有安全公司方向及产品,从这些公司活着的状态,思考清楚不少问题。 首先关于方向。 TO B:     安全创业to c还是to b,基本不存在差异观点,安全要想直接从用户收钱回来,都认为得做B端用户,而且要做大B,前车之鉴比如安全狗、加速乐、网......

人文创业 安全运营

企业安全:为何总有修不完的漏洞?

发表于1年前 | 作者: seay

0
        前不久我在朋友圈转发了一个名叫《內建安全的软件开发》的文章, 整个文章读下来,作者要表达的意思是开发和安全要更加紧密的配合,安全越早介入产品的研发过程越好,这样才能更快的对安全问题进行响应。理想的情况下非常好,但并不适用于所有企业,企业安全一定不同阶段做不同的事情,大致分为四个阶段。     第一个阶段属于救火阶段,安全团队规模......

安全运营 渗透测试

企业安全痛点之员工行为难管控(三)

发表于1年前 | 作者: seay

1
累计到昨天的文章说到员工行为难管控的以下六个体现点。 1、滥用云笔记及网盘。 2、将公司代码存储在Github、oschina、Bitbucket等。 3、员工企业邮箱与外部个人账号密码一致。 4、在邮件、QQ、钉钉等沟通工具中直接发送密码。 5、随意打开陌生人发送的文件或链接 6、内部系统设置弱口令或默认密码不更改。     今天继续新增三个,讲到的这些风险点,几乎每种都能将国内大部分企业强奸N遍,这......

安全运营 渗透测试

企业安全:员工行为难管控(二)

发表于1年前 | 作者: seay

1
 昨天的文章说到员工行为难管控的以下三个体现点,受到很多甲方安全运营者的赞同。 1、滥用云笔记及网盘 2、将公司代码存储在Github、oschina、Bitbucket等。 3、员工企业邮箱与外部个人账号密码一致。   除了这些,我们在人员安全检测服务过程中还发现很多这方面的问题,今天接着把这些问题一一列出来,以便于我们后面说明怎么解决,案例中讲到的所有故事都是绝对真实。 4、在邮件、QQ、钉钉......

渗透测试 科普专线

企业安全:员工行为难管控(一)

发表于1年前 | 作者: seay

0
    近期想讲一些我看到企业安全最严重威胁和运营痛点,不出意外,这会是一个系列,里面讲到的所有观点和案例,都是通过实践而来,会基本覆盖我的核心安全观。每天只写1000字左右,没写完的痛点拆开写,文章后面附上一张我们给客户的安全意识墙面小贴士。     以往,不管是安全甲方还是乙方,安全工作都是围绕应用跟操作系统去做,比如WAF、IPS、SDL等,解决的都是系统跟应用的问题......

人文创业

0
​  团队的战斗力跟领导者有非常大的关系,一个好的领导者,肯定会尽可能的帮助团队成长,这是我这两年带团队的过程中,非常关注的一点。   我尝试过很多做法,比如放权,直接做法是给下面的人分组分权,有很多好处。 1、分组的情况下就会有竞争,竞争在一定情况下不是坏处。 2、每个组长会更有积极性。 3、每个人受到直接上级的关注度没那么分散,归属感更强。 4、能够很好的培养团队的leader......