安全运营

安全运营:企业安全实践经验分享

发表于2年前 | 作者: seay

0
最近在思考企业安全方面的东西,如果我去维护一家企业的安全,该在哪个阶段做哪些事情?怎么做?  之前一直在以乙方的角度看安全,来阿里已经一年,但是依旧没有接触多少企业安全运营方面的东西,看问题的高度不够,考虑到的是技术体系和简单的管理体系,合规、等保这些行业要求考虑的比较少,网上翻了一些前辈的文章,摘录一些分享到博客。 ——————&......

实用工具

公益工具:Seay个人密码生成器

发表于2年前 | 作者: seay

8
  大多数人都有同一个习惯,一个密码打天下,不管在哪注册账号都使用自己经常使用的一个密码,这就导致了一旦一家公司数据泄露,攻击者在拿到你的常用密码后就可以登陆你注册的所有网站。 另外一个情况,密码相似度太高,大多都是以姓名全拼或者简拼加上出生日期,或者某个固定数字,而每次更改密码也只是修改其中一两个字母或者数字,这就导致了密码可以被分析出来。 看着一个又一个......

代码审计 实用工具

17
最近两年在写代码审计的书,已经在进行收尾,其中提到我的代码审计系统才想起来还没有写一个这个软件的使用示例,今天补充一下, 用PHP程序espcms做举例,首先载入程序,然后点击自动审计,得到一部分可能存在漏洞的代码列表 我们挑其中的这一条   双击该项直接定位到这行代码,如下     在选中改变量后,在下方可以看到该变量的传递过程,并且点击下......

人文创业

0
  通常别人问我这边主要做哪些事情,我回答渗透测试的时候,非安全方向的人大多都不懂这是个什么东西,后来对于这种情况干脆都直接说做入侵测试,跟黑客入侵一样的事情,区别在于我们是授权入侵。   对于不输出安全业务来挣钱的企业来说,安全像汽车一样是个消耗品,隔不久就需要投入不少资源做保养,不过这是一个很有必要的事情,而入侵测试就相当于保养的时候各种各样的检查。相......

人文创业 生活笔画

16
   安全,未知攻焉知防。    我把安全人员定义为成攻防两派人,安全甲乙方我都待过,回顾总结面试过的人,很明显的一个趋势是安全人员在慢慢转学院理论派。    现在不少大学开始开设网络安全课程,我没上过大学,之前跟一些学生了解过,大多高中毕业生抱着期待和激动的心情去大学上课,却发现大学里面教的都是理论和基础,最后扼杀了学生的兴趣......

人文创业 生活笔画

新奇人文:有意思的PUA(把妹达人)

发表于2年前 | 作者: seay

0
   pua是什么?想必很多人应该都不知道, 我专门去找了关于这个词的解释:   [PUA,全称 Pick-up Artist。这个概念特指一群受过系统化学习、实践、和不断自我完善两性相处技巧的男人。 在字面上的解释,PUA 指的是“搭讪艺术家”,但因为两性文化的变迁和进步,PUA 的内涵已经从简单的搭讪层面扩展到整个两性相处的流程,包括: 搭讪(认识)、吸引、建立舒适和联系、直到发生亲密关系。 ......

安全运营 科普专线

3
  最近在招人,所以天天稍微不忙了就去翻一些安全的博客,希望找到合适的队友,刚看到 冷漠 的博客有一篇关于安全产品和安全服务的见解文章,地址是http://www.lengmo.net/post/1470/,如他所说是站在乙方的角度,分析的很不错,关于安全产品和服务,我也有不少感悟,之前在安全宝做安全服务的时候,销售出去见客户基本上都会把我带上,算得上半个销售兼全职技术,所以接触过很多很经典的甲方企......

人文创业

6
很多技术出身的人都喜欢唯技术论,他们看一个人牛不牛逼就光依其技术而定,这是有问题的。企业在招人的时候都想招技术好的,但是很多工作并不需要很牛逼的技术,什么样的岗需要什么样的人,有的岗可能更多需要的是工作态度、经验以及正能量,我之前也是一头往技术里扎,经常担心工作太忙没时间搞各种技术研究,最后会前途无“亮”,后来才想明白,决定自己level的关键不在于技术有多牛逼,而是做的事情的......

生活笔画

0
   近期个别脑残在freebuf以及部分个人博客等评论发表恶意评论,并且署名为cnseay、seay、cnseay.com、94黑客等,在此本人进行申明一下,从3年前开始本人就从来没有登陆过任何安全相关的论坛,从12年开始除了微博用个人账号http://weibo.com/seayace/ 以及 本博客www.cnseay.com ,没有在任何安全社区或者门户网站发表过评论,也没有主动跟任何人发生过冲突(应该也没有被人找上门冲突过),......

渗透测试

7
   国内网络安全最大的问题安全管理上,国内这些大大小小的公司,基本都可以通过社工或者爆破密码的方式渗透进去,所以针对公司自身的渗透测试,我们的要求是只做上线并且业务运行一段时间后的应用的渗透测试,并且使用跟外部黑客入侵一样的手法来渗透自身,包括但不限于迂回渗透、社工、钓鱼、0day等等APT的手法,不干涉我们只能搞哪几个应用或者服务器,为了搞定一个目标,也会去搞域名服......

科普专线

0
  上午参加一个内部的总结会有提到使用网闸,特地找了两个讲的比较清楚的文章放到这里。网闸可以理解为两个网络中间运输数据的信使,把收到的数据转成一定格式再丢给目标机器,阻止内外网机器的直接会话连接,也就是说的摆渡模式。这样就要看接收数据方怎么处理数据了,理论上只要有使用数据都是会存在安全风险的。 网闸的工作原理请看http://wenku.baidu.com/link?url=fJzZZ8S7M3YxXx......

求职招聘

0
本期招聘资深安全工程师-/渗透测试/代码审计/前端安全 三个方向共三人,岗位隶属于组织架构【阿里巴巴安全事业部-研究院-攻防实验室】,工作地点杭州,极具行业竞争力的待遇,符合以下要求欢迎发送简历到root(at)cnseay.com,也欢迎推荐,需要在2015年4月前能入职。 工作内容: ————————————————R......

实用工具

2
因为之前偷懒没有写编码设置的功能,默认是gbk,导致了部分其他编码的网站中文存在乱码的bug,现已增加编码设置的功能,不妨保留下新版,感谢z7y的反馈,如本站任何工具原创程序有bug,欢迎反馈到root@cnseay.com,一定尽快修复。 新版本下载地址: http://pan.baidu.com/s/1jGA98jG 工具截图: 整站下载功能:   文件管理功能:

科普专线

1
在乌云上看到一个关于爬虫的科普文,写的挺不错,文章里面提到的主要要关注的两个点是URL去重和相似URL过滤,如果写一个漏扫,爬虫在数据处理的效率非常重要,要考虑的点就更多了,有时间在补充 :D 原文地址:http://drops.wooyun.org/tips/3915 0x00 前言 网络爬虫(Web crawler),是一种“自动化浏览网络”的程序,或者说是一种网络机器人。它们被广泛用于互联网搜索引擎或其他类......