FreeBuf 微信公众号文章列表

《2020企业安全威胁统一应对指南》即将发布 | FreeBuf咨询

《2020企业安全威胁统一应对指南》即将发布 | FreeBuf咨询

752

温故而知新,翻陈而出新。距离《2019企业安全威胁统一应对指南》发布已一年有余,FreeBuf咨询对2020年的网络安全现状进行一次系统性的回顾,从中吸取经验并加以改进,即将发布《2020企业安全威胁统一应对指南》。报告简介企业网络安全建设旨在保障企业的业务安全可持续发展、保证企业利益相关者生命、财产安全的延续,而完善的企业网络安全体系架构,主要分为管理体系

聊聊Gartner 2021战略技术趋势——分布式云

聊聊Gartner 2021战略技术趋势——分布式云

1542

Garnter不久前发布了2021年顶级战略技术趋势,本篇是分布式云(DistributedCloud)的介绍。位置独立分布式云(DistributedCloud)Gartner预测,到2025年,超过50%的组织将在其选择的地点使用分布式云,从而实现转型业务模式。分布式云的定义:将公有云服务(通常包括必要的硬件和软件)分布到不同的物理位置(即边缘),而服务

公安部网安局公布十大网络黑产案例

公安部网安局公布十大网络黑产案例

545

2020年,全国公安机关网安部门发起“净网2020”打击网络黑产犯罪集群战役,重拳打击为电信网络诈骗、网络赌博、网络水军等突出违法犯罪提供网号恶意注册、技术支撑、支付结算、推广引流等服务的违法犯罪活动,共侦办刑事案件4453起,抓获违法犯罪嫌疑人14311名(含电信运营商内部工作人员152名),查处关停网络接码平台38个,捣毁“猫池”窝点60个,查获、关停涉

对incaseformat蠕虫事件的一些思考

对incaseformat蠕虫事件的一些思考

1508

昨天incaseformat蠕虫病毒在全国爆发,各大安全厂商相继发布公告,安全产业似乎又迎来了新的发展机会……全国的安全厂商都在报道这个蠕虫事件,估计有一个人会坐立不安,那就是这个病毒的作者,至于原因,大家应该都懂的(开个玩笑)……其实这个病毒早在2009年就开发出来了,作者估计本来是想在愚人节的时候闹一下,也没想因为一个BUG,这款病毒在12年后会在全国爆

关于PDD员工发帖溯源联想到的相关技术与实现

关于PDD员工发帖溯源联想到的相关技术与实现

1479

序只分析技术不讲对错,也给一些规避方案。写这个文章呢,只是好奇在某职场APP上很多人好像并不知道,PDD是怎么查到的。我个人思考来说有两种方向可以实现:一种是技术+设备一种是社工一、纯技术分析网上其实很说查监控摄像头,缩小检查范围等,其实真不用那么麻烦。因为早在2009年我就接触过一种国内特色设备:上网行为管理。目前根据网上公开的信息,某APP也说保护用户信

渗透测试之地基钓鱼篇:thinkphp平台XSS钓鱼

渗透测试之地基钓鱼篇:thinkphp平台XSS钓鱼

403

简介渗透测试-地基篇:该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意:本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用KaliLinux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其

企业FRP安全实践

企业FRP安全实践

597

一、序1.1前言近期看到一则消息如下:2020年11月17日上午11:56,某公司发出全员级别的通告。人工智能部AI实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。对此,该公司客服工作人员表示:“针对此情况我们没有收到相关部门的通知

威胁诱捕类产品(蜜罐)能力评测邀请 | 中国信通院安全研究所&FreeBuf咨询

威胁诱捕类产品(蜜罐)能力评测邀请 | 中国信通院安全研究所&FreeBuf咨询

1390

威胁诱捕技术是一种基于应用蜜罐、虚拟系统、虚拟网络等多种方式的主动、积极、欺骗性质的网络安全检测技术。随着攻防手段的不断演变,高对抗性俨然成为了网络安全攻防的本质。在这一背景下,威胁诱捕类产品(蜜罐)在其中的应用得到广泛关注。FreeBuf咨询与中国信息通信研究院安全研究所正式宣布,双方将于3月9日至4月9日举办「2021威胁诱捕类产品(蜜罐)能力评测」,共

通过数据角度来看邮件安全

通过数据角度来看邮件安全

1367

一、概述在前一篇文章《一起钓鱼邮件的应急响应》中,我们介绍了伪造发件人的攻击,里面介绍了主流的攻击方式,在写文章和内部培训的时候我常在想国内或国际那些顶级域名有哪些存在相关的安全问题。由于前期有过数据分析的实践,于是直接上手来看看哪些域名受相关漏洞的影响。于是,便有了这篇文章。二、数据源本来想找国内的域名测试一下,看了一下,alexa中国的排名数据,里面只能

数据安全运营视角下的数据资产安全治理

数据安全运营视角下的数据资产安全治理

460

本文从运营角度谈数据资产的安全治理,通过平台化能力实现对涉敏资产识别、评估风险,及一系列治理措施达到风险收敛目的。基本定义数据资产1:拥有数据权属、有价值、可计量、可读取的网络空间中的数据集,数据资产有物理属性、存在属性和信息属性。数据资产2:数据资产是指由个人或企业拥有或者控制的,能够为企业带来未来经济利益的,以物理或电子的方式记录的数据资源。一、目标与价

FreeBuf 2021网络安全行业发展预测

FreeBuf 2021网络安全行业发展预测

161

从PC时代到移动时代,再到云、5G、边缘计算的兴起,伴随着IT环境的变化与新技术的应用,网络安全行业也在快速扩大市场边界,发展潜力被持续激发。新年伊始,FreeBuf通过对我国网络安全行业持续的市场监测与技术调研,总结行业发展现状与变化趋势,深入探讨网络安全行业的未来发展形势。下面是FreeBuf对2021年网络安全行业做出的趋势性预测:1.安全服务化转型凸

2011-2020:越过山丘,安全十年

2011-2020:越过山丘,安全十年

821

2011~2020,越过山丘,回望来时的路。越过山丘,安全十年|FreeBuf出品2020,献给网安人2020,难吗?网络安全威胁日益严峻,黑灰产组织利用疫情诈骗、勒索,在线工作兴起之际,Zoom漏洞大爆发。说到数据泄露,那么亚马逊和卡普空必然榜上有名。企业“内鬼”问题更是一度引起全网关注,从微盟删库到推特内鬼事件,引起争议纷纷……放眼世界,美国大谈“净网”

CIS 2020金融科技安全专场圆满结束,议题集锦不容错过

521

金融行业的安全风险核心仍在数据,科技是数据的“外衣”。互联网金融在业务开展过程中积累了大量信息和数据,这些也经常成为网络攻击的重灾区。而随着新技术在金融业中的广泛和深入应用,新一轮的金融科技安全拉锯战也愈发热烈。金融科技安全专场一如既往是CIS大会的关注点。2020年12月30日,CIS2020网络安全创新大会金融科技安全专场论坛邀请了国家信息技术安全研究中

CIS 2020主论坛首日全程回顾,明日精彩继续

1949

“不管我们从业人走得多远,FreeBuf和CIS永远在这里,永远年轻,永远热泪盈眶,期待我们下一个十年。”在2020年的倒计时里,来自全国各地的网络安全爱好者们整装待发,赶赴一场年末安全盛会。12月29日,CIS2020网络安全创新大会在上海正式开幕,本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办。从FIT到CIS,再到CIS第二届,安