- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
FreeBuf甲方群 | 2020甲方安全总结&2021甲方安全建设预算
FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 2、2020甲方安全关键词:一个人的安全。只能说很艰辛了。 3、2020年在一家初创公司做安全,一个人的部门,从零到一从无到有,一个关键词就是“从零开始”。 群伙伴回复 1、大意了哈哈哈哈哈哈 2、这种才是有安全意识的老板啊,哎 3、羡慕… 4、安全这个东西怎么看都是个无底洞 5、来自贫穷的凝视.JPG 6、是不是我们群最高的安全预算了? 7、还招人吗? 3、同事安全意识就是扯淡了,都面对面讲了演练很重要,人家密码改成了HW2020。说了admin不能做默认账户,人家改成admin1。最后差点打起来。 3、网络安全基础设备设施+等保建设,今年的预算就干这点事。 4、2021年希望做DevSecOps方向。
39610编辑于 2023-04-26 - 来自专栏中国白客联盟
甲方安全建设-内网安全(IDS)
前言 之前的篇章讲解了甲方安全建设之日志采集-Elastic Agent、甲方安全建设之日志采集-记录Windows事件管理器日志、甲方安全建设之研发安全-SCA,本文将讲解内网安全的检测。 all-recursive] Error 1 查阅得知是rust版本太低导致: [root@www suricata-7.0.3]# rustc --version rustc 1.54.0 (Red Hat 1.54.0-3. module_el8.5.0+1023+0c63d3d6) 使用如下方式更新rust: curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs
79010编辑于 2024-04-19 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 甲方安全测试流程 甲方安全团队在收到业务方安全提测后,将先与提测方进行业务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。 3、测试checklist ---- 3.1 测试思路 不少甲方会有自己的安全测试checklist,在测试过程中严格按照表中具体的每一项测试(独具特色的、方便以后类似项目测试)进行流程化的测试操作。 若有共鸣或其他想法与经验交流,请不吝赐教~ 往期回顾 【1】【安全测试】Android APP安全测试之敏感信息本地存储 【2】【渗透技巧】搜集SRC信息中的“技术活儿” 【3】【渗透技巧】浅谈常规渗透瓶颈 python代码审计中的那些器I 【19】【挖洞技巧】那个简单的威胁情报 【20】【一起玩蛇】Nodejs代码审计中的器 【21】【一起玩蛇】python代码审计中的那些器II 【22】【参会有感】C3安全峰会参后感
2.3K30发布于 2018-07-31 - 来自专栏中国白客联盟
甲方安全建设-DevSecOps SCA分析
前言 前文讲到了利用DependencyTrack对代码进行SCA分析,但是当时是通过手动上传BOM并在UI上进行展示查阅,对于安全左移DevSecOps来说,必然需要在应用编码、构建阶段就对其进行安全分析 ,如果发现安全风险则禁止构建和部署。 - branches 总结 本文讲解了利用DependencyTrack完成Devsecops中的SCA分析,保证了代码安全
47110编辑于 2024-05-21 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/jeffzh3ng/Fuxi-Scanner SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理 https://github.com/smarttang/w3a_SOC OpenSOC:致力于提供一个可扩展和可扩展的高级安全分析工具。 https://github.com/thelinuxchoice/blackeye phishing:甲方网络钓鱼的安全实践。 https://github.com/p1r06u3/phishing 安全运维 Scout:URL 监控系统。
3.8K51发布于 2019-07-30 - 来自专栏Cyber Security
【甲方安全建设】DevOps初体验
前言 临近春节,笔者经过半年北漂,期间辗转几家公司,同时也接触了几种不同岗位,也算对安全有了个初步的了解 目前在一家公司做安全开发相关实习,期间接触到一些比较有意思的技术,特此记录一下 之前写一些小的工具 SSH: EXEC: completed after 3,402 ms SSH: Disconnecting configuration [172.21.251.39] ... SSH: Transferred 3 file(s) Finished: SUCCESS 当然,这个过程中还需要一些必要的配置,这里就不再复述 实现自己在Idea中写完代码push后自动部署 后续可以搭配 webhook触发 最终的docker-compose文件 version: "3" services: nginx: image: nginx:latest container_name 据我目前的认识,应该是在DevOps流程中加入一些安全工具等因素,比如说: 使用SAST(静态分析安全测试):Fortify、AppScan DAST(动态分析安全测试):OWASP ZAP、Contrast
48210编辑于 2024-07-18 - 来自专栏中国白客联盟
甲方安全建设-利用AI大模型协助安全运营
bot: 机器人,对接用户的输入并返回结果,可以理解为就是一个chatgpt plugin: 插件,可以用python3、nodejs的方式编写代码,对输入的内容进行处理和输出 也很简单,直接使用python3 requests完成即可,https://www.coze.com/docs/guides/plugin_ide? ## 技能 ### 技能 1: 安全问题解答 - 根据用户面临的安全问题,提供专业的解决方案。 - 执行全面的安全检查并采取相应的补救措施。 ### 技能 3: 安全性建议和修复代码供应 - 根据需要,给出个性化的安全建设方案和漏洞修复建议。 ### 技能 3: 持续等待工作流的反馈 - 您会不断等待工作流的反馈,且过程中不会因为超时而终止工作流。
78710编辑于 2024-06-24 - 来自专栏FreeBuf
甲方安全中心建设:代码审计系统
* 本文作者:陌度,本文属FreeBuf原创奖励计划,未经许可禁止转载 纵观甲方的安全体系建设,最开始和最重要的那一部分就是代码安全。 甲方公司内部有很多项目,每个项目都由不同的开发人员进行开发,所以项目开发水平也是参差不齐,也就是说有很大可能产生漏洞(SQL注入,XSS,命令执行等)。 很多甲方公司公司无法将SDL彻底落地除了DevOps的频繁交付,还有就是安全工程师无法在短时间内对大量项目的源代码进行人工审计。 install django RUN pip3 install mitmproxy==0.18.2 RUN pip3 install django-celery redis pymysql RUN 禅道系统的设置:新建一个产品叫安全审计,在项目添加对应的git的项目,添加负责人= =讲真,这一部分要根据自身的业务做一个调整 ? ? ?
2.5K21发布于 2018-07-31 - 来自专栏FreeBuf
安全从业者该去甲方还是乙方?
——《哈姆雷特》 最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。 我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。 其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。 在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。 四、晋升空间 安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。
1.5K10发布于 2020-03-06 - 来自专栏数据安全架构与治理
甲方安全都有哪些黑科技?
在网络安全领域的甲方,也就是各种企业,往往实施了各种安全防护措施,以防止黑客入侵或内部泄密。除了常规的大家都知道的那些防护措施,还有没有什么值得一提的黑科技呢? 这就是红外对射,现在基本是甲方的数据机房的外围物理安全防护的标配。 一旦有人或动物闯入,就会启动警报。 (2)门禁 进入机房或重要房间,需要刷指纹(或虹膜)以验明正身。这个比较常见,就不贴图了。 网络层安全 ---- (1)准入控制 有些公司,如果是访客的电脑,即使插入网线也访问不了内网。 (3)抗D系统 每个公司的抗D方案都不一样,小型企业采购抗D设备,或者使用CDN,配合应用中缓存的使用,应用自身性能优化,再加上软件WAF,对抗小流量的DDoS基本够了。 当然,这些仅仅是甲方安全所涉及到的一部分。 还有,安全管理、安全流程、情报分析、安全审计等等。
38620编辑于 2022-06-02 - 来自专栏FreeBuf
话题讨论 | “传说中”的甲方安全
毕竟除了审计还有其他事情要做,能做的是尽可能减少安全隐患。 身在乙方,代码审计都是按照项目来划分的,人员技能当然不用说,毕竟是针对性的。这也是乙方技术比甲方高的原因之一,乙方还是胜在专精。 3. 当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。 第一关,关于未知领域的项目 想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。 3.找到攻击面了,那开始测试,既然web有扫描器,那么app就有分析工具,百度然后发现一个MobSF的自动化评测工具,在一无所知的情况下,自动化工具是最好的选择。 对外,安全动态关注 讲真,这个最不担心,毕竟安全圈就这么大,只要不是消息特别闭塞,翻一翻资料就全有了 。 3. 3.公司安全状态正在往好的发展,比如说我们周期巡检范围扩大,检测种类增多,这些是渐进式的。 4.当前的不足,这一点需要注意,提出不足的同时,给出你正在实施的改进方案。
1.5K91发布于 2018-02-26 - 来自专栏中国白客联盟
甲方安全建设- Velociraptor初体验协助应急响应
前言 刷到顺丰安全发表关于Velociraptor的文章,提到可以用它实现数据的查询,在应急的时候起很大作用,再加上刷到Velociraptor的一个ppt,笔者觉得挺不错,就来体验下。
1.3K20编辑于 2024-07-20 - 来自专栏FreeBuf
甲方安全之企业安全自动化工具SeMF分享
* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言: 上一篇文章《“传说中”的甲方安全》发布已经半年的时间,文章结尾说开源自建的安全管理平台,但是一直跳票。 本平台旨在帮助安全人员少,业务线繁杂,周期巡检困难,自动化程度低的企业,更好的实现企业内部的安全管理。 资产管理 资产是安全管理的核心,看过好多企业安全管理的文章,基本上第一部分都是公司资产的梳理,确认需要管理的资产并进行资产分级。 安全人员可以通过这个页面点击查看所有信息。截图如下: ? 3. 漏洞管理 这个模块就是身在甲方的我最需要的模块,也是这个平台的起点,(想当年,面对N多个业务系统,每次上百各安全漏洞,对每个漏洞修复跟进和复查 ,着实心累,好不容易修复了,研发给回滚了,都是泪啊),这个模块的话能看到当前所有资产的漏洞和相关信息
1.3K40发布于 2018-07-30 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业API安全
安全和开放是互联网世界永恒的话题,其中API扮演着重要的的角色,API的安全可以说是开放与创新的前提。 本期话题就围绕企业的API安全展开相关讨论: 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 3.大家认为目前的API安全架构建设还存在哪些难点,有无自己的一些设计思路? (本文所有ID已做匿名处理) 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 3、OAuth 授权或认证协议 每次交换令牌的时候不要加 token (不允许 response_type=token)。使用 state 参数并填充随机的哈希数来防止跨站请求伪造(CSRF)。 3.大家认为目前的API安全架构建设还存在哪些难点,有无自己的一些设计思路?
60740编辑于 2022-04-12 - 来自专栏FreeBuf
应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 224 期来了! FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 本期话题抢先看 1. 站在安全部门角度(非合规),在参与公司个人信息合规管理体系建设中理想的角色是怎么样的? 2. 大家能说说应用安全和数据安全的区别有哪些,这两者有具体的工作边界吗? 3. 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作? 还是包括安全通信、区域边界?安全计算环境这里,二级系统比三级是要差的,这样不会有什么问题? A3: 没有问题。 Q:私有部署的数据库审计是不是等保三必须呢?哪家比较靠谱呀?
1.8K30编辑于 2023-09-24 - 来自专栏FreeBuf
浅谈安全之应急响应 | FreeBuf甲方社群直播回顾
网络安全是一个变化、复杂的可持续过程,而应急响应则是这个过程中不可或缺的一环。无论如何稳固的安全体系,都需要思考一个问题,当安全防线被攻破了怎么办? 网络安全事件层出不穷、事件危害损失巨大。 3月17日,集贤科技安全总监fooyii在FreeBuf甲方社群第十一场内部直播中担任主讲嘉宾,以“浅谈安全之应急响应”为主题进行分享,带大家系统的认识应急响应。 对此,fooyii表示可以分为5个步骤:1、判断整个数据泄露是否正常;2、评估数据泄露事件的影响;3、向监管部门通报数据泄露事件;4、向受影响的客户通报数据泄露事件,并提供相应的补救措施;5、对数据泄露事件进行跟踪和复盘 四、加入FreeBuf甲方社群 本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧! 更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
1.6K40编辑于 2023-04-06 - 来自专栏FreeBuf
聊聊“安全运营”实践之道 | FreeBuf甲方群话题讨论
3、我现在面临最大的问题是安全需求和业务需求之间的冲突,相关成本的考量。 ,设备或产品不稳定,安全设备自身漏洞频出等问题;(3)流程维度:自动化处理流程不足,流程繁琐等问题。 讨论3:安全运营的“器与术”中的“器”也十分重要,你推荐哪些好用的安全运营工具/设备? 1、安全运营,借助自动化和工具化,落实到系统,后期就是增加准确率,减少出错率,解放人力。 FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 ,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验 专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP
1.2K30发布于 2021-05-20 - 来自专栏数通
安全从业必看:选错就后悔!甲方乙方安全工作终极对比指南
最近,安全圈频繁讨论"甲方安全还是乙方安全"的话题。许多安全从业者在选择职业发展时都会遇到这个问题。究竟应该去阿里、腾讯这样的甲方做安全,还是选择绿盟、启明星辰这样的安全公司? 甲乙方的本质区别 身份定位: 甲方:在非安全业务公司做安全(如银行、互联网公司) 乙方:在安全业务公司做安全(如安全厂商、安全服务商) 工作范围: 甲方:服务对象局限于公司内部 乙方:服务对象面向所有客户 工作特点对比 工作内容: 甲方:全面性,需要覆盖多个安全方向 乙方:专注性,通常专精某个安全领域 技术深度: 甲方:广度优先,跟随业务发展 乙方:深度优先,专注技术突破 预算资源: 甲方:整体预算大 ,安全占比小 乙方:整体预算小,安全占比大 选择建议 适合选择甲方的人群: 喜欢全面发展 注重工作稳定性 期望参与完整安全体系建设 适合选择乙方的人群: 热爱技术钻研 喜欢接触不同客户 期望快速积累项目经验 要看具体公司 管理水平与甲乙方无关 技术能力不分甲乙方 发展建议 选择甲方还是乙方,关键要看: 个人发展诉求 技术兴趣方向 职业规划目标 工作环境偏好 你是甲方还是乙方安全从业者?
28100编辑于 2025-01-09 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业资产安全管理
本期话题就围绕企业资产安全管理展开相关讨论: 1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好? 3.对数据资产安全治理,除了考虑合规,还可以有哪些需要关注的因素? (本文所有ID已做匿名处理) 1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? @浅尝辄止 主要是账外资产不好管理,账内的不用说了,安全措施都比较完备,至少心里有数;账外资产就麻烦多了,因为你自己也不知道,用账外资产的人又不关心安全,极易成为网络安全的盲点,这些账外资产的大部分网络安全措施都是薄弱甚至缺乏的 3.对数据资产安全治理,除了考虑合规,还可以有哪些需要关注的因素? @文艺书生 除了合规,自然是数据资产产生的收益(利润),企业的一切发展需求来自于创造利润。 考虑做好统一权限、密钥管理、防篡改技术、接口订阅管理、前端代码混淆等); 2.数字化办公安全(考虑文档加密、明暗水印、监控、文档分级分类、认证授权、零信任大框架等); 3.数据网关平台(需要有大数据部门主导建设人的统一数据作业通道
68050编辑于 2022-06-08 - 来自专栏Seebug漏洞平台
404星链计划 | 精选 10 个甲方开源安全工具
本期精选10个甲方开源安全工具 以下项目均收录于知道创宇404实验室星链计划 排名按Github star 01 dperf 作者:Benjamin 开发语言:C github star:3.2k https 国内多个知名安全厂商用dperf测试其防火墙。知名开源四层负载均衡DPVS在用dperf做性能测试,发布性能测试报告。 03 linglong 作者:awake1t 开发语言:Golang github star:1.5k https://github.com/awake1t/linglong linglong是一款甲方资产巡航扫描系统 08 murphysec 作者:墨菲安全 开发语言:Golang github star:988 https://github.com/murphysecurity/murphysec 墨菲安全专注于软件供应链安全 ,murphysec 是墨菲安全的 CLI 工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。
64820编辑于 2023-08-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号