安全众测的四个大坑

众包安全真的是解决传统安全渗透测试弊病的灵丹妙药吗?是否会引发更多问题?在解答上述问题之前,让我们简单回顾一下传统渗透测试实际存在的问题。

作者:星期五, 三月 27, 20205,189
标签:,

渗透测试,真的是合理需求吗?

近些年来,“渗透测试”似乎是目前行业中对攻防类服务需求响应最多的概念。大量企业声……

作者:星期四, 三月 5, 20204,053
标签:, ,

渗透测试的八个错误姿势

渗透测试很重要,但你真的做对了吗?我们不妨来看看渗透测试中常见的几种错误,谈谈该如何避免这些错误。

作者:星期一, 十二月 23, 20193,261
标签:,

渗透测试最重要的工具竟然是 Word 和 PPT ?

很多 CISO 极其信赖渗透测试——对公司基础设施的模拟攻击(通常是网络基础设施,但实……

作者:星期三, 十一月 20, 20192,917
标签:,

FRP 内网穿透

一、前言 在HW过程中(真是令人折磨的过程),核心目标系统通常处于内网,攻击的方……

作者:星期一, 八月 26, 20194,669
标签:, ,

BurpSuite 1.6~2.x版本汉化版工具

0x0 前言 hello everyone! BurpSuite是一款信息安全从业人员必备的集成型的渗透测……

作者:星期二, 一月 15, 20193,587
标签:, ,

银行ATM渗透测试 1小时之内任何机型都能拿钱走人

这是 Positive Technologies 的研究人员解构了26款不同制造商和服务提供商的ATM机后得出的结论:几乎所有ATM都扛不住网络或本地攻击者洗劫提款机。很多基本的攻击技术都可以黑掉ATM机,让黑客背着满满一包现金扬长而去。

作者:星期五, 十一月 23, 20183,386
标签:, ,

渗透测试成功的8个关键

渗透测试很贵,但只要做好其中几个关键因素就能得回它的价值。

作者:星期四, 十月 11, 20185,660
标签:,

11条优化安全投入的绝佳建议

如何将有限的资源最大化的利用?哪些措施是可以用很少的钱或者不花钱就能采用的?怎么“发现”预算中可以投入到网络安全上的资金?与其跟风购置最新最潮的技术,不如听听安全专家们的建议。

作者:星期日, 三月 4, 20182,501
标签:, , , , , ,

最好用的17个渗透测试工具

渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作。当然,是在恶意黑客找到这些漏洞之前。而这些业内安全专家各自钟爱的工具各种各样。这篇文章,将向你介绍17款最好用的渗透测试工具。

作者:星期一, 九月 18, 201743,777
标签:,

最大化渗透测试效果的5个关键点

本文的5点建议,均出自不同设置、不同环境和不同产业的渗透测试经验。每一条建议,都可以帮助安全团队充分利用测试的价值,同时减小出错的概率。当你考虑涉及到攻击自身资产的渗透测试时,恰当的管理关注力就变得十分紧迫了。

作者:星期六, 九月 2, 20176,477
标签:

“黑掉空军”发现207个漏洞 发放13万美元奖金

“黑掉空军”奖励项目由HackerOne运营,该漏洞奖励平台之前还承办过“黑掉国防部”和“黑掉陆军”漏洞奖励项目。漏洞奖励项目的目标,是纳入第三方安全研究人员来发现安全问题,然后为此支付报酬。

作者:星期六, 八月 12, 20172,608
标签:, , ,

红蓝对抗:怎样组织有效模拟演习

红队是引入来测试安全项目有效性的外部实体。他们被聘来模拟可能攻击者的行为和技术,使之看起来尽可能真实。与之对应的蓝队,则负责阻止这些模拟攻击的内部安全团队。不过,越来越多的公司更倾向于考察自身安全团队在无准备下对模拟攻击的反应和防御能力。

作者:星期五, 八月 4, 201712,971
标签:, ,

漏洞扫描与渗透测试的区别

漏洞扫描和渗透测试都可以馈送至网络风险分析过程,帮助确定最适合于公司、部门或实践的控制措施。降低风险需二者结合使用,但想得到最佳效果,就需要知道其间的差异——因为无论是漏洞扫描还是渗透测试,都是非常重要,而又用于不同目的,产生不同结果的。

作者:星期三, 七月 12, 201711,142
标签:,

一个利用无人机进行渗透测试的“犯罪”故事

这种技术需要在被感染恶意软件的计算机网络中,有一台扫描仪,而且要靠近窗口。然后利用激光或红外线照射扫描仪,让其输出包含命令序列的数字文件。

作者:星期五, 三月 31, 20174,312
标签:, , ,

《安全运维工程师成长手册》学习笔记

物以类聚,人以群分;选对团队,跟准人,才能在这”恶劣”的环境中生存下去。

作者:星期三, 二月 8, 20176,961
标签:, , , ,

Metasploit物联网安全渗透测试增加对硬件的支持

Metasploit框架的一个核心元素是向目标系统传递负载的Meterpreter系统。其中也包括可以在目标系统中运行的Mettle负载,研究人员可借此研究特定类型的物联网系统。

作者:星期一, 二月 6, 20173,276
标签:, , ,

黑掉五角大楼大获成功 美国防部计划开展更多漏洞奖励项目

超过1400名黑客注册了该项先行项目,其中250名以上提交了至少1份漏洞报告;全部提交的报告中,有138个是真实有效的。

作者:星期一, 十月 24, 20161,646
标签:, ,

渗透测试的福音:既好用成本又低的云端模糊测试

模糊测试适用于云计算,因为模糊测试软件可利用大量可用基础设施并行执行不同测试。

作者:星期五, 九月 30, 20161,836
标签:,

新课上线:流量操控与后门

Webshell可以称之为Web的后门,操作系统有操作系统层面的后门,留有后门的目的就是在后渗透测试阶段方便重新连接目标服务器。

作者:星期日, 八月 7, 20161,047
标签:, ,

可进行渗透测试的无人机将亮相 Black Hat

但随着物联网时代不断演进,无论有没有无人机加持,渗透测试员可大展身手的目标都更多了。

作者:星期二, 八月 2, 20161,713
标签:, ,

黑帽大会上即将发布的9款免费攻防利器

各种各样的漏洞利用工具将被详细推介出来,设备、协议、从HTTP到物联网再到渗透测试所用的技术,都是这些工具探索漏洞的目标。

作者:星期一, 八月 1, 20166,551
标签:, ,

白帽渗透测试的36条军规

这些年, 网络安全服务市场日益发展, 出现了不少白帽团队和漏洞平台。 但是白帽子在提高技术的同时, 法律和职业规范方面却并没有跟上, 出现了不少违法的案例。

作者:星期日, 六月 26, 20163,438
标签:,

这家初创企业基于云端进行渗透测试

人们经常提到,能够建立最好安全性的方式就是通过尝试入侵来进行测试,这正是安全初创企业vThreat的目标。

作者:星期一, 五月 30, 20161,158
标签:,

美国和阿联酋的高中生怎样打CTF

纽约大学布鲁克林校区举办了网络安全意识周(CSAW)活动。作为此类活动中最大型的一个,CSAW包含了为高中组、大学组设置的6个竞赛,以及一个校园招聘会。

作者:星期五, 五月 20, 20161,444
标签:, ,

火眼主动出击 推出渗透测试服务

火眼推出“红方行动”,利用了公司在处理世界上一些最严重的安全泄露事件中获取的经验,帮助机构了解当前真实的安全风险。

作者:星期一, 三月 28, 20161,545
标签:,

他将网络安全威胁比喻成癌症

我们必须把网络威胁和其它类型的犯罪一视同仁,事实是不存在完美的解决方案。我们只有更好的解决方案。对癌症,我们没有完美的解决方案,但这不意味着我们不需要尽早发现它。

作者:星期三, 三月 9, 20162,180
标签:,

社会工程前线:专业渗透测试人员分享入侵员工头脑的真实故事

一小时之内,Blow收到了超过60%的雇员输入的登录凭据。“到公司信息安全部门发现为止(大约90分钟后),我的成功率超过75%。交出登录凭据的员工涵盖了公司所有部门,包括市场部、IT部门,连首席级高管都没能幸免。”

作者:星期五, 二月 13, 20152,310
标签:,

网站安全认证不靠谱,“安全网站”更容易遭黑

近日科学家们对提供安全网站认证标志的十家知名安全服务商进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。

作者:星期一, 十二月 8, 20142,639
标签:, , ,

企业渗透测试自检的四项基本原则

如果把企业的信息安全比作牙齿护理,安全管理服务公司比作牙医,那么企业自己定期进行渗透测试自查就好比刷牙和使用牙线。

作者:星期六, 十月 4, 20142,101
标签:,

开源渗透测试平台Kali-Linux推出Nexus版本

最近, 黑客们和渗透测试员的最爱, 开源的Kali Linux操作系统推出了运行于Google Nexus上的版本Nethunter。通过Nethunter,黑客们可以发起一系列攻击, 包括HID 键盘攻击, BadUSD中间人攻击以及802.11帧注入攻击。 甚至可以一键设置一个恶意AP。

作者:星期一, 九月 29, 20145,023
标签:, , ,

PCI DSS:为什么漏洞评估和渗透测试那么难?

2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。该报告发现“要求11”的合规率最低。

作者:星期一, 七月 21, 20141,722
标签:, ,

安全军火库:渗透测试工具流行性大调查

渗透测试工具是他们“安全军火库”中最常使用的装备,但直到最近,可用的渗透测试工具才丰富起来,但这也带来一个问题,挑选合适的渗透测试工具成了一件麻烦事,一个最简单的方法就是参考同行们的选择。

作者:星期一, 二月 24, 20143,068
标签:, , , , , , , , , ,

最有效的员工安全意识培训:模拟网络攻击

在当今的黑客眼里,员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说,模拟钓鱼等“安全演习”能有效提高员工的安全意识,竖起一道“人力防火墙”。

作者:星期日, 十二月 8, 20132,660
标签:, , , , ,

忘记密码