铁匠

2013年07月08日注册2018年10月16日最后登录

没有个人说明

第三方账号登陆的过程及由此引发的血案

 铁匠
 2018年10月10日
 39
 0
 0 

0x00 前言 第三方账号登陆也就是当你没有A网站的注册账号时,你可以使用该与A网站合作的第三方账号登陆A,在大多数情况下你会立即拥有与你第三方账号绑定的A网站会员,然后执行A网站的会员操作。这种场景常见于登陆团购、酒店住宿等网站,当人们没有该网站账号时,不少人会毫不犹豫地选择使用qq等登陆。以下的第三方账号就以qq为例吧 0x01 第三方登陆的过程 第三方账号登陆骨子里就是单点登录SSO的概念,

第三方账号登陆的过程及由此引发的血案

2018 Gdevops全球敏捷运维峰会北京站圆满落幕

 铁匠
 2018年09月26日
 21
 0
 0 

  9月21日,2018 Gdevops全球敏捷运维峰会北京站如约开幕!这场汇集运维与数据库干货的高质量技术盛会,可以说提前给北京新老朋友们送上了一份诚意满满的中秋佳礼。没有到场的朋友也不必遗憾,让我们马上精彩回放!   主会场精华   新炬网络运维产品部总经理 宋辉——  传统企业AIOps落地实践   2018被视为AIOps落地的元年,毫无疑问,无论是对于互联网

2018 Gdevops全球敏捷运维峰会北京站圆满落幕

数据安全领域 非听不可的一场演讲

 铁匠
 2018年09月26日
 39
 0
 0 

秋高气爽的九月,国家大事落在了网络安全上,我们欢欢喜喜迎来安全月。主题为“网络安全为人民,网络安全靠人民”的网络安全宣传周上,提升全社会网络安全意识和防护技能,普及网络安全知识,继续宣贯《网络安全法》等法律法规,围绕关键信息基础设施保护、数据安全、个人隐私保护,释放安全升温信号。 时针稍微往前拨动两下,酒店开房信息泄露事件刚刚发生,AcFun 遭受黑客攻击惊魂甫定,AI数据窃取案令人瞠目结舌……数

数据安全领域 非听不可的一场演讲

2018第三届SSC安全峰会成功举办

 铁匠
 2018年09月20日
 39
 0
 0 

2018年9月18日,第三届SSC安全峰会在中国•西安君悦酒店成功召开。本届峰会由中国信息安全测评中心、陕西省互联网信息办公室、陕西省公安厅指导,西安高新技术产业开发区管理委员会主办,西安四叶草信息技术有限公司、西安软件园发展中心承办,中国信息产业商会信息安全产业分会、陕西省科技厅信息中心、西安高新空间安全产业联盟协办。同时,本次峰会也得到了百度安全、蚂蚁金服安全响应中心、WiFi万能钥匙安全应急

2018第三届SSC安全峰会成功举办

第十二期“安全+”端点安全沙龙成功举办

 铁匠
 2018年09月18日
 24
 0
 0 

2018年9月14日,“安全+”在上海汤臣洲际酒店成功举办了主题为“端点安全”的第十二期沙龙。 沙龙围绕UEBA在企业落地的探索、基于开放工具和威胁情报的EDR、企业终端安全实践、员工侧安全综合解决方案实践、DDOS攻击的防御方法等热点话题展开热烈的讨论和交流。来自平安科技、美丽联合、华泰证券、华福证券、WiFi万能钥匙、饿了么、交通银行、携程、爱奇艺、Adidas、京东1号店、中国太平科技、蔚来

第十二期“安全+”端点安全沙龙成功举办

浅析大规模DDOS防御架构-应对T级攻防

 铁匠
 2018年09月12日
 54
 0
 0 

0x00 导读 0x01 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。 网络层攻击 Syn-flood 利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占

浅析大规模DDOS防御架构-应对T级攻防

《30天打造安全工程师》第17天:跳板的故事

 铁匠
 2018年09月12日
 94
 0
 0 

跳板,这里的不是指跳水的扳子(废话),我想大家多跳板都应该有个基本的认识:就是通过这个东西跳过什么东西,掩盖什么东西。就是隐藏你的足迹,想要找出你,就必须连接x个你所通过的机器,并且找出他们的log,如果碰巧有一个没有记录,线就断了:),即使都记录了,log里面登记的IP也是上一级跳板主机的IP… 当然跳板还可以用于: .QQ或者ICQ . ftp客户端 . mail客户端 . telnet客户端

《30天打造安全工程师》第17天:跳板的故事

Centos 7从python2.7.5升级到python2.7.13环境实战

 铁匠
 2018年09月12日
 26
 0
 0 

备份旧版本,连接新版本 再次检查python版本 若想访问老版本python(如2.7.5版本) 题外话:python2, python2.7访问的是2.7.5还是2.7.13呢 番外:yum的设置(系统预装的yum引用的老版本python)              

Centos 7从python2.7.5升级到python2.7.13环境实战

浅谈互联网公司业务安全

 铁匠
 2018年09月4日
 37
 0
 0 

0x00 我理解的业务安全 业务安全,按照百度百科的解释:业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。 我的理解:某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程,而业务安全就是保证这些流程按照预定的规则运行。 0x0

浅谈互联网公司业务安全

MongoDB安全配置

 铁匠
 2018年08月31日
 71
 0
 0 

0x00 MongoDB权限介绍 1.MongoDB安装时不添加任何参数,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库,需以–auth参数启动。 2.在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息。当admin.system.users一个用户都没有时,即使mongod启动时添加了–auth参数,如

MongoDB安全配置

2018中国软件技术大会如约而至

 铁匠
 2018年08月21日
 43
 0
 0 

今天的智能时代,软件技术在快速迭代、软件开发模式在不断创新、软件正在为企业和用户创造新的价值; 确认过眼神,12月7日-8日由中国科学院软件研究所、中科软科技联合主办、中科凯亚协办的中国软件技术大会如约而至!大会将汇聚中国软件行业意见领袖和技术精英,共同揭示技术进步、探索创新模式、洞察核心价值。大会为期2天,围绕大数据&人工智能技术与应用、区块链技术与应用、大前端与移动应用开发、软件赋能金

2018中国软件技术大会如约而至

浅谈被加壳ELF的调试

 铁匠
 2018年08月21日
 49
 0
 0 

0x00 ELF格式简介: 注:本文只讨论如何调试被加壳的ELF文件,包括调试中的技巧运用及调试过程中可能遇到的问题的解决方法,不包含如何还原加固的DEX 本文将以某加壳程序和某加固为目标 ELF全称:Executable and Linkable Format,是Linux下的一种可执行文件格式。 此种文件格式和WINDOWS一样,常见分为两种类型: 1、可执行文件(Executable Fil

浅谈被加壳ELF的调试

窃听风暴: Android平台https嗅探劫持漏洞

 铁匠
 2018年08月17日
 56
 0
 0 

0x00 前言 去年10月中旬,腾讯安全中心在日常终端安全审计中发现,在Android平台中使用https通讯的app绝大多数都没有安全的使用google提供的API,直接导致https通讯中的敏感信息泄漏甚至远程代码执行。终端安全团队审计后发现,腾讯部分产品及选取的13款业界主流app均存在此漏洞。 此外,通过这个漏洞,我们发现了国内整个行业处理安全问题存在诸多不足,例如安全情报滞后、安全警告未

窃听风暴: Android平台https嗅探劫持漏洞

《30天打造安全工程师》第16天:IIS5 UNICODE 编码漏洞

 铁匠
 2018年08月14日
 43
 0
 0 

unicode 漏洞是最容易让入侵者得手的一个漏洞,可以不费吹灰之力将主页改掉,重则删除 硬盘上的数据,高手甚至获取administrator 权限! 漏洞自大前年年10 月份公布至今,居然国内还有这么多的服务器存在着该漏洞 下面我从一般的入侵手法分析如何做相应的防护对策. (一)unicode 漏洞的原理 有关漏洞的原理网上已经有很多相关的文章了,我不打算详细说,还是简单的来了解了解 好了! 实

《30天打造安全工程师》第16天:IIS5 UNICODE 编码漏洞

给CISCO设备中后门的方法–TCL 以及路由安全

 铁匠
 2018年08月14日
 46
 0
 0 

之前在 zone 里边有人讨论过CISCO 的后门问题我就说了个利用TCL cisco 的一个脚本处理技术详见http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gt_tcl.html现在给整理出来。郑重声明本人仅讨论方法与该技术如利用此技术给他人造成的经济损失与本人无关。 首先给出脚本此脚本非本人所写国外已经有大牛写出来了

给CISCO设备中后门的方法–TCL 以及路由安全

《30天打造安全工程师》第15天:网络监听技术分析 纯属理论

 铁匠
 2018年08月13日
 31
 0
 0 

今天我们先说几个基本概念.首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址. 对我们来说,浏览网页,收发邮件等都是很平常,很简便的工作,其实在后台这些工作是依*tcp/

《30天打造安全工程师》第15天:网络监听技术分析 纯属理论

《30天打造安全工程师》第14天:sniffer,今天开始说它了

 铁匠
 2018年08月13日
 40
 0
 0 

sniffers(嗅探器)几乎和internet有一样久的历史了.他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具.但是这个工具也给我们带来很大的方便。今天我们看2个问题:1。什么是sniffer 2。如何防止sniffer的监听。似乎是矛盾的哦,呵呵,要2个方面都知道才能百战百胜嘛 什嘛是sniffer (抄定义的) 在单选性网络中, 以太网结构广播至网路上所有的机器, 但是只有

《30天打造安全工程师》第14天:sniffer,今天开始说它了

ZABBIX API简介及使用

 铁匠
 2018年08月13日
 71
 0
 0 

API简介 Zabbix API开始扮演着越来越重要的角色,尤其是在集成第三方软件和自动化日常任务时。很难想象管理数千台服务器而没有自动化是多么的困难。Zabbix API为批量操作、第三方软件集成以及其他作用提供可编程接口。 Zabbix API是在1.8版本中开始引进并且已经被广泛应用。所有的Zabbix移动客户端都是基于API,甚至原生的WEB前端部分也是建立在它之上。Zabbix API

ZABBIX API简介及使用

美玉在外,败絮其中——色播病毒的那些事儿

 铁匠
 2018年08月13日
 52
 0
 0 

长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀。 色播类病毒每日感染用户数如下图所示,感染用户数在周末日与假日期间尤为严重 为了进行有效的查杀,我们对色情类病毒进行实时的监控。以某约爱色播视频为例,下图所示,晚上8点后会进行爆发,每小时以千为单位,库中总量达80万。 美玉在外,败絮其中,此类色播病毒常以美

美玉在外,败絮其中——色播病毒的那些事儿

物联网操作系统安全性分析

 铁匠
 2018年08月8日
 56
 0
 0 

0x00 前言 物联网目前是继移动互联网之后的又一个未来IT发展的蓝海。智能设备的不断涌现已经在不知不觉中占领我们的生活,颠覆我们的原有的思维模式,记得前几年我还带着一块天梭的机械手表,近段时间地铁好多人都佩戴iWatch等智能手表。还有智能手环、智能灯等在不断的改变我们的生活方式。那么这些智能设备具体的IT架构是什么?他们的安全性设计如何?对于信息安全工作者,有必要研究一下。 物联网操作系统,其

物联网操作系统安全性分析
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享