专注企业信息安全

最新文章

邮件伪造实践

邮箱邮件安全如何做?从邮件伪造原理和常见的钓鱼邮件入手,看看如何来伪造邮件并提供伪造邮件代码工具。通过SPF、DKIM、DMARC、PTR等方法来组织伪造邮件,并提供一些方法来加固邮件以及提升使用邮件过程中的安全意识。

为什么我要分享自己的经验?

腾讯SRC年度峰会

在2018年最后一个月,坐在从深圳TSRC峰会回杭州的飞机上,我思考了这些年的工作、梦想、不足和未来,旁边哥们的呼噜声和后面阿姨从坐上飞机就开始持续不断的喋喋不休,以及飞机引擎的轰鸣声和颠簸让我有点头痛之外,我的思路还是很清晰,我认定这是一件好事,一件对安全行业有点微薄贡献的好事。 回到2014年,安全还是我的业余爱好,那时除了几家大的互联网企业和传统安全公司,其他公司几乎没有安全岗位,而我则以高级研发工程师入职蘑菇街无线团队,负责蘑菇街APP后端开发。业余则持续心中那份黑客梦,研究漏洞和开发自动化扫描工具,那一年乌云大热,利用自己开发扫描工具做到乌云排行榜十天前进十页,心中的安全热情得以体现。那时的乌云上多数人的目的很纯粹,为了帮助企业发现安全漏洞不被恶意利用、为了网络和平,现在听起来有点虚头巴脑,但很多人还一直在践行。...

枚举子域名

通过搜索引擎、Google HTTPS证书透明度、流量代理、GitHub搜索、DNS域传送、crossdomain.xml、DNSPod、DNS查询爆破等方式来枚举子域名,并DNS服务商公布的子域名数据加上通用字典和其它子域名爆破工具的字典结合起来使用Python Asyncio协程和多进程快速的枚举子域名。

如何解决硬编码密钥风险?

硬编码密钥存在什么风险? 密钥暴露面越多,风险就越大 密钥硬编码在代码中导致的直接结果就是代码在哪里,密钥就在哪里。研发人员电脑上存在密钥,如果电脑被攻击则密钥也会被泄漏。其次研发人员会因为没有安全意识,将代码上传至各类私有云盘或家里电脑又或是U盘中,导致风险面增大。更有甚者,将代码上传至GitHub,而忽略了代码中的硬编码密钥,从而被恶意着利用,比如我曾经发现的控制某云厂商全部管理权限。 攻击者拿到硬编码密钥后攻击成本较低 攻击者无论通过什么方式拿到你代码,首先就会去看硬编码密钥部分,尝试去利用这些代码中的明文密钥,比如存在邮箱密码则会去尝试登陆你的邮箱进一步渗透挖掘邮件中有价值的内容,有FTP账号密码则会尝试连接FTP挖掘FTP Server中有价值的文件。 硬编码暗示着你不会去变更它...

专注企业信息安全

标签

Loading