深度参与的书正式出版了!以前每次和大家分享,因为时间、保密等原因都不够深入或全面。于是我们将数十人多年安全建设的精华经验,毫无保留的都写进这本书里。可能文字不够优美,但内容很有质量。来到支付宝后,很多书中的经验都有明显助力,希望对安全同行能有一些微小的帮助。
特别不容易,前前后后接近两年时间,在工作已经都特别忙的情况下,大家晚上还是会参与闭关甚至周末花时间编写。没有经济利益,纯粹用爱发电。
可通过各大电商平台购买。
数字银行安全体系构建
数
基于原生安全范式构建可信纵深防御体系
基
在面对高等级威胁,且自身业务高度复杂且体量巨大时,需要重新审视现有的安全体系的有效性。充分考虑安全体系完备性,从理论和技术层面加强安全体系面对真实威胁防御效果,以避免关键单点风险失控导致整体崩溃。以NbSP零越范式和OVTP可溯范式为指导,基于安全平行切面为基础,构建可信纵深防御体系。在网络安全常规0day防御和数据安全敏感数据泄露这两个重要且困难的场景中的最新实践。
自驾南疆大环线
自
GitHub Pull Request业务逻辑风险
G
最近看了几个GitHub Pull Request相关的漏洞,觉得有点意思,能侧面反应当前业界对于业务逻辑风险的一些现状,记录分享出来。 GitHub Pull Request风险之逻辑实现不一致 正常情况下,我们在GitHub给某个开源项目A提交一个Pull Request时,会有一个“Allow edits by maintainers”的选项且默认选中。这个选项的主要作用是让项目A(Base Repository)的维护者可以有权限修改被我Fork后的项目(Head Repository)分支。 另外可以发现,无需拥有项目Base Repository或Head Repository权限即可随意创建Pull Request,限制了Head Repository必须是fork自Base Repository。 那么有没有可能把我自己的公开仓库作为Base...
基于甲方视角的漏洞发现
基
为什么总是被外部发现该发现但遗漏的漏洞?为什么各种黑白灰扫描器老有各种原因遗漏的漏洞?如何解决人工渗透测试带来的遗漏、效率问题?你是否也遇到这些问题,本文会讲讲我理解的漏洞发现,并基于该理论延伸的甲方漏洞发现最佳实践初探。 甲白乙黑:打破乙方思维,找到甲方优势 早期为了发现漏洞需要手工一个个参数去尝试各种Payload,后来用黑盒漏洞扫描器来逐渐替换掉那些重复性的手工操作。我们总在说,不知攻焉知防,但现实所见全是用攻的思维做防。白帽子们进入甲方开始建设企业安全时,也自然而然把黑盒漏洞扫描器搬了过来,甚至作为主要漏洞发现手段。...
正确认识国家级实战演练的价值
正
客观面对结果,哪怕获得0失分也并不代表做得好,并不代表能防御国家级有组织的黑客队伍,有可能是被分到有软柿子的组,攻击队为获得更好的积分排名不一定会盯着你不放。此外客观来看,虽然防守方会被多个攻击队攻击,但同样每一个攻击队的目标也是多个,会导致他的精力有限无法发挥出全部效果。同时防守方一般会为了比赛,做大量的防御工事,其中还会有很多临时性手段,比赛结束可能就拆除了,平时的黑盒可没有这些限制,企业的安全水位想要再上一个台阶,达到常态化HW水平是必然趋势。 为避免不必要的麻烦,下文用实战攻防赛代替HVV。本文仅代表个人想法,和所在公司无关。 实战攻防赛是将小概率安全事件常态化的赛场,双方在既定规则下进行博弈与演化,攻击方为争夺第一而明争暗斗,防御方为抵消攻击者不对等的优势而不断进化建设理念,双方源源不断的从场中汲取经验作为新能量,帮助我们认知实战、理解实战,进而应对实战、掌控实战。...