深度参与的书正式出版了!以前每次和大家分享,因为时间、保密等原因都不够深入或全面。于是我们将数十人多年安全建设的精华经验,毫无保留的都写进这本书里。可能文字不够优美,但内容很有质量。来到支付宝后,很多书中的经验都有明显助力,希望对安全同行能有一些微小的帮助。
特别不容易,前前后后接近两年时间,在工作已经都特别忙的情况下,大家晚上还是会参与闭关甚至周末花时间编写。没有经济利益,纯粹用爱发电。
可通过各大电商平台购买。
数字银行安全体系构建
数
基于原生安全范式构建可信纵深防御体系
基
在面对高等级威胁,且自身业务高度复杂且体量巨大时,需要重新审视现有的安全体系的有效性。充分考虑安全体系完备性,从理论和技术层面加强安全体系面对真实威胁防御效果,以避免关键单点风险失控导致整体崩溃。以原生安全范式(NbSP零越范式和OVTP可溯范式)为指导,基于安全平行切面为基础,构建可信纵深防御体系。在网络安全常规0day防御和数据安全敏感数据泄露这两个重要且困难的场景中的最新实践。
自驾南疆大环线
自
Log4shell(Log4j2 RCE)
L
Log4j2是一个广泛使用的Java日志框架,允许开发者通过简单的方式记录日志。该漏洞被标识为CVE-2021-44228,通常称为“Log4Shell”,通用漏洞评分系统 (CVSS) 评分为 10,其影响范围极广泛且能造成严重后果,是有史以来最危险的漏洞之一。 Log4j2主要有两个模块log4j-api和log4j-core,log4j-api是公共接口模块,主要用来定义日志的格式。log4j-core是核心实现模块,提供具体的日志记录功能。log4j-core依赖log4j-api。Log4j 1.x在2015年停止了维护,提到的Log4j默认指2.x版本。 漏洞产生的核心原因在于记录日志中提供了JNDI功能,如果日志内容中存在JNDI LDAP,Log4j会连接该服务器并下载恶意对象,通过反射机制来实例化该对象并调用其方法。 <dependencies>...
GitHub Pull Request业务逻辑风险
G
最近看了几个GitHub Pull Request相关的漏洞,觉得有点意思,能侧面反应当前业界对于业务逻辑风险的一些现状,记录分享出来。 GitHub Pull Request风险之逻辑实现不一致 正常情况下,我们在GitHub给某个开源项目A提交一个Pull Request时,会有一个“Allow edits by maintainers”的选项且默认选中。这个选项的主要作用是让项目A(Base Repository)的维护者可以有权限修改被我Fork后的项目(Head Repository)分支。 另外可以发现,无需拥有项目Base Repository或Head Repository权限即可随意创建Pull Request,限制了Head Repository必须是fork自Base Repository。 那么有没有可能把我自己的公开仓库作为Base...
基于甲方视角的漏洞发现
基
为什么总是被外部发现该发现但遗漏的漏洞?为什么各种黑白灰扫描器老有各种原因遗漏的漏洞?如何解决人工渗透测试带来的遗漏、效率问题?你是否也遇到这些问题,本文会讲讲我理解的漏洞发现,并基于该理论延伸的甲方漏洞发现最佳实践初探。 甲白乙黑:打破乙方思维,找到甲方优势 早期为了发现漏洞需要手工一个个参数去尝试各种Payload,后来用黑盒漏洞扫描器来逐渐替换掉那些重复性的手工操作。我们总在说,不知攻焉知防,但现实所见全是用攻的思维做防。白帽子们进入甲方开始建设企业安全时,也自然而然把黑盒漏洞扫描器搬了过来,甚至作为主要漏洞发现手段。...