Strive for lofty goals
客观面对结果,哪怕获得0失分也并不代表做得好,并不代表能防御国家级有组织的黑客队伍,有可能是被分到有软柿子的组,攻击队为获得更好的积分排名不一定会盯着你不放。此外客观来看,虽然防守方会被多个攻击队攻击,但同样每一个攻击队的目标也是多个,会导致他的精力有限无法发挥出全部效果。同时防守方一般会为了比赛,做大量的防御工事,其中还会有很多临时性手段,比赛结束可能就拆除了,平时的黑盒可没有这些限制,企业的安全水位想要再上一个台阶,达到常态化HW水平是必然趋势。 为避免不必要的麻烦,下文用实战攻防赛代替HVV。本文仅代表个人想法,和所在公司无关。 实战攻防赛是将小概率安全事件常态化的赛场,双方在既定规则下进行博弈与演化,攻击方为争夺第一而明争暗斗,防御方为抵消攻击者不对等的优势而不断进化建设理念,双方源源不断的从场中汲取经验作为新能量,帮助我们认知实战、理解实战,进而应对实战、掌控实战。...
作为面试者如何做一场完美面试?作为面试官如何识别面试者真实能力和缺陷?
HTTPS+HSTS+includeSubDomains+HSTS Preload List+浏览器侧阻止第三方Cookie+Cookie Secure Cookie Secure(HTTPS和HTTP的Cookie共享,恶意站点引用即可拿到Cookie,当配置HSTS后,可以使用不存在的子域名,并通过DNS污染使其随便指向某个IP,即可获取其Cookie) 运营商劫持案例 你曾经是否发现自己的微博突然多关注了几个人,甚至发布了几条广告微博?QQ突然被加入陌生群组?也许就是因为黑灰产团伙已经控制了你的账户,曾经绍兴警方就成功侦破过一件大案。 一家数百人的黑灰产集团,由近十家公司组成。并且还上市了,年营收达到上千万。该团伙创始人原本在运营商体系工作,后开始创业。由于当时各大网站和App都还是使用HTTP协议,导致在传输层毫无防护能力。...
2017年,美国最大的信用评级机构Equifax(艾可菲)遭到黑客入侵,导致1.47亿用户个人敏感数据泄露。通过美国众议院监督和政府改革委员会、美国政府问责办公室(GAO)以及美国公共事务办公室等机构发布的相关调查文件,可以看到入侵关键过程,非常难得的公布了完整情况。从真实安全事件中学习经验是成本最低的方式,整个行动中有很多环节能够给甲方安全建设带来一些启示。
Phineas Phisher 在 2016 年对位于马恩岛的开曼国家银行实施的黑客攻击,是一个引人深思的案例。他通过这次攻击非法获得了数十万英镑。结合 Phisher 自己撰写的《如何抢银行》以及普华永道对该银行的网络安全调查报告,我们可以清晰地看到攻击的关键时间节点和步骤。
这一事件对于银行安全领域的从业者来说,提供了宝贵的学习机会。通过分析这一案例,我们能够更深入地了解到银行系统的潜在安全漏洞,以及黑客是如何利用这些漏洞进行攻击的。这不仅展示了黑客的攻击手法,而且对于提高银行系统的安全防范意识和能力具有重要意义。
应用间HTTP接口互相调用非常常见,期间会存在哪些安全风险?如何保证API接口调用时的安全性,防止数据窃取、未授权访问、请求被篡改以及请求被重放等风险? API安全风险与解决方案 传输窃取 -> HTTPS 接口需要通过HTTPS防止请求在传输过程中被窃取。 让HTTP无法直接访问,会强制跳转到HTTPS。 除了公网,办公网内嗅探窃取数据更为容易,也应该全站HTTPS。 未授权访问 -> API密钥(Access/Secret Key) API接口没有做任何安全措施的话,能够被任何人调用到存在未授权访问风险。因此需要给每一个调用此API的应用在发起请求时带上一个事先约定好不容易被猜到的密钥(Secret Key),如果是多个调用方,还需要是谁调用的,因此还需要约定一个调用方的唯一标示(Access Key或App ID)。...
Strive for lofty goals