ATT&CK 红队战术漫谈
威胁情报挖掘浅谈
我的一键 getshell 代码开发之路
在代码中审计漏洞的世界
RedTeaming:主流杀软对抗之路
APP审计之白帽必杀技
2021-08-18 13:16:36
16.5MB
从中国面临的网络安全威胁入手,结合我国的相关法律现状,分析白帽子的漏洞发现报告机制,探讨新法实施带来的机遇和挑战;以补天为例,探讨网络安全人才培养的新方向,新模式,新思维,正面引导、培养网络安全人才,共同捍卫全社会的网络安全;从白帽子角度出发,探讨成长路径,不忘初心。
一、我国目前网络安全相关法律
二、中国面临的境外网络安全威胁分析
三、国际漏洞报告领域发展现状
四、国内漏洞平台的战略价值
五、真爱必然克制
2021-08-15 01:29:33
14.89MB
白帽子,在很多人心中的印象就是挖洞高手。但随着网络安全实践工作的持续深入发展,白帽子已经成为了各项网络安全工作中不可或缺的关键要素。特别是近年来持续深入开展的网络安全实战攻防演习工作,对作为蓝队核心的白帽子,提出了越来越高的实战化能力要求。要求白帽子具备在实战对抗环境和实际业务环境中,实现有效的攻击的能力,并能够由此发现目标机构存在的安全问题或安全隐患。 实战化,对白帽子能力的要求更高,也更全面。一方面,对于具备实战化运行能力的大型政企机构来说,很多低级的安全漏洞早已修复,想要实现有效攻击,就必须具备发现某些高级安全漏洞的能力;另一方面,单纯知道某个漏洞的存在也不等于能够实现有效的攻击,白帽子还必须具备在实战化的业务环境下,实现漏洞有效利用的能力,这就要求白帽子具有社工能力、协作能力、业务分析能力等多种安全能力。 从实际工作需要出发,我们发现,目前国内白帽子的实战化能力还很不全面,存在诸多短板。绝大多数白帽子的能力集中于Web漏洞的挖掘与利用这样的初级或中级能力,而对于系统层漏洞挖掘、CPU指令集、编写POC或EXP等中高级能力,则存在明显的人才缺失。 为提升国内白帽子群体的整体能力水平,适应日益重要的攻防演习实战需求,补天漏洞响应平台联合奇安信安服团队和奇安信行业安全研究中心,结合1900余个目标系统的攻防实战经验,首次系统性地总结了“实战化白帽子能力需求图谱”,并据此针对补天平台选取了645名白帽子进行了能力调研,形成了《中国实战化白帽人才能力白皮书》。在接受本次调研的白帽子中,约74.0%的白帽子参加过有关部门组织的实战攻防演习活动。 希望此项研究成果能够对安全行业的实战化白帽子人才发展及能力培养有所帮助。
2021-08-12 09:00:25
2.03MB
1、网站蜘蛛(主要功能为获取网站的资源信息,以及根据关键字采集内容)
2、网站检测,利用第三方接口快速实现获取网站的标题,程序类型,服务环境,主机IP地址等
3、网段扫描,支持多线程快速对端口进行探测,并加入到列表内
4、目录扫描(基本型扫描,支持多任务目标扫描,为了方便安全人员测试,附上常见的字典)
5、漏洞扫描(基于常见EXP,多任务扫描,支持子域名爆破功能)
6、后台测试(便于测试人员检测后台密码是否为弱口令)
7、域名侦查(可获取该域名的相关信息,如,注册人,注册时间,联系方式,域名过期时间,物理IP等)
8、任务计划(数据中心标配33万IP段,可一键添加到任务计划中进行扫描)
2021-01-28 22:03:45
8.57MB
1