企业安全防护与大数据实践
  • 作者: 糖果 新浪网
  • 收录:
  • 简介:

来自新浪网的高级开发工程师——糖果,他认为企业构建威胁防御系统是一种基础性的工作,通过什么样的系统架构和数据流程处理,让威胁数据分析与威胁风险识别更高效呢?成为了一个课题,如何面对企业内部系统结构的复杂性处理,如何使用业界通用工具,同时采用前沿的大数据解决方案,让我们面对威胁攻击行为与纷至沓来的情报信息源时,可以行之有效的去伪存真,把握关键重点,给企业监控系统装上鼻子,嗅探到威胁的存在。给系统装上

模板注入与 FLASK
  • 作者: Dayeh(呆爷) 小米安全
  • 收录:
  • 简介:

Server Side Template Injection, 服务端模板注入,最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh(呆爷),主要从模版注入Flask方向为大家带来了精彩的分享。 模板注入相较于其他注入,例如xss、sql注入、xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在

广告业务域攻击手法剖析
  • 作者: 柳兮 阿里安全-归零实验室
  • 收录:
  • 简介:

柳兮是阿里安全归零实验室的资深安全工程师,本次他分3个维度对广告业务域的攻击手法进行了分析阐述。 广告业务作为公司的重要收益来源之一,一直饱受虚假流量、内容安全、媒体质量等多方面的业务安全风险。随着视频网站相关行业、网络自制剧、自频道等生态的蓬勃发展,这些现象也越来越常见,并形成了一个完整灰色的产业链。在目前风险较高的虚假流量场景下,无线和PC端上的攻防对抗。更是尤为激烈,除此之外,攻击者也

甲方的代码审计系统建设
  • 作者: 赵乾
  • 收录:
  • 简介:

代码审计一直是企业白盒测试的重要一环,面对市场上众多商业与开源的审计工具,汽车之家想集众家之所长来搭建一套自动化的扫描系统。 他们认为应该具有以下几个特点: - 自动化识别项目依赖组件 - 自动化识别组件已知漏洞 - 自动化处理误报 - 自动化触发扫描 - 高危漏洞在敏捷开发中的issue闭环跟踪 - 支持分布式部署 - 可以集成到CI/CD系统中 赵乾给出实践方法与思路