作者简介--------------------------------------------------------李维春:某券商安全总监徐正伟:某大型汽车集团安全技...
我在甲方做安全(第一集):领导只掏一碗钱,非让我做两碗粉
午休时分,我决定将入职半年以来,公司现阶段所面临的安全问题和领导说下。轻敲三次大门。门开后,迎面而来的不是发量稀疏的领导老王,而是公司内部万众瞩目的HR娜娜。相视一笑,娜娜从我身边悄然离去……“小杨啊...
为什么网络安全的终极目标是信任?
最近,国外业内专家ROSS HALELIUK在研究“为什么会有这么多安全厂商”时,得出了一个令人大开眼界的结论:首先,网络安全中的一切都基于信任;其次,对组织而言,安全产品是至关重要的,但在选择安全产...
我们的黑客精神还在吗?
在互联网领域,黑客和安全就像一对反义词,常呈水火之势。然而,站在天平两端,当彼此都望向对方、审视对方时,作为对网络技术充满热情的爱好者而言,很多时候其实很难割舍掉这份“惺惺相惜”。为什么?因为无论再怎...
聊聊漏洞管理那点事儿
漏洞一旦被威胁成功利用就可能对资产造成损害,它存在于信息系统、软件、 硬件、协议、人员等各个方面。漏洞管理也称脆弱性管理(Vulnerability Management),是指安全组织为了减少漏洞被...
被逼走的安全人员会去哪儿?
当下安全行业在市场中公认的逻辑:经济下行导致各行各业都萎靡,企业为了节约成本会优先削减安全预算,因为在大多数人的概念里,安全部门是成本中心。安全预算削减了,安全人员也就削减了,甲方对安全产品的需求自然...
参数加密签名 & JS逆向
这首歌是前一段时间旅行时候听当地少数民族的哥们儿唱的,虽然只是作为席间祝酒歌,同时音响声音挺杂的,但是他唱出来超级好听,找了好几天才找到歌名,现在推荐给大家0x00 背景 年少无知的时候经常在渗透测试...
任意帐户接管 – 利用通配符进行网络缓存欺骗
去年,Nagli 在 ChatGPT 中发现了一个网络缓存欺骗漏洞,其影响至关重要,因为它导致用户的身份验证令牌泄露,并可导致任意帐户被接管。 OpenAI 立即向 ChatGPT 用户通报了该漏洞,...
任意ChatGPT 帐户接管 – 利用通配符进行网络缓存欺骗
去年,Nagli 在 ChatGPT 中发现了一个网络缓存欺骗漏洞,其影响至关重要,因为它导致用户的身份验证令牌泄露,并可导致任意帐户被接管。 OpenAI 立即向 ChatGPT 用户通报了该漏洞,...
【代码审计】对某BC老盘子的代码审计
点击上方蓝字关注我们免责声明由于传播、利用本公众号None安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号None安全团队及作者不为此承担任何责任,一旦造成后果请自...
安全部门提高人效的指标及安全服务成本杂谈 | 总第231周
0x1本周话题话题一:现在都在提降本增效,信息安全部门都有哪些提高人效的指标?A1:裁员,《网络安全降本增效之从1到0的建设过程》。Q:在不裁员的情况下呢?甚至安全人员本来就缺的情况下,还被要...
SDL实践之安全设计
在传统的瀑布流开发模式中,每个阶段都会小心翼翼、亦步亦趋地执行和完成,对于系统设计而言更是如此,从需求说明书,到系统设计说明、功能设计说明、详细设计说明,每个步骤都需要明细、详实的文档来说明之后的实现...