过去十年中,随着数字化转型的深入,很多企业快速扩张业务流程,添置了大量技术工具,新系统的运营团队和资产数量都大幅增长。然而,一个怪现象是:企业数字基础设施和业务虽然加速发展,但漏洞管理能力却止步不前。...
03月16日49 views评论企业
资产
精准漏洞管理的五个关键步骤
03月16日49 views评论企业
资产
03月16日49 views评论企业
资产
【SDL实践指南】安全风险评估规范
基本介绍信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过...
03月07日33 views评论信息
信息安全
技术分享 | 基于攻击视角(GOBY)的暴露面梳理及防护技术(上)
Goby社区第 20 篇技术分享文章 全文共:3602 字 预计阅读时间:9 分钟 本文章共奖励@Z0RR0 12000 社区积分 前言:近年来,实战攻防对抗演练的活动越来越多,而且演练效果也越来越逼...
03月04日90 views评论ip
域名
针对痛点修复: 2023年有效的漏洞管理
最近发布的 Security Navigator 报告数据显示,企业仍需要大约215天来修复一个报告的漏洞。即便是关键漏洞,通常也需要6个月以上的时间来修复。良好的漏洞管理,并不在于修复漏洞方面的速度...
02月28日140 views评论攻击面
漏洞
安全思维转变:从基于威胁到基于风险
黑帽子手握主动权,时常居于优势地位。他们可以决定攻击企业的时间、地点和方式,耐心选择自己想要的出手时机。至于网络安全防御人员,则总是在打逆风球。云计算、远程办公和软件即服务(SaaS)应用的增长持续扩...
02月25日39 views评论安全
黑客
jumpserver 远程命令执行RCE漏洞复现和利用
Jumpserver 是一款由 python 编写开源的跳板机(堡垒机)系统,是内网中的一种集权系统,拿下后基本上都是可以控制大量的服务器。项目地址:https://github....
02月21日590 viewsjumpserver 远程命令执行RCE漏洞复现和利用已关闭评论https
服务器
记一次XC环境下的闯空门
0x00 前言本次渗透总体来说过程是较为简单的,但由于是第一次接触xc产品的资产,期间踩坑颇多,时间大都浪费在了信息搜集上和熟悉环境上,但所幸最后也是有所收获,于是小计一下,若有不对之处,望各位师傅指...
02月16日50 views评论数据库
端口
Firefly平台SRC资产信息收集功能正式开放
前言Firefly是一个集资产管理、信息收集和漏洞扫描的综合平台,目前主要用于日常的自动化挖洞。之前有说会逐步开放其中的部分功能,现在正式对外开放第一版,主要开放功能为针对SRC资产的子域名收集和网站...
02月09日294 views评论信息收集
功能
EduSrc两个证书站挖掘小结
年终于快要过完了,这段时间忙着过年,也没有学习一些新技术,但是有个好处就是有空闲时间来干自己想干的的事情。于是乎准备挖挖edusrc。上次在edusrc交洞还是几个月前的事情了,这次回来发现礼品中心上...
02月07日777 views评论url
漏洞
网络安全知识:每年渗透测试几次合适?
渗透测试和盲点对于拥有 3,000 名或更多员工的组织来说,拥有超过 10,000 项互联网连接资产是很常见的,但是 36% 的调查受访者表示渗透测试仅涵盖 100 项或更少的资产;58% 的受访者表...
01月30日90 views评论渗透测试
资产
五种快速打点和信息收集工具
快速打点工具1 水泽-信息收集自动化工具项目地址:https://github.com/0x727/ShuiZe_0x727功能及命令:python3 ShuiZe.py -d domain.com收...
01月28日248 views评论com
https
漏洞管理十大度量指标
漏洞管理度量体系尚是空白当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等...
01月25日172 views评论漏洞管理
资产
17