顶象首届业务安全保卫战完美落幕,快来看看TOP10里有没有你!

本文主要是介绍顶象首届业务安全保卫战完美落幕,快来看看TOP10里有没有你!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

今年双十一,顶象特别发起了首届业务安全保卫战,旨在召集白帽子们为业务安全贡献自己的一份力量。历经一个月,顶象首届业务安全保卫战已于20日正式落下帷幕。

截止11月20 日,顶象业务安全保卫战通过审核的业务安全情报&业务安全漏洞共计91个。经工作人员最终审核评定,本次业务安全保卫战Top 10 已出炉,最高积分200,最低积分20。

首先,顶象在这里恭喜各位获奖的选手,感谢各位一个月内的辛苦付出。

当然,除了恭喜本次获奖的白帽子们外,本次顶象还特别设置了参与奖,获奖名单如下:

本次奖品如下,各位获奖选手可联系顶象小助手领取奖品,请获奖用户凭借提交时的完整手机号或者邮箱,添加小助手微信,提供奖品收货信息。奖品会在备齐后统一发放和寄出,因疫情原因奖品未及时收到的敬请谅解。

值得一提的是,11月23日晚,顶象就本次业务安全保卫战如何挖掘业务安全情报和漏洞展开了交流会,针对大家的疑问,我们特将交流会中的部分问题整理出来,供大家参考。

Q1:挖洞渠道有哪些?

A:挖洞渠道其实还是很多的,可以简单分为以下几类:

1、企业SRC 。首先,选择一家你感兴趣的SRC,对该企业进行信息收集,包括熟悉企业资产,对资产分类,方便后续测试等。一般可以通过fofa,zoomeye等网络空间搜索引擎、 ip138、子域名挖掘机,OneForALl、灯塔、谷歌语法、微信公众号,小程序等都可以搜集到SRC信息。

2、公益SRC。正常的信息收集如上,平时可多关注微信公众号、小程序等发布的消息。

此外,企业SRC应多关注核心业务,公益SRC则不同,第三方应用都算在范围内。

Q2:如何发现漏洞?

A:要想让自己发现的漏洞成功通过审核,那么首先就要熟悉漏洞原理,包括如何利用漏洞、绕过方式等等,其次,要尽可能详尽的分析请求包里的参数信息以及功能点,进而分析漏洞影响。

Q3:威胁情报怎么挖/情报在哪收集?

A:关于漏洞和情报的挖掘,首先是门槛高低的区别。

对于门槛高的情报,一般都需要高权限才可以查看,所以我们不推荐。

我们主要推荐的是已经发现的漏洞,这些漏洞中可能会出现新的漏洞或情报信息;其次是对攻击团伙进行追踪。除了这两种以外,还有暗网情报以及情报交易。

暗网情报发现:白帽黑客们对于暗网应该都不陌生,在暗网里会有很多信息,不难发现漏洞。

攻击团伙追踪:事实上,很多的攻击场景都会有自己的社群或者内部的群组,可以通过多种方式打入其内部,获取情报信息。

Q4:业务情报就业前景如何?

A:业务情报挖掘一般岗位要求∶

1)具备一定的风险敏感度,能对可能存在或者即将发生的风险做出提前预判。同时能跟踪最前沿的网络安全事件(数据泄露、重大攻击事件、黑灰产事件),并进行分析追踪;

2)具备相应的分析能力,能够对黑灰产进行深入研究,进行追踪溯源、画像分析,以及威胁情报提取,进而产生业务价值;

3)具备良好的信息整合能力,通过对内外部数据,进行数据关联分析,产出威胁分析报告。

就业方向主要有以下几类∶

1)公务员方向∶如公安等,但难度较大。

2)专业的风险防控平台∶顶象等安全厂商。

3)互联网大厂。

但整体来看,对于有一定开发能力的,对于漏洞挖掘有一定的能力和思考的。可以成为互联网白帽子,前景更加广阔,许多互联网大厂都十分青睐。

Q5:个人如何防范网络钓鱼?

A:网络钓鱼是一个老生常谈的话题,抛开技术手段,就个人而言,建议大家平常不要做这几件事:

1、不要随意打开不知来源的电子邮件。目前主要问题是短信诈骗,含有不明来历的链接不要随意打开,打开后也不要随意填写个人的信息。这些邮件/短信可能是假冒银行,政府机关单位,甚至是用户所在公司的邮件,邮件中一般会需要用户本人提供联系方式,地址,银行账号,或者是进行银行转账操作。

2、中奖等一些虚假信息不要轻易相信。除了骗取银行账号外,还包含一系列个人信息。

3、尽量不浏览不安全的网站,重视网站的安全警告。同时尽量将浏览器补丁保持最新状态。

4、保管好自己的金融账号和密码,不要轻易泄露他人。

5、下载国家反诈App。

最后,顶象在这里再次感谢各位白帽黑客积极参与到此次业务安全保卫战中来,为业务安全贡献自己的一份力量,后续顶象也会将业务安全保卫战常态化,也诚挚邀请各位白帽黑客们继续支持顶象业务安全保卫战。

这篇关于顶象首届业务安全保卫战完美落幕,快来看看TOP10里有没有你!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/663996

相关文章

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

业务协同平台--简介

一、使用场景         1.多个系统统一在业务协同平台定义协同策略,由业务协同平台代替人工完成一系列的单据录入         2.同时业务协同平台将执行任务推送给pda、pad等执行终端,通知各人员、设备进行作业执行         3.作业过程中,可设置完成时间预警、作业节点通知,时刻了解作业进程         4.做完再给你做过程分析,给出优化建议         就问你这一套下

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

深入解析秒杀业务中的核心问题 —— 从并发控制到事务管理

深入解析秒杀业务中的核心问题 —— 从并发控制到事务管理 秒杀系统是应对高并发、高压力下的典型业务场景,涉及到并发控制、库存管理、事务管理等多个关键技术点。本文将深入剖析秒杀商品业务中常见的几个核心问题,包括 AOP 事务管理、同步锁机制、乐观锁、CAS 操作,以及用户限购策略。通过这些技术的结合,确保秒杀系统在高并发场景下的稳定性和一致性。 1. AOP 代理对象与事务管理 在秒杀商品

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u

3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议 协议只是一种规则,你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则,任何人都可以定协议 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概 HTTPS 协议 1、概述 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据