背景软件供应链（Software Supply Chain）指的是软件从软件供应商到用户使用的整个过程中，从设计软件、编写代码到生成软件的开发环节，再到分发软件和用户下载的交付环节，最终到用户使用环节的三大环节组成的链状结构。软件供应链攻击指的是攻击者充分利用供应链的安全漏洞，在合法软件......

（本文比较偏产品，不涉及技术细节）上一篇文章说到，企业安全建设后期都会有各种各样的平台，比如 WAF、HIDS、SOC、SIEM、SOAR、SDL 等，在大部分互联网公司里，这些平台都是独立的，由不同的团队开发维护，这就造成一些问题：许多业务需求或功能需求高度类似、通用化程度很高（比如黑......

反运营商劫持系统上线半年，期间分析过一些典型的劫持案例，由于最近支付宝红包相关的劫持事件越来越多，于是深入研究了下，发现不少有趣的网站。整理了部分笔记，作为运营商劫持系列的第一篇文章蹭蹭热点。拳打剪贴板先看看比较简单的劫持代码：(function(){ var h = docum......

看到一篇有趣的文章 I’m harvesting credit card numbers and passwords from your site. Here’s how，讲的是通过在 NPM 包里隐藏恶意代码窃取其他网站的用户数据。初看有点像之前的利用拼写错误的文章，如 Typosqu......

一提到 CSP 大家可能会想起 XSS，没错，CSP 诞生之初就是为了防御层出不穷的 XSS 漏洞的（虽然目前看起来效果并不好），不过利用它的特性，也能有其他的用途，比如…… 反运营商劫持。在中国这个神奇的国度，一款产品用户多了，必然会出现这样的反馈——「你们的网站/APP上怎么总是有色......

内部分享，讲了一些 Docker 的攻击面，不涉及太底层的东西，部分内容可参考 Docker 安全杂谈。(看不到的请翻墙并刷新页面，或移步 SlideShare）

最近在看 Docker 安全方面的资料，根据 Docker 官方的 Docker security non-events 来看，大部分漏洞都是系统调用函数如 keyctl()、ptrace() 之类的锅，还有一部分是 Linux 的内核漏洞，比如去年影响很大的 DirtyCow。因为容器......

前些时候因为人机识别和反作弊业务的需求调研了浏览器指纹和追踪的一些方法，那么当我们把检测代码上线后，怎么保护它，不被攻击者迅速分析破解呢？常见的编码（如 Base62）、压缩（如 UglifyJS）、复杂化表达式（如填充无用代码，拆分字符串）就不细说了。至于将 JavaScript 代码......