企业安全建设 - 软件供应链
背景软件供应链(Software Supply Chain)指的是软件从软件供应商到用户使用的整个过程中,从设计软件、编写代码到生成软件的开发环节,再到分发软件和用户下载的交付环节,最终到用户使用环节的三大环节组成的链状结构。软件供应链攻击指的是攻击者充分利用供应链的安全漏洞,在合法软件......

企业安全建设 - 安全中台
(本文比较偏产品,不涉及技术细节)上一篇文章说到,企业安全建设后期都会有各种各样的平台,比如 WAF、HIDS、SOC、SIEM、SOAR、SDL 等,在大部分互联网公司里,这些平台都是独立的,由不同的团队开发维护,这就造成一些问题:许多业务需求或功能需求高度类似、通用化程度很高(比如黑......

企业安全建设
开个新坑,写一些企业安全建设的经验和想法。网络上安全相关的文章,最多的是攻防类的,涉及企业安全建设的基本都是《一个人的安全部》系列,里面往往列举一堆安全工具和服务。对于处于安全建设初期的企业来说,先用现成的工具快速救火解决问题没有错,但是等到想要优化完善安全体系时,各种安全能力的建设、安......

我的 2020
2020 对我来说是比较难忘的一年,工作上负责的项目进展不合预期,生活上因为疫情被困在家里,没法出去旅游,压力很大经常失眠。不过回顾这一年,经过不断的反思和复盘,自己的认知能力得到了很大提高,解决问题的能力和沟通能力也有了明显进步,可以说逐渐从最开始的「绝望之谷」渐渐地走向了「开悟之坡」......

我的2018/2019
前言一转眼博客两年没更新了,原因有很多,主要还是因为懒…另外因为不怎么搞研究了,所以感觉没啥好写的,有些内部做的东西又不太好公开发。安全开发17年底刚进入新公司时,本以为会继续做安全攻防方向,不料随着接手维护几个安全系统后逐渐变成了安全开发。后来陆陆续续做了很多基础安全系统,甚至还搞了下......

我的2017
2017 上半年一直处于比较悠闲的状态中,搞搞研究读读文章划划水,但是自我感觉技术上提升不多。迫于不想提前进入养老状态,8 月底便跑路去了一个觉得潜力不错的「创业公司」做安全开发,虽然有些累,不过现在看来收获比想象中的大。2 月份过完年和几个朋友去日本玩了一星期,个人来说非常喜欢日本公共......

运营商劫持系列1-疯狂的支付宝红包
反运营商劫持系统上线半年,期间分析过一些典型的劫持案例,由于最近支付宝红包相关的劫持事件越来越多,于是深入研究了下,发现不少有趣的网站。整理了部分笔记,作为运营商劫持系列的第一篇文章蹭蹭热点。拳打剪贴板先看看比较简单的劫持代码:(function(){ var h = docum......

小心第三方代码
看到一篇有趣的文章 I’m harvesting credit card numbers and passwords from your site. Here’s how,讲的是通过在 NPM 包里隐藏恶意代码窃取其他网站的用户数据。初看有点像之前的利用拼写错误的文章,如 Typosqu......


© 2021 | Powered By 岚光 | Theme By Jimmy | Host By oott123