Aggregator

悬镜安全CTO宁戈接受信通院采访，分享悬镜安全的静态应用程序安全测试（SAST）工具及参与评估的收获。

比亚迪基于悬镜第三代DevSecOps数字供应链安全管理体系的开源治理实践，为新能源汽车行业数字供应链安全治理树立了标杆典范。

悬镜将持续践行行业领导者的安全责任，专注技术自主创新应用，为产业提供更为领先的新技术、新产品、新方案，输出中国特色的技术管理体系。

高危及严重最高奖励直达3W，快冲！

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

论文解读：《REVS-通过词汇空间中的排名编辑来去除语言模型中的敏感信息》

近期，我司发现安全圈有使用“红日安全”品牌名称欺骗粉丝的现象，欺骗和误导粉丝，严重影响“红日安全”品牌形象。我司特此郑重发出声明：红日安全旗下唯一一家安全公司 仅此一家安全公司 目前没有设立任何分公司及子公司， 公司对接人，小峰老师，安老师，佳哥，高老师，以外人员均不是本团队成员请广大粉丝知晓！ 公司简介 1、天津启元信安科技有限公司是“红日安全 ”团队唯一一家安全技术服务公司，团队成员来自多个老牌安全公司互联网大厂，多次为安全公司、政府企业等设计hvv人才大纲，人才培养，在国内开展星火安全沙龙等大型活动，培养安全人才2000人左右；2.公司启元学堂课程平台，在国内较早教育平台，hvv和蓝队防守系列课程，每年hvv期间为学校培养1000+人。3.公司开源靶场平台，国内第一个开源平台综合平台，企业和学校利用平台培养hvv人才，下载量上万次以上4.针对hvv级安全人才培养，公司针对人才出版了web安全从入门到精通书籍，并在京东，当当售卖，好评率99%5.公司业务主要以安全人才培养，安全教育平台为主，服务于政府，教育，金融等多个行业6.启元信安具备多个宣传渠道，包括公众号、知乎、Freebuf等，旗下红日安全团队公众号安全专业人员关注有一万三个人以上，Freebuf安全团队也有2万多以上关注量7.多次成员参加咱奇安信北京地区技术培训，对公司安全防护设备、流量监测类设备精通如天眼，天擎，防火墙等8.多次参加国家级和省级、市级的红队以及蓝队防守任务，分别名列前茅得到客户好评为捍卫广大粉丝的合法权益，维护“红日安全”品牌形象及公司声誉，对于非法使用“红日安全”品牌、严重侵害本品牌形象等行为，我司依法保留追究其相关法律责任的权利。感谢广大消费者对“红日安全”的持续关注与支持！ 声明人：天津启元信安科技有限公司

<p>Buckle up! This is a different type of blog that isn’t our normally scheduled technical prowess or superhuman talents we have here at TrustedSec. Each month, I have the privilege of hosting a meeting with new employees…</p>

信息安全应急处理一级服务、信息系统安全运维一级服务、信息安全风险评估二级服

2024年InForSec“网络空间安全”大学生夏令营活动于2024年7月14日至23日在合肥中国科学技术大学举行。报名即将截止，欲报从速！

Second Order Prompt Injections Pages

Cybersecurity teams are well-equipped to handle threats to technology assets that they manage. But with unmanaged devices providing ideal spots for attackers to lurk unseen, network detection and response capabilities have become vitally important.

第二次造访加那利群岛🇮🇨，总算实现之前立的 flag 去观星了。上一次在内蒙的沙漠和徒步团像模像样地拍夏季银河已经是 2019 年了，真就恍如隔世 [裂开] 特内里费岛是加那利群岛的第一大岛，岛上的泰德峰是西班牙第一高峰，还是座活火山。由于纬度、海拔和气候的多重因素，除了逃不掉一些人造卫星和山上来来往往的车外，泰德国家公园和绝大多数光污染隔绝，还不会有云干扰。这是最难得的。 这次付费找了向导开车上山，日落后拍了两个多小时，意犹未尽。可惜不是自驾露营，不然可以多呆一点。除了裸眼看到清晰的银河之外，还有不少流星。可惜我这技术糟蹋了自然环境，回看 raw 其实也不比其他光害条件略差的地方出的效果更好。还浪费了特内里费宛如外星球的地貌，选了很普通的地景——这口锅我很痛快地甩给向导了。 所以如果不是从欧洲大陆飞过来方便，并不推荐专门为了星空跑来打卡。还得熟悉地形找机位呢。国内也有不少不错的暗夜保护区。 关于后期处理，现在的生成式 AI 效果真是逆天，可以直接对星空照片降噪。除了会吃掉一部分星星，但是不放大数毛不会注意到。如果对结果要求不高是可以用的。 今天顺便玩了一下网上推荐的某个 macOS 下的星空堆栈降噪软件。试用版带有完整功能，除了输出会打上水印。拖进 IDA 一看水印的逻辑很简单，frida 直接拦截掉两个 selector 就完事了……不过人家是个人开发者，不是某些吃相难看的商业图像软件处理公司，所以还是支持正版吧。

组织的外部攻击面情况如何？组织自己能完全掌握自己资产的情况吗？

by Mike Saunders, Principal Security Consultant This blog is the fourth in a series of blogs on obfuscation techniques for hiding shellcode. You can find the rest of the series […]

紅隊演練是 DEVCORE 最核心的業務。我們擁有豐富的實戰經驗，並且集結了一群優秀的夥伴共同迎接挑戰。很多技術愛好者希望加入我們，想要了解我們錄取新人所看重的方向。趁著畢業季求職潮，我們特別準備了這份應徵指南，希望幫助有興趣的人了解準備方向，也希望幫助一些剛畢業、不擅長撰寫履歷、不擅長在面試中表達自己的人，補足必要技能以免錯失機會。無論您對紅隊演練專家或滲透測試工程師感興趣，期望可以循著這份指南，成為我們的夥伴。

順帶一提，有一個在學生可能感興趣的資訊：DEVCORE 有研發替代役名額，唯名額有限，推薦您在學期間盡早投遞履歷並詢問替代役狀況。

🚀 DEVCORE 應徵流程

應徵紅隊演練專家、滲透測試工程師都會經歷「書面審查」、「線上測驗」、「面試」三個階段。

📌 書面審查

履歷是這個階段主要評估依據，以下 4 點是我們認為應徵者需要注意的地方：

履歷內容符合職務需求嗎

這個階段最重要的是說服審核者你具備職務需求的能力，所以請盡量在履歷內容附上能幫助別人判斷的佐證資訊。過去有些技術底不錯的同學只單純放了學歷，這樣要讓審核者想找個可以進入下一階段的理由都難，相當可惜。

用一些實例說明吧

實例證明是讓你的履歷脫穎而出的關鍵，具體的數字和事實可以大大增加履歷的說服力，例如能具體說出打過多少場滲透測試，在過程中找了多少漏洞，或在任務中解決了什麼樣的問題，達到什麼效果。這些不僅能表示技術能力，還能顯示你的影響力。

提供有幫助的額外資訊

相關專業證照、參與技術社群、貢獻開源專案等額外資訊都有助於審核者評估。有些人好奇一些非技術等經驗應不應該放在履歷中，我們預設是不會特別參考，但如果你認為這些經驗對未來工作有正面影響，可附上讓審核者評估。

特別希望列出的加分項

下面列出一些非必要但有會很不錯的加分項目，如果有這方面的經歷務必要寫上。同時也列出每個項目中我們看重的特質，如果有其他可以展現這些特質的經歷也歡迎列出來讓審核者知道。

📄 實戰經驗如：CVE、bug bounty

• 代表您擁有解決未知問題能力。
• 代表您能看到別人所沒有關注到的細節。

📄 CTF Writeups 或是 Blog

• 如果在 CTF 比賽有不錯的成績，通常意味著你擁有在短時間內分析歸納重點的能力、也能夠快速找到解決辦法，聯想力創造力可能也不差。
• 我們希望能了解您如何描述複雜的漏洞，因為在將來的工作中需要將漏洞過程清楚描述並給予建議。
• 寫 Blog 除了能展現表達和文字能力外，通常也具有持續學習的熱情和樂於分享的特質，符合 DEVCORE 核心價值觀。

📄 CTF 出題經驗

• 代表平常會持續關注流行的技術、研究語言或框架特性，能注意到一些鮮少人知道的小細節。
• 說明你除了攻擊，還具備一定程度的開發能力。
• 為了怕題目被 CTF 玩家惡意破壞，通常出題者也具備高水準的防禦能力。

📌 線上測驗

這個階段的進行方式與一般線上靶機環境如 OSCP、HTB 無異，會分配到一個題組，平均需要解五把 flag。應徵者會有相當足夠的時間進行解題（預設 10 天，視題目會微調），最後交付報告。我們期待從線上測驗中看到應徵者具備下述能力：

• 偵查：能否透過現有資訊合理推斷背後的架構或寫法。
• 漏洞挖掘：能否找到題目中設計的漏洞。
• 應變：碰到特殊的環境可否自行想辦法克服。例如在只有 command injection 且內網有防火牆限制的特殊環境下，怎麼用手邊可利用的資源達成你的目標。

📌 面試

最後的面試階段會全面評估你是否適合這個職位，下述 2 件事情特別想與應徵者分享：

被問倒是正常的

在面試過程中，面試官會從多個角度深入了解應徵者技術的廣度和深度，因此，會被問倒是正常的。請對自己的技術能力有信心，畢竟你已經通過了第二階段的線上測驗。被問到不熟悉的問題時，只要誠實地表達你的思考過程和解決問題的方法即可。我們想要知道思考脈絡，甚至期待你說：我看到 XX 特徵覺得這題可能是 OO 方向解，我會想用什麼關鍵字搜尋找答案。這樣的回答也凸顯了你的判斷力和解決問題的能力。

分享你的 Hack 故事

我們期待在面試中聽你分享過去特別的 Hack 經歷，並且與你討論細節。Hack 的內容不限，例如：

• 履歷中提到的 CVE、bug bounty
  • 希望是一些特別的情境，如果找到的是常見漏洞如 SQLi 或 XSS，那會希望了解這個漏洞特別在哪？或者是能說出你做了什麼，為什麼你能找到這個漏洞？
• 在 CTF 比賽中想到的精妙解法
• 生活中為了達成目標做的 Hack
  • 例如：為了自動化工作流程寫了個小工具；為了租房資訊串了個方便通知系統；想把遊戲每日領取任務自動化。

🚀 自我鍛鍊之路

這一段寫給現在還在準備階段，未來很想要加入資安檢測行業的同學。為了增加自己的實力，在應徵前有下面幾個精進事項可參考，這對在資安領域長遠發展也很有幫助。

📌 補足基礎知識 Web 常見漏洞種類

我們認為 PortSwigger Web Security Academy 整理的漏洞經典且完整，加上有 LAB 可以直接練習，適合初學者。這些漏洞是從事資安檢測最基礎的溝通語言，推薦要把教材頁面上所有漏洞練習完，可以從主題頁面看分類會比較清楚。若以紅隊為目標，我們會優先關注能拿 shell 的後端漏洞。 以下提供幾點自我驗證與精進項目：

• 抽一個漏洞是否可以說出這個漏洞常發生在什麼功能？背後的成因？通常可以怎麼進階利用這個漏洞？
• 有沒有辦法在黑箱狀態，透過測試辨識出這些漏洞？
• 在白箱狀態下，知道哪些漏洞要透過搜尋什麼函數找到？
• 我們在面試中喜歡問各種漏洞怎麼拿 shell 的問題，因為這就是紅隊演練目標的第一步。搜尋 “from XSS to RCE” 這類的關鍵字能找到相當多案例（XSS 可以取代成 SQLi 等漏洞）。

紅隊戰術與技巧

控制一台電腦後，仍需要在內網中擴散完成任務目標。ired.team 提供了一本紅隊技巧工具書，推薦閱讀以了解在不同階段有哪些招式可用。對 DEVCORE 而言，我們優先關注「Active Directory & Kerberos Abuse」、「Credential Access & Dumping」、「Lateral Movement」章節下的技能。此外，「Network pivoting & tunneling」的概念和技巧也是我們會關注的能力，ired.team 在這塊著墨較少，這篇文章涵蓋了必要知識和工具可參考。 以終為始學習，希望在練習這些技巧和工具後，能對下面的問題有自己的看法：

如果打下企業一台外網服務，而你的目標是該企業內網網域控制器（情境架構可自行假設）：

• 為了打 AD，你在打下的外網伺服器上會做哪些事情？為什麼？過程中你偏好使用什麼工具？偏好的原因是什麼？
• 同上，這台伺服器如果有網域帳號你之後會做哪些事情？如果沒有網域帳號呢？
• 想拿下網域控制器，心中能否馬上跳出五種以上的方法？你會優先嘗試什麼方法？為什麼？
• 過程中橫向移動偏好使用什麼工具？為什麼？

📌 練習 虛擬靶機練習

除了知識外，也要找一些模擬環境培養手感。知名的 Hack The Box 和 OffSec 都有推出學習路徑和豐富的靶機：

• Hack The Box Cybersecurity Paths (優先練習：Penetration Tester, Senior Web Penetration Tester, Active Directory Enumeration)
• OffSec Learning Paths (Filter: Red Teamer, Web App Tester)

選擇適合自己的平台練習即可。也可以單純打 HTB Labs 靶機，練到覺得每次解題目要做的事情都類似，開始覺得題目有套路感就可以了，一些特殊解法在現階段不需糾結。過去有玩 HTB 的實習生在錄取前附上的 Writeups 大概會寫 30~50 台靶機，這個數量級或許可以參考。另外若要練習打網域，最近 GitHub 上有一個 GOAD LAB 專案滿值得參考。

如果想考證照，我們有考過覺得對提昇檢測工作能力有幫助的有：

• OffSec PEN-200(OSCP)
  • 提昇識別和利用漏洞能力
• OffSec WEB-300(OSWE)
  • 提昇白箱挖掘漏洞能力
• Certified Red Team Professional (CRTP)
  • 提昇網域相關基本知識面與攻擊面
  • 新手友善，是少數可以系統性學習網域攻擊的場域。內容較簡單且與 DEVCORE 慣用作法有落差，但入職後上手會較快。

註：以上僅提供已知有幫助的證照，不代表其他證照沒有幫助

實戰練習

最推薦的還是到真實場域來看看。

• 白箱練習：可以嘗試找你熟悉或喜歡的 GitHub 專案，先看這個專案過去的漏洞，試試看如果自己白箱看有沒有辦法能追到。如果這些有正解的漏洞都能順利找到，接著就開始找一些 Open Source 專案來挖掘 0-day 吧。
• 黑箱練習：參與 bug bounty 計畫，挑戰真實世界的安全問題。台灣企業的計畫可以參考 HITCON ZeroDay ，國外則推薦 HackerOne 上面的目標。這些計畫會讓你面對更複雜和多樣的攻擊場景，提升你的實戰能力。

📌 找同伴一起

在資安這條路上，找到志同道合的夥伴一起學習、一起打 CTF、一起挖漏洞絕對比獨自升級來的有效率，下列活動可考慮參加：

• HITCON Community: 幾乎所有資安社群都會聚集在這個研討會，可以在研討會中找一個適合自己的社群參與。
• AIS3: 聚集台灣幾乎所有對資安有興趣的在學生。滿有機會在這邊認識志同道合的朋友。
• 台灣好厲駭 Deep Hacking 讀書會: 全台灣探討資安最深最扎實的讀書會之一，參加絕對可以提昇視野、也能認識各種高手。內容偏 Binary 但目前漸漸在轉型中，希望不分類以挖掘漏洞為主。
• DEVCORE 實習生計畫： 每年一月中和七月中會招生，如果目的是應徵 DEVCORE，參加計畫問導師應該是最快的。

如果你想知道更多資源，台灣資安 / CTF 學習資源整理 整理的資源值得參考。

🚀 小結

本篇指南分成兩部分：前半部主要在給應徵者一些小提醒，希望應徵者能把最好的一面呈現出來。後半部提供一個學習的脈絡，希望給還在學習階段的人一個比較清楚的方向。

最終，我們都希望台灣有越來越多熱愛技術的人進入資安產業。希望，未來能持續在資安領域看見正在閱讀的你。