分享一个白帽交流灵感的社区——先知技术安全社区

简介:

前言: 有人说互联网安全是一场没有硝烟的战争,但军队作战讲究旷野之上的大开大合。所以更多时候,互联网安全领域更像是金庸笔下的武侠世界。


(一)源起

自1998年进入互联网元年之后,所有的一切都因为网络而改变。有人的地方就有江湖,互联网不外如是。过去的二十年,互联网安全领域宛如武侠小说中侠客武林,不论是成名侠客还是后起之秀都游走在这块边线并不明晰的处女之地。

白帽黑客应运而生。




黑客的眼中:一切信息产品的缺陷,包括但不限于产品软硬件和协议实现乃至于安全策略上的缺陷都成为了追逐的猎物。他们游走在正邪之间,在外人的眼中色彩神秘。


自古黑白相生,白帽更像是行走在阳光下的黑客

白帽者,亡羊补牢,精深之士更是料敌于未发。


但自古好事多磨,年轻气盛的白帽一众,在面对社会偏见、金钱诱惑的风浪之时,常常被不受重视和极易越线的行为考验着内心的底线。


(二)时局

鉴于此,便有了诸如Pwn2Ow网络安全生态峰会之类的武林大会给白帽们提供一展拳脚的舞台来纠正社会的偏见,

各个厂商,推出金额屡创新高的赏金计划 来表现自己对白帽的重视,

甚至于网络安全相关的法律法规也在使这一方江湖的轮廓越来越清晰,给更多人划出了底线。


但对于白帽来说,这些都还不够。

自身的修行才是安身立命之本。

不管你相信天下武功唯快不破,或者只要功夫深铁杵磨成针,都没关系。

萧伯纳说,交换苹果的结局是一家一个,但交换思想却能1+1>2,所以阿里聚安全向大家推荐一个分享内功心法,互相切磋的平台—— 先知安全技术社区


(三)打造白帽子的藏书阁

先知安全技术社区是云盾先知(安全情报)旗下产品,旨在为安全技术研究人员提供一个自由、开放、平等的交流平台。目前有漏洞研究、安全工具、黑产分析、先知众测、技术讨论等几大版块,内容涵盖渗透测试、代码审计、Web安全、移动安全、二进制安全、无线安全等多个领域。




不管你是信息安全小白,还是资深大牛,先知技术社区的优质内容一定让你“满载而归”。

先知的使命是为白帽子打造一个最好的社区,让大家在这里获得技术灵感,分享技能,找到伙伴,获得通向目标的加速度,并不断完善自我。


(四)近期的一些干货推荐

社区近期推荐文章(社区保护、鼓励原创,排名不分先后)


——先知Xss挑战赛 - L3m0n writeup

——https://xianzhi.aliyun.com/forum/topic/83/

M师傅语录:

题目很多围绕着security header来出题,希望开发者重视这些问题,在防御上,正确的设置下面的值,是能够避免很多问题.
content-type、x-xss-protection、x-frame-options、x-content-type-options

玩了挺久的一个挑战,整个过程中被虐到变形,感谢M师傅的小课堂,学习到很多新姿势.


所有XSS题目均可以通过让受害者访问特定的链接或页面的方式在受害者的浏览器&当前域下执行JavaScript。

有些题目可能需要在特定的浏览器下完成。浏览器版本以Chrome60,Firefox55,Safari10,IE11,Edge40或更新版本为准。

POC通过验证后我会把你的id添加到解题成功者的列表里。Have fun!


——安全圈关系可视化分析(安全圈也许就这么大续集)

——https://xianzhi.aliyun.com/forum/topic/39/

即将迎来国庆+中秋小长假,部分同事已经请假提前回家,工作氛围感觉渐淡下来,于是开始整理最近以来的工作的总结,以及开始准备节后一个技术沙龙的议题,还有节后的工作计划,闲暇之余聊到了二哥(gainover)之前的“安全圈有多大?”于是又重温了一遍,二哥作为生物学博士,使用生物学中分子的分析方法分析了安全圈的关系。二哥通过爬取腾讯微博的数据,以自己为起始点爬取用户的关注了哪些人,通过这种可视化方法能得到很多有意思的信息,下面记录一下实践过程吧~




——HTTP Fuzzer V3.6【 附50个插件】     

——https://xianzhi.aliyun.com/forum/topic/468/

HTTP Fuzzer是一款为了评估WEB应用而生的Fuzz(Fuzz是爆破的一种手段)工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值,针对不同的WEB应用组件进行多种复杂的爆破攻击。比如:参数、认证、表单、目录/文件、头部等等。


在Fuzz请求完成后,目标应用发回来的响应提供了Fuzz请求所造成影响的各种线索。如果发现了异常,就可以确定于异常相关的请求。下面总结了一些响应信息,这些响应信息可能指示漏洞条件的存在:HTML状态码、响应中的错误信息、响应中包含的用户输入、性能下降、请求超时、WEB Fuzzer错误信息、处理或者未处理的异常


——黑客入侵应急分析手工排查

——https://xianzhi.aliyun.com/forum/topic/1140/

一个常规的入侵事件后的系统排查思路(如图),但却可能是网上最全面的的一份排查资料了。






——Android蓝牙远程命令执行漏洞利用实践:从PoC到Exploit

——https://xianzhi.aliyun.com/forum/topic/6/

Author: thor@MS509Team

CVE-2017-0781是最近爆出的Android蓝牙栈的严重漏洞,允许攻击者远程获取Android手机的命令执行权限,危害相当大。armis给出的文档[1]中详细介绍了该漏洞的成因,但是并没有给出PoC和Exploit,我们只好根据文档中的介绍自己摸索尝试编写Exploit。


本文研究了Android蓝牙栈的远程命令执行漏洞CVE-2017-0781,探索了从PoC到编写exploit的过程,算是比较顺利地写出了exploit,还有一点缺陷就是堆中固定地址addr_A的获取,现在暂时只能根据不同手机硬编码。欢迎大家一起研究探讨!



——云悉指纹 - 可能是目前为止最用心的cms指纹识别

——https://xianzhi.aliyun.com/forum/topic/469/

依稀记得半年前,曾在某安全社区表示过要还大家一个全网最强cms指纹识别,那时候的想法还是很简单,可能只需要搜集各方工具指纹特征,然后写个脚本遍历特征识别,再做一个ui,一个指纹识别的轮子就诞生了,但是很明显没有什么意义,我并没有这么去做,所以放了一段时间去思考,因为我坚信小功能也能搞出大事情。


云悉情报平台的初衷很简单,也很粗暴,就是单纯的解放白帽子手里的大把工具,因为在安全界有这么一个现象:有编程能力的白帽子喜欢写工具,以至于同类的工具一找一大把,鉴于个人能力不同,可用性良莠不齐,有些工具“流芳百世”,有些“昙花一现”。

相关文章
|
云安全 安全 Cloud Native
白帽大会先知2.0正式回归,阿里云安全防御体系的变与不变
暌违三年,再聚杭州 立足业务众测与全平台风险发现, 整合ASRC与先知社区全量白帽伙伴, 2023阿里白帽大会,正式回归。
1370 0
|
缓存 移动开发 安全
欲知己之所防,先知彼之所攻——论Hook 技术的攻防对抗
矛盾的同一性与斗争性原理几乎适用于所有攻防对抗。
815 1
欲知己之所防,先知彼之所攻——论Hook 技术的攻防对抗
|
安全 UED
先知白帽大会报名启动,组委会向你投来一本参会指南
今年3月, 先知想召集所有有爱,有技术,有正义感 的白帽子,和安全圈大咖们 一起聚聚。 第一届先知白帽大会,我们已经准备好,就等你来。
4375 1
|
安全 测试技术 网络安全
阿里云先知:为中国公益机构投入200万安全基金,为全球企业避免15亿经济损失
6月16日,2018阿里云先知 · 白帽大会在京召开。近千名安全研究者和白帽子齐聚,分享其近一年来的成长与技术突破。 现场,阿里云先知负责人王昱(猪猪侠)宣布:先知将成立“先知红队”,在业界和平台白帽子中选拔出的精英白帽子,与阿里巴巴集团安全专家组成的安全团队,并肩作战,共同为全社会输出安全攻防能力。
4084 0
|
安全 物联网 Java
2018先知白帽大会 | 议题解读
今年的先知白帽大会,与会者将能够亲身感受到非常多有趣的技术议题,如HITCON在国际赛事中屡夺佳绩的CTF团队,其队长Orange将亲临现场,分享穿针引线般的漏洞利用艺术。 当然,还有代码审计圈的新锐phithon、jkgh006、廖新喜,在国际会议锤炼过的redrain、白小龙、蒸米、kevin2600,战斗在阿里一线的安全工程师菜丝、cdxy、猪猪侠等知名白帽也会现身现场,与大家一起畅聊技术思路和攻防实践经验。
8181 0
|
安全
2018先知白帽大会 | 重温白帽文化,只为技术而来
2018年6月16日,即将在北京上演一年一度的“先知”白帽盛会。尊崇“白帽文化”,我们带来的是一场真正属于“白帽子”的技术大赏。 12位安全领域的佼佼者,聚焦“攻与防”的技术践行。通过「安全技术成果」和「实战经验」分享,在场的每一个人都将收获满满。
3659 0
|
安全
先知创新大会议题第三弹:极致的技术追求
技术的正义 以创新、技术为生命的意义,以极致为目标。 极客,用技术作为武器的战斗在尖端技术的前线。   2017 先知创新大会, 以技术之名,以极致致敬, 不接受平庸和陈旧的安全人。
2205 0
|
机器学习/深度学习 安全 网络协议
先知白帽大会图记:让安全再暖一点
白帽子,一群有技术、有爱心、有正义感的网络护航者,终于汇聚在先知,这是我们一直期待做的事情。
5131 0