共计 1809 个字符,预计需要花费 5 分钟才能阅读完成。
往年双十一,顶象特地发动了首届业务平安保卫战,旨在招集白帽子们为业务平安奉献本人的一份力量。历经一个月,顶象首届业务平安保卫战已于 20 日正式落下帷幕。截止 11 月 20 日,顶象业务平安保卫战通过审核的业务平安情报 & 业务安全漏洞共计 91 个。经工作人员最终审核评定,本次业务平安保卫战 Top 10 已出炉,最高积分 200,最低积分 20。
首先,顶象在这里祝贺各位获奖的选手,感激各位一个月内的辛苦付出。当然,除了祝贺本次获奖的白帽子们外,本次顶象还特地设置了参加奖,获奖名单如下:
本次奖品如下,各位获奖选手可分割顶象小助手支付奖品,请获奖用户凭借提交时的残缺手机号或者邮箱,增加小助手微信,提供奖品收货信息。奖品会在备齐后对立发放和寄出,因疫情起因奖品未及时收到的敬请体谅。
值得一提的是,11 月 23 日晚,顶象就本次业务平安保卫战如何开掘业务平安情报和破绽开展了交流会,针对大家的疑难,咱们特将交流会中的局部问题整理出来,供大家参考。
Q1:挖洞渠道有哪些?A:挖洞渠道其实还是很多的,能够简略分为以下几类:
1、企业 SRC。首先,抉择一家你感兴趣的 SRC,对该企业进行信息收集,包含相熟企业资产,对资产分类,不便后续测试等。
个别能够通过 fofa,zoomeye 等网络空间搜索引擎、ip138、子域名挖掘机,OneForALl、灯塔、谷歌语法、微信公众号,小程序等都能够收集到 SRC 信息。
2、公益 SRC。失常的信息收集如上,平时可多关注微信公众号、小程序等公布的音讯。此外,企业 SRC 应多关注外围业务,公益 SRC 则不同,第三方利用都算在范畴内。
Q2:如何发现破绽?
A:要想让本人发现的破绽胜利通过审核,那么首先就要相熟破绽原理,包含如何利用破绽、绕过形式等等,其次,要尽可能详尽的剖析申请包里的参数信息以及性能点,进而剖析破绽影响。
Q3:威逼情报怎么挖 / 情报在哪收集?
A:对于破绽和情报的开掘,首先是门槛高下的区别。对于门槛高的情报,个别都须要高权限才能够查看,所以咱们不举荐。
咱们次要举荐的是曾经发现的破绽,这些破绽中可能会呈现新的破绽或情报信息;其次是对攻打团伙进行追踪。除了这两种以外,还有暗网情报以及情报交易。
暗网情报发现:白帽黑客们对于暗网应该都不生疏,在暗网里会有很多信息,不难发现破绽。攻打团伙追踪:事实上,很多的攻打场景都会有本人的社群或者外部的群组,能够通过多种形式打入其外部,获取情报信息。
Q4:业务情报待业前景如何?
A:业务情报开掘个别岗位要求∶1)具备肯定的危险敏感度,能对可能存在或者行将产生的危险做出提前预判。同时能跟踪最前沿的网络安全事件(数据泄露、重大攻打事件、黑灰产事件),并进行剖析追踪;2)具备相应的剖析能力,可能对黑灰产进行深入研究,进行追踪溯源、画像剖析,以及威逼情报提取,进而产生业务价值;3)具备良好的信息整合能力,通过对内外部数据,进行数据关联剖析,产出威逼剖析报告。待业方向次要有以下几类∶1)公务员方向∶如公安等,但难度较大。
2)业余的危险防控平台∶顶象等平安厂商。3)互联网大厂。但整体来看,对于有肯定开发能力的,对于破绽开掘有肯定的能力和思考的。能够成为互联网白帽子,前景更加广大,许多互联网大厂都非常青眼。
Q5:集体如何防备网络钓鱼?A:网络钓鱼是一个陈词滥调的话题,抛开技术手段,就集体而言,倡议大家平时不要做这几件事:
1、不要随便关上不知起源的电子邮件。目前次要问题是短信欺骗,含有不明来历的链接不要随便关上,关上后也不要随便填写集体的信息。这些邮件 / 短信可能是混充银行,政府机关单位,甚至是用户所在公司的邮件,邮件中个别会须要用户自己提供联系方式,地址,银行账号,或者是进行银行转账操作。
2、中奖等一些虚伪信息不要轻易置信。除了骗取银行账号外,还蕴含一系列个人信息。
3、尽量不浏览不平安的网站,器重网站的平安正告。同时尽量将浏览器补丁放弃最新状态。
4、保存好本人的金融账号和明码,不要轻易泄露别人。
5、下载国家反诈 App。最初,顶象在这里再次感激各位白帽黑客积极参与到此次业务平安保卫战中来,为业务平安奉献本人的一份力量,后续顶象也会将业务平安保卫战常态化,也诚挚邀请各位白帽黑客们持续反对顶象业务平安保卫战。后续业务平安保卫战的具体安排状况,请继续关注顶象公众号及官网。——————业务平安产品:[收费试用]https://user.dingxiang-inc.co…
