记一次对微服务架构的渗透测试
最近在一次渗透过程中遇到了微服务架构,对其进行了复现。目前配套环境已上线7BitsPlatform,环境名为EsayMicroServices,为私有环境,流程较为简单,分值为300分。
Aggregator
记一次对微服务架构的渗透测试
1 year 9 months ago
最近在一次渗透过程中遇到了微服务架构,对其进行了复现。目前配套环境已上线7BitsPlatform,环境名为EsayMicroServices,为私有环境,流程较为简单,分值为300分。
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
Adopting Comprehensive API Security Falls Behind Need
1 year 9 months ago
Christine Ferrusi Ross
2023 最后一波内推 国护 红蓝 攻防演练 招募!!!
1 year 9 months ago
基本日薪:蓝队(1-5k),视可胜任岗位、技术能力、工作经验、面试表现综合决定,能力突出者薪资另议
电脑WiFi密码暴破工具,WiFi密码查看工具
1 year 9 months ago
电脑WiFi密码暴破工具,WiFi密码查看工具
电脑WiFi密码暴破工具,WiFi密码查看工具
1 year 9 months ago
电脑WiFi密码暴破工具,WiFi密码查看工具
International Engagement – Brussels and Beyond
1 year 9 months ago
International engagement is an integral part of many ongoing NIST efforts, including the Journey to the Cybersecurity Framework (CSF 2.0) update , our update to the digital identity guidelines, and increasing awareness of the NIST Privacy Framework and IoT cybersecurity work. In the update to NIST CSF 2.0, NIST continues to work with the international community. At NIST’s February 2023 virtual workshop on the CSF 2.0 update, participants from Italian and New Zealand governments and Mexican industry spoke on panels. In addition, participants joined from several countries. We are continuing to
Amy Mahn
SANS 2023年SOC调查报告解读
1 year 9 months ago
着重对对威胁猎捕、威胁情报、SIEM的数据摄取、SOAR,以及SOC人员招聘与保留进行了调查
SANS 2023年SOC调查报告解读
1 year 9 months ago
着重对对威胁猎捕、威胁情报、SIEM的数据摄取、SOAR,以及SOC人员招聘与保留进行了调查
2023 最后一波内推 国护 红蓝 攻防演练 招募!!!
1 year 9 months ago
基本日薪:蓝队(1-5k),视可胜任岗位、技术能力、工作经验、面试表现综合决定,能力突出者薪资另议
电脑WiFi密码暴破工具,WiFi密码查看工具
1 year 9 months ago
电脑WiFi密码暴破工具,WiFi密码查看工具
DEVCORE 2023 第四屆實習生計畫
1 year 9 months ago
DEVCORE 創立迄今已逾十年,持續專注於提供主動式資安服務,並致力尋找各種安全風險及漏洞,讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能,我們成立了「戴夫寇爾全國資訊安全獎學金」,2022 年初也開始舉辦首屆實習生計畫,目前為止成果頗豐、超乎預期,第三屆實習生計畫也將於今年 7 月底告一段落。我們很榮幸地宣佈,第四屆實習生計畫即將登場,若您期待加入我們、精進資安技能,煩請詳閱下列資訊後來信報名!
實習內容本次實習分為 Binary 及 Web 兩個組別,主要內容如下:
- Binary
以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及寫過往漏洞的 Exploit,理解過去漏洞都出現在哪,體驗真實世界的漏洞都是如何利用。
- 漏洞挖掘及研究 70 %
- 1-day 開發 (Exploitation) 30 %
- Web
導師會與學生討論並確定一個以學生的期望為主的實習目標,並在過程輔導成長以完成目標,內容可以是深入研究近年常見新型態漏洞、攻擊手法、開源軟體,或是程式語言生態系的常見弱點,亦或是展現你的技術力以開發與紅隊相關的工具。
- 漏洞、攻擊手法或開發工具研究 90%
- 成果報告與準備 10%
台北市松山區八德路三段 32 號 13 樓
實習時間- 2023 年 9 月開始到 2024 年 1 月底,共 5 個月。
- 每週工作兩天,工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
- 如果居住雙北外可彈性調整(但須每個組別統一)
- 其餘時間皆為遠端作業
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
具有一定程度資安背景的學生,且可每週工作兩天。
預計招收名額- Binary 組:2~3 人
- Web 組:2~3 人
每月新台幣 16,000 元
招募條件資格與流程 實習條件要求 Binary- 基本逆向工程及除錯能力
- 能看懂組合語言並瞭解基本 Debugger 使用技巧
- 基本漏洞利用能力
- 須知道 Stack overflow、ROP 等相關利用技巧
- 基本 Scripting Language 開發能力
- Python、Ruby
- 具備分析大型 Open Source 專案能力
- 以 C/C++ 為主
- 具備基礎作業系統知識
- 例如知道 Virtual Address 與 Physical Address 的概念
- Code Auditing
- 知道怎樣寫的程式碼會有問題
- Buffer Overflow
- Use After free
- Race Condition
- …
- 知道怎樣寫的程式碼會有問題
- 具備研究熱誠,習慣了解技術本質
- 加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 樂於分享技術
- 有公開的技術 blog/slide、Write-ups 或是演講
- 精通 IDA Pro 或 Ghidra
- 有寫過 1-day 利用程式
- 具備下列其中之一經驗
- Kernel Exploit
- Windows Exploit
- Browser Exploit
- Bug Bounty
- 熟悉 OWASP Web Top 10。
- 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
- 參考連結:https://portswigger.net/web-security/all-materials
- 理解計算機網路的基本概念。
- 熟悉 Command Line 操作,包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
- 熟悉任一種網頁程式語言(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力。
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究。
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題。
- 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache)及作業系統(如:Linux)的能力。
- 具備追根究柢的精神。
- 加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞。
- 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
- 曾經於 CTF 比賽中擔任出題者並建置過題目。
- 擁有 OSCP 證照或同等能力之證照。
本次甄選一共分為二個階段:
第一階段:書面審查第一階段為書面審查,會需要審查下列兩個項目
- 履歷內容
- 簡答題答案
- 題目 1:請提出三個,你印象最深刻或感到有趣、於西元 2021 ~ 2023 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
- 題目 2:實習期間想要研究的主題,請提出三個可能選擇的明確主題,並簡單說明提出的理由或想完成的內容,例如:
- 研究◯◯開源軟體,找到可 RCE 的重大風險弱點。
- 研究 AD CS 的攻擊手法,嘗試挖掘新的攻擊可能性或向量。
- 研究常見的路由器,目標包括:AA-123 路由器、BB-456 無線路由器。
本階段收件截止時間為 2023/08/11 23:59,我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段,我們會在 10 個工作天內回覆。
第二階段:面試此階段為 30~120 分鐘(依照組別需求而定,會另行通知)的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。
時間軸- 2023/07/19 - 2023/08/11 公開招募
- 2023/08/14 - 2023/08/24 面試
- 2023/08/28 前回應結果
- 2023/09/04 第四屆實習計畫於當週開始
- 請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
- 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Web 組實習生 王小美)
- 履歷內容請務必控制在三頁以內,至少需包含以下內容:
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- MBTI 職業性格測試結果(測試網頁)
若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!
Purple AI 〜 AI を活用した脅威ハンティング、調査分析、インシデント対応でサイバーセキュリティアナリストを支援
1 year 9 months ago
Bringing conversational AI to threat hunting, analysis and response offers a gamechanging power-up for SOC teams of every size and level of expertise.
The post Purple AI 〜 AI を活用した脅威ハンティング、調査分析、インシデント対応でサイバーセキュリティアナリストを支援 appeared first on SentinelOne JP.
John Nederveld
新加坡著名电商公司 Shopee 安全再次招人
1 year 9 months ago
前些天我去新加坡待了半个月,与 Shopee 的安全老哥们交流颇多,受益颇多。
To SOC or not to SOC ?
1 year 9 months ago
For environments that are secure by design, a 'full-fat SOC' is not always required.