白帽黑客与安全
随着网络安全问题与日俱增,个人隐私或企业财产都面临各种各样的威胁,其中有一群精通技术却不恶意牟利的黑客,被称为白帽子。从他们的视野看,哪些攻击手段正越发盛行?未来攻防趋势在哪里?安全行业又会如何变化?本期圆桌携手乌云,邀请到优秀的白帽黑客和安全从业者,一起聊聊网络安全。
6833376 次浏览 7182 人关注
  • 119
    谢邀。 一个行业成熟有一些特点或规律: 越来越细分,大家可以看看现在安全圈很多人创业等推出的产品/服务,都开始走纵深路线,定位精准,追求品质。 举例如: 乌云,白帽社区/平台 i春秋,信息安全体验中心 神话,安全人才线下培养 青藤,企业安全纵深解…显示全部
    2015-06-26
  • 31
    谢邀。 我认为防御APT攻击,和增强一个企业的信息安全程度是一致的。信息安全的整体思想其实就在对抗APT。下面都是杂谈。 (1)网络设备和服务 1. 合理配置边防设备,例如防火墙。具备基本的出入过滤功能,条件允许的实况下使用屏蔽子网结构。防火墙策略按…显示全部
    2014-08-25
  • 3284
    下面的回答来自我的这个页面: evilcos.me/yinsi.html 是我 2014 年给出的回答,虽然有几个点受到争议,但这本就是一个争议的世界。不要死扣、不要抖机灵、不要无所谓、不要害怕,今年我会把这种解决方案更全面地完善起来。 由于我的精力实在有限,你可以关…显示全部
    2014-12-31
  • 69
    泻药。这是一个好大的问题,我真的诚惶诚恐。那就抛砖引玉吧。 任何安全措施在apt面前都显得那么捉襟见肘!首先我们明确一点: APT != 黑客攻击 黑客攻击只能算是APT的一个可选方法而已,甚至只是辅助方法。就好比中医虽然博大精深,但也只不过是周易的一个…显示全部
    2014-08-25
  • 1488
    对争议内容做下解释: 感谢 @cc CC 的回复,以AppContainer特权等级运行的应用才是较为现代的解决方案,开发、上架、安装一条龙,全程没有UAC弹窗,也没有常规的隐私和安全问题; Win32和.Net应用安装到ProgramFiles都需要管理员权限,原因是在Windows的权…显示全部
    2015-06-24
  • 405
    首先,这里基于社会工程学的攻击该怎么理解?这将是一个讨论的前提。 —————————————————————— 我想利用社工进行的攻击就是基于对人性的分析理解而展开的攻击,而不再是基于对机器对编码的理解而进行的解密、规则突破等。 据我所知,…显示全部
    2015-06-25
  • 15
    补充下 @江南 的回答。 在玩 APT 的黑客眼里,是否进行 APT 就看目标用户是否值得。 普通网民不知道如何定义,如果重要的人物在网络上很低调,是否算普通网民?如果普通网民被定义为没任何价值的用户(比如不是什么重要人物、没得罪过谁谁),即使这样,很…显示全部
    2014-08-21
  • 13
    泻药~ APT是一个可持续性很强的工作,需要一个完整的团队长时间来进行实施 这个团队的技能组成: 踩点,信息收集,目标和可能的目标所有信息收集 高级开发,开发专用的木马,以及渗透需要的工具 漏洞挖掘,各种0day,包括各种代码审计,操作系统,浏览器 We…显示全部
    2014-08-21
  • 39
    网易新闻未经许可转载,你告诉我一声啊,我又不会要你钱。我的看法是:1.未来的趋势不是创造新的攻击手段,而是对手段进行综合利用。当然,这里的手段就包括前面有些知友提到的社工。2.移动设备将会在互联网攻防中占有相当大的比重。先分析第一点: 随着互…显示全部
    2015-06-26
  • 27
    DEFCON CTF,CTF界最知名影响最广的比赛,历史也相当悠久,已经举办了22届,相当于CTF的“世界杯”。题目复杂度高,偏向实际软件系统的漏洞挖掘与利用。 除了DEFCON CTF之外还有一些重量级的比赛会作为DEFCON的预选赛,获得这些比赛第一名的战队可以直接入…显示全部
    2015-06-26
  • 29
    安全团队的CTF得分能很好地代表这个团队人员的基础素质水平和团队协作能力。 CTF比赛中的题目往往是五花八门各式各类都可能出现的,并没有一个明确规定的知识点范围,所以更看重人的临场的快速学习和理解能力以及把理论付诸实践的能力,而非大量的知识储备…显示全部
    2015-06-26
  • 39
    谢邀 什么是CSP? CSP是由单词 Content Security Policy 的首单词组成,CSP旨在减少(注意这里是减少而不是消灭)跨站脚本攻击。 CSP是一种由开发者定义的安全性政策性申明,通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、f…显示全部
    2013-11-07
  • 25
    一、移动支付安全问题: 截至2014年12月,我国网民规模达6.49亿,其中手机网民规模达5.57亿,手机支付用户规模达到2.17亿,增长率为73.2%。手机网购、手机支付、手机银行等手机商务应用用户年增长分别为63.5%,73.2%和69.2%,远超其他手机应用增长幅度。 用…显示全部
    2015-06-25
  • 155
    没有人提到小米路由器的payload篡改,没有人提各种PC/手机全家桶,没有人提百度下载的软件都被重新打包过,没有人提各种贴心手机ROOT。 没有基本的商业道德,讨论安全不是搞笑么。大家确认自己在认真讨论吗? ( 摔话筒 -------以上卖萌完毕,到家了继续更如…显示全部
    2015-06-22
  • 22
    首先看看连接的路径,再针对每个环节查找漏洞: 直连方式,用户控制端与受控电器处于同一个局域网内,即用户手机--路由器--家电,这样的薄弱环节就是(1)手机系统的安全防护,尽量不要root、安装非官方APP,厂家APP的用户口令要加密后存储防泄露,(2)路由器…显示全部
    2015-06-24
  • 297
    答主也是安全领域小白一枚,如有错误之处欢迎提出: ) 这个问题可以简化成三个子问题: 杀毒软件的哪些构造可能存在可利用的漏洞?为什么通过浏览器就能入侵系统?为什么取道杀软比浏览器更容易获得漏洞并利用?我们先来分析杀毒软件中存在漏洞的潜在机会。 …显示全部
    2015-06-25
  • 727
    谢邀。写的仓促,回头增改。(如果点赞人多的话) 首先要先定义一下,什么是“大名鼎鼎”。怎么就算大名鼎鼎了?袁哥算么,flashsky算么,swan算么,tk算么;还是说superhei算,刺算,小G算,余弦算?还是那些搞黑产的小伙儿们算? 哪个维度来评价鼎鼎大名…显示全部
    2015-06-25