V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  l2d  ›  全部回复第 1 页 / 共 2 页
回复总数  21
1  2  
一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。
但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。
阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。
任意文件写 or rce
具体什么问题查流量日志的异常流量
2023-05-09 13:19:55 +08:00
回复了 rivercherdeeeeee 创建的主题 程序员 黑客反反复复入侵
既然不是 ssh ,那就是通过服务入侵的。
php 写的,排除内存马,基本确定是文件马。这一类漏洞有两个入口,一个是文件上传,一个是文件包含。
用 webshell 扫描工具排查一下吧,多用几个工具。
web 目录下可以查看最近修改的文件,find . -type f -mtime 1
或者排查 php ,find . -name '*.php' -mtime 1
最后记得排查 rootkit 。排查完把后门删了,记得打备份。下次被入侵打一份新的环境,把旧的恢复了,分析入侵的环境
2023-04-26 01:19:45 +08:00
回复了 maxhhg 创建的主题 求职 铜三铁四,应届生求个做安全的职位
安全本来招的就少,受就业形势影响比较大,只是懂点安全的程度可能不太好找了。
因为有技能基础,像基线检查,漏扫这些和企业安全相关的技能门槛都不高,随便一个脚本小子让他学些资料差不多都可以开展,但是技术方面,如果你暂时没有一些出彩的漏洞分析或者病毒分析经历我默认你是基础能力了。这样看技能点也是大家都会的,去个正常 ctf 战队抓一个能打的差不多都能 cover 到,在当前的优势并不大
想找到满意的,安全要么做的深度够(高质量漏洞,CVE ,SRC 排名),要么广度够(又懂安全还懂运维开发)。或者是项目高度匹配,比方说有企业招 SDL ,你刚好有建设+落地经验你就有机会; 或者做 IT 、数据安全,你做过 27001, GDPR 相关;安全开发就是安全产品相关的开发经验。安全研究就不用想了,已经饱和了。经历都没有的话其实有点难的,既要看个人努力也要有机遇。
祝你早日找到满意的工作。
2023-03-22 01:04:08 +08:00
回复了 18870715400 创建的主题 求职 求求各位大佬帮忙看看简历应该怎么修改
列举一些个人看了之后觉得可以改进的点
首先自动化探测是指的是爬虫吗?如果只是用 selenuim 模拟爬虫这个难度不是很高的。花了一年半时间,不知道是实现一些什么模块或者功能,建议写一下技术难点。
第二个项目感觉 ok ,可以用数据描述一下效率提高了多少,负载减少了多少
第三个项目,没太理解远程投屏和自动出包、快速验证开发有什么关系...

就像楼主表达的,技术栈和项目经验确实是有一些简单了,比如你做测开,jenkins 这种 ci/cd 系统就不能只写了解,至少应该这样写“熟悉 Jenkins, gitlab ci 等常用 ci/cd 系统,可以快速根据现有工作流优化 DevOps 流程”
另外可以根据一些 DevOps 技能树去罗列自己匹配的技能,技术术语的专业性也存在改进空间。多参考一些相关领域的技术文章你应该会有一些修改思路。
个人不是测开,只是工作中和测开的同事打交道比较多,所以以上观点仅供参考
2023-03-15 15:15:47 +08:00
回复了 InkStone 创建的主题 酷工作 杭州之江实验室了解一下
985 本可以吗
2023-03-05 20:52:25 +08:00
回复了 WoneFrank 创建的主题 求职 [深圳] 深圳有招红队或安全研究的吗
我也是搞安全的,现在全国都没几个招安全研究岗的了。乙方可能还好一点,甲方尤其是大厂基本上没有机会了
2023-02-21 17:13:17 +08:00
回复了 v2sss 创建的主题 酷工作 北京招聘 网络安全/数据安全 技术人员
我是做甲方安全的,最近有跳槽的打算,jd 对口,op 方便给个联系方式聊下吗?
如果不方便公开给的话我给你个公钥。
这个问题大概率来源是跨站脚本攻击( XSS )。

先从加载的位置删除这个脚本,这个是缓解措施。然后在后端加输入过滤,尤其是涉及数据库操作和直接返回外部输入的。从输入中转义掉 html 标签,双引号、实体编码等字符。
还有开启一些全局的 XSS 防御配置项,比如 Spring 框架可以开启全局 xss 防护和 csp 限制 javascript 脚本的加载来源:
@Configuration
public class SecurityConf {

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.headers()
.xssProtection()
.and()
.contentSecurityPolicy("script-src 'self'");
return http.build();
}
}

当然 csp 也包含一些其他的安全策略,可以参考 MDN 的官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

另外就是前端不要拼接原生 html ,如果需要自定义 html 的,用白名单标签做防御,白名单以外的标签转移掉
2022-11-02 12:30:24 +08:00
回复了 linuxsteam 创建的主题 问与答 公司深信服行为管理禁止了 代理工具
@Mrun 本机不需要识别代理,只需要识别代理进程
2022-10-14 08:41:40 +08:00
回复了 P0ng64 创建的主题 问与答 有没有讲社会常识的书或者课程?
@1423 b64 编码一下
2022-10-11 21:45:03 +08:00
回复了 bingoshe 创建的主题 职场话题 那些转码的人是怎么找到第一份工作的?
我是大一开始自学,大四找工作的时候已经写了四年代码,自然就找到了
2022-09-23 20:16:24 +08:00
回复了 ShannonLee 创建的主题 酷工作 [上海]蔚来汽车 大量信息安全岗位 2022Q4
攻防岗对工作年限有要求吗?刚毕业没两年,想试试
2022-08-25 18:54:07 +08:00
回复了 imToken123 创建的主题 酷工作 [Web 3] imToken 招聘 Tech Lead | Rust | 测试 | 安全
建议提前说清楚薪资是包含数字货币的...不然投简历过去问了才知道
2022-07-28 11:25:48 +08:00
回复了 morphyhu 创建的主题 程序员 阿里的轻量云发现有一个这样的 LKM 模块.
不然呢?要不先看看目前主流的 HIDS 都是怎么实现的...?
你做 rootkit 检测, 监控 cred 变化情况都得用 LKM 。而且用 kprobe 检测系统调用也是要 lkm 加载检测模块的啊。
2022-07-02 01:53:32 +08:00
回复了 liul2566 创建的主题 职场话题 研发岗日常实习 offer 第一次实习 求建议~
选 1. 后端有前端的项目经验当然是加分项了,以后进厂做后端也要和前端对接的。何况微软的牌子直接含金量拉满了。
2022-07-01 19:37:54 +08:00
回复了 ihacku 创建的主题 酷工作 [上海] 有 23、24 年毕业的同学找信息安全方向的实习哇
做云原生安全的感觉目前不是很多呀,我还是挺想去的。要是有社招就好了,顺便帮顶一下
2022-06-29 11:23:01 +08:00
回复了 ThanksSirAlex 创建的主题 酷工作 米哈游内推,欢迎骚扰
@puritania 我也这种感觉,简历方向对口+面试感觉 ok ,面试官也反馈一些问题答得很好,一看结果一面挂
不透露薪资范围,大部分情况就是浪费彼此的时间
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   872 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 21:43 · PVG 05:43 · LAX 13:43 · JFK 16:43
Developed with CodeLauncher
♥ Do have faith in what you're doing.