顶象首届业务安全保卫战完美落幕,快来看看TOP10里有没有你!

news2024/11/13 10:03:19

今年双十一,顶象特别发起了首届业务安全保卫战,旨在召集白帽子们为业务安全贡献自己的一份力量。历经一个月,顶象首届业务安全保卫战已于20日正式落下帷幕。

截止11月20 日,顶象业务安全保卫战通过审核的业务安全情报&业务安全漏洞共计91个。经工作人员最终审核评定,本次业务安全保卫战Top 10 已出炉,最高积分200,最低积分20。

首先,顶象在这里恭喜各位获奖的选手,感谢各位一个月内的辛苦付出。

当然,除了恭喜本次获奖的白帽子们外,本次顶象还特别设置了参与奖,获奖名单如下:

本次奖品如下,各位获奖选手可联系顶象小助手领取奖品,请获奖用户凭借提交时的完整手机号或者邮箱,添加小助手微信,提供奖品收货信息。奖品会在备齐后统一发放和寄出,因疫情原因奖品未及时收到的敬请谅解。

值得一提的是,11月23日晚,顶象就本次业务安全保卫战如何挖掘业务安全情报和漏洞展开了交流会,针对大家的疑问,我们特将交流会中的部分问题整理出来,供大家参考。

Q1:挖洞渠道有哪些?

A:挖洞渠道其实还是很多的,可以简单分为以下几类:

1、企业SRC 。首先,选择一家你感兴趣的SRC,对该企业进行信息收集,包括熟悉企业资产,对资产分类,方便后续测试等。一般可以通过fofa,zoomeye等网络空间搜索引擎、 ip138、子域名挖掘机,OneForALl、灯塔、谷歌语法、微信公众号,小程序等都可以搜集到SRC信息。

2、公益SRC。正常的信息收集如上,平时可多关注微信公众号、小程序等发布的消息。

此外,企业SRC应多关注核心业务,公益SRC则不同,第三方应用都算在范围内。

Q2:如何发现漏洞?

A:要想让自己发现的漏洞成功通过审核,那么首先就要熟悉漏洞原理,包括如何利用漏洞、绕过方式等等,其次,要尽可能详尽的分析请求包里的参数信息以及功能点,进而分析漏洞影响。

Q3:威胁情报怎么挖/情报在哪收集?

A:关于漏洞和情报的挖掘,首先是门槛高低的区别。

对于门槛高的情报,一般都需要高权限才可以查看,所以我们不推荐。

我们主要推荐的是已经发现的漏洞,这些漏洞中可能会出现新的漏洞或情报信息;其次是对攻击团伙进行追踪。除了这两种以外,还有暗网情报以及情报交易。

暗网情报发现:白帽黑客们对于暗网应该都不陌生,在暗网里会有很多信息,不难发现漏洞。

攻击团伙追踪:事实上,很多的攻击场景都会有自己的社群或者内部的群组,可以通过多种方式打入其内部,获取情报信息。

Q4:业务情报就业前景如何?

A:业务情报挖掘一般岗位要求∶

1)具备一定的风险敏感度,能对可能存在或者即将发生的风险做出提前预判。同时能跟踪最前沿的网络安全事件(数据泄露、重大攻击事件、黑灰产事件),并进行分析追踪;

2)具备相应的分析能力,能够对黑灰产进行深入研究,进行追踪溯源、画像分析,以及威胁情报提取,进而产生业务价值;

3)具备良好的信息整合能力,通过对内外部数据,进行数据关联分析,产出威胁分析报告。

就业方向主要有以下几类∶

1)公务员方向∶如公安等,但难度较大。

2)专业的风险防控平台∶顶象等安全厂商。

3)互联网大厂。

但整体来看,对于有一定开发能力的,对于漏洞挖掘有一定的能力和思考的。可以成为互联网白帽子,前景更加广阔,许多互联网大厂都十分青睐。

Q5:个人如何防范网络钓鱼?

A:网络钓鱼是一个老生常谈的话题,抛开技术手段,就个人而言,建议大家平常不要做这几件事:

1、不要随意打开不知来源的电子邮件。目前主要问题是短信诈骗,含有不明来历的链接不要随意打开,打开后也不要随意填写个人的信息。这些邮件/短信可能是假冒银行,政府机关单位,甚至是用户所在公司的邮件,邮件中一般会需要用户本人提供联系方式,地址,银行账号,或者是进行银行转账操作。

2、中奖等一些虚假信息不要轻易相信。除了骗取银行账号外,还包含一系列个人信息。

3、尽量不浏览不安全的网站,重视网站的安全警告。同时尽量将浏览器补丁保持最新状态。

4、保管好自己的金融账号和密码,不要轻易泄露他人。

5、下载国家反诈App。

最后,顶象在这里再次感谢各位白帽黑客积极参与到此次业务安全保卫战中来,为业务安全贡献自己的一份力量,后续顶象也会将业务安全保卫战常态化,也诚挚邀请各位白帽黑客们继续支持顶象业务安全保卫战。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/31196.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

会议信息管理系统SSM记录(五)

目录: (1)搜索员工 (2)查看会议室 (3)会议室详情 (4)添加会议室 (1)搜索员工 创建EmployeeController: public static final Inte…

11.23二叉树

目录 一.笔试强训习题订正 1.选择题 2.编程题-组队竞赛 3.删除公共字符 解法1 哈希映射思想 解法2 暴力解法 解法3 substring解法replaceAll() 二.二叉树相关Oj题 1.二叉树的遍历 2.二叉树分层遍历 三.二叉树的最近公共祖先 1.思路一 2.思路2 四.将二叉搜索树转化…

力扣(LeetCode)795. 区间子数组个数(C++)

模拟 有一种构想,只考虑上边界,在小边界和大边界之间的连续子数组个数 小于等于大边界的连续子数组个数 −-− 小于小边界的连续子数组个数。 连续子数组个数计算公式 sumn(n1)2sum \dfrac{n\times (n1)}{2}sum2n(n1)​ 长度为 nnn 的小于某上界的区间…

UML建模

UML定义了行为图(动态)和状态图(静态)两大类。(分类依据:对象是否根据时间变化) 下面简介一下用例图、类图、时序图和状态图的概念。 “41”视图模型 逻辑视图:逻辑试图主要是用来…

CV攻城狮入门VIT(vision transformer)之旅——近年超火的Transformer你再不了解就晚了!

🍊作者简介:秃头小苏,致力于用最通俗的语言描述问题 🍊专栏推荐:深度学习网络原理与实战 🍊近期目标:写好专栏的每一篇文章 🍊支持小苏:点赞👍🏼、…

PowerJob 定时从SFTP下载文件踩的坑

一. 业务需求 SFTP上有多个目录, 每小时要下载一次文件, 每个目录的下载任务都是一个独立的工作流任务. 二.问题描述 手动执行每个任务可以正常执行, 但是当所有任务都开启定定时任务执行时(每小时执行一次),任务实例就会报错. 三.问题分析 查看服务端和worker端的日志, …

【ML特征工程】第 2 章 :简单数字的花式技巧

🔎大家好,我是Sonhhxg_柒,希望你看完之后,能对你有所帮助,不足请指正!共同学习交流🔎 📝个人主页-Sonhhxg_柒的博客_CSDN博客 📃 🎁欢迎各位→点赞…

PDF怎么转换成Word?给大家分享三种简单的转换方法

我们怎么把拿到手的PDF文件转换成Word文档格式呢?众所周知,PDF文件虽然没有办法能够直接在文件上进行编辑,但是我们可以借助一些编辑软件来实现这一操作,尽管这样还是会有很多小伙伴习惯在Word中来编辑文件内容,因此怎…

EasyRecovery2023重新找回丢失的文件数据恢复软件

Ontrack EasyRecovery2023易恢复一款数据文件恢复软件,号称最好的数据恢复软件!可以全面恢复删除丢失数据,能对电脑误删文件恢复,格式化硬盘数据恢复,手机U盘数据恢复等等,威力非常的强大!支持恢…

运动耳机怎么选,盘点目前适合运动的几款耳机

​相对于传统耳机而言,现如今越来越多的人喜欢使用骨传导耳机,毕竟无需入耳不管是在运动还是日常,防丢能力会更加好,耳挂式的佩戴更加不用担心在剧烈运动的情况下脱落,但在骨传导耳机中已经有了很多个品牌入驻&#xf…

先聊聊「堆栈」,再聊聊「逃逸分析」。Let’s Go!

要搞清楚GO的逃逸分析一定要先搞清楚内存分配和堆栈: 内存分配既可以分配到堆中,也可以分配到栈中。 什么样的数据会被分配到栈中,什么样的数据又会被分配到堆中呢? GO语言是如何进行内存分配的呢?其设计初衷和实现原…

云原生丨5大Datadog集成,快速提高团队效率!

Datadog是DevOps、开发人员和 SRE 团队的必备好物,它适用于各种规模的云应用程序。 然而,尽管 Datadog 功能十分强大,但大多数企业并没有充分发挥 Datadog 全部价值。 什么是 Datadog Datadog 是一个可观察性平台,提供监控、安…

3.1、数据链路层概述

3.1、数据链路层概述 3.1.1、数据链路层在网络体系结构中所处的地位 如下所示,主机 H1 给主机 H2 发送数据,中间要经过三个路由器和电话网、局域网以及广域网等多种网络 从五层协议原理体系结构的角度来看: 主机应具有体系结构中的各个层…

使用HTML制作静态网站:传统文化戏剧锡剧带psd设计图(2个页面)

🎉精彩专栏推荐 💭文末获取联系 ✍️ 作者简介: 一个热爱把逻辑思维转变为代码的技术博主 💂 作者主页: 【主页——🚀获取更多优质源码】 🎓 web前端期末大作业: 【📚毕设项目精品实战案例 (10…

【项目_01】搭建项目基本框架、底部tabbar、头部banner | 旅途拾景 | 基于Vue3全家桶

💭💭 ✨:搭建项目基本框架、底部tabbar、头部banner| 路途拾景 | 基于Vue3全家桶   💟:东非不开森的主页   💜: 因为很多东西来不及去做去看可是时间很快总是赶不上,所以要去成长呀&#x1f4…

作业-11.23

1、广播 接收端 #include <stdio.h> #include <sys/types.h> #include <sys/socket.h> #include <stdlib.h> #include <netinet/in.h> #include <netinet/ip.h> #include <arpa/inet.h> #include <unistd.h> #include <str…

Diffusion Autoencoders: Toward a Meaningful and Decodable Representation

​ Diffusion Autoencoders: Toward a Meaningful and Decodable Representation 扩散自编码器:面向有意义和可解码的表示 code&#xff1a;https://github.com/phizaz/diffae A CVPR 2022 (ORAL) paper (paper, site, 5-min video) Diffusion probabilistic models (DPMs) hav…

算法设计与分析 SCAU17089 最大m子段和

17089 最大m子段和 时间限制:1000MS 代码长度限制:10KB 提交次数:0 通过次数:0 题型: 编程题 语言: G;GCC;VC;JAVA Description “最大m子段和”问题&#xff1a;给定由n个整数&#xff08;可能为负&#xff09;组成的序列a1、a2、a3、…、an&#xff0c;以及一个正整数m&a…

【Java】初识IO流【附导航】

文章目录01 什么是IO02 数据源03 什么是流04 IO流原理⇩➩ 导航01 什么是IO 对于任何程序设计语言而言&#xff0c;输入输出&#xff08;Input / Output&#xff09;系统都是非常核心的功能。程序运行需要数据&#xff0c;数据的获取往往需要跟系统外部进行通信&#xff0c;外部…

论文复现|Panoptic Deeplab(全景分割PyTorch)

摘要&#xff1a;这是发表于CVPR 2020的一篇论文的复现模型。本文分享自华为云社区《Panoptic Deeplab(全景分割PyTorch)》&#xff0c;作者&#xff1a;HWCloudAI 。 这是发表于CVPR 2020的一篇论文的复现模型&#xff0c;B. Cheng et al, “Panoptic-DeepLab: A Simple, Str…