从 IAM 松散管理到零信任架构:Sendbird AWS 安全实战演进实录
本文总结了 Sendbird 从初创期到成熟阶段的 AWS 安全实践。
RedTeam
漏洞可达性分析:安全工程师的“手术刀”,精准切除90%无效漏洞 - 重构漏洞治理新范式
2023年全球新增漏洞数量突破40万大关,平均每3分钟就有一个漏洞被武器化利用。
AI红队来袭!解密XBow如何用「黑客思维」重塑安全攻防 - XBow技术能力与行业影响分析
XBow仅用28分钟就完成了人类团队40小时的工作量,甚至在某次实验中与拥有20年经验的渗透测试专家打成平手。
Google 是如何做漏洞管理的?
我们拆解了 Google 的漏洞管理方法论,学习一下这个每天抵御 200 亿次网络攻击的科技巨头,如何用四大策略实现漏洞修复跑赢攻击者。
应用安全建设的责任边界
谁写的代码,谁负责安全,这是软件工程的基本原则。
数据驱动的应用安全建设实践
叙事和有效的数据支持是项目成功的关键,Web3 讲叙事,Web2 也一样。
通过 Golang gRPC 消费 Falco 告警
Falco 在 0.18.0 版本之后提供 gRPC Server 用于 Client Side 消费 Falco 产生的安全告警,为用户提供了更加灵活的告警处理方式。
Golang 中的数组与切片
学习一下 Golang 的数组与切片。
Golang 结构体标签在 json 中的应用
记录一下 Golang 中 json 与 struct / map[string]interface{} 之间的转换方法。
Golang 通用万能类型 interface 接口与类型断言
记录一下对 Golang 通用万能类型 interface 接口与类型断言的理解。
Go Modules 的前世今生
头两天看到组里头的老师傅在学 Golang,忙里偷闲,花了点时间也浅学一下。
开源软件包与软件供应链安全漏洞修复分析研究
亮点是对开源生态中从漏洞发现到下游软件漏洞修复整个生命周期中多个时间差测量。
为 CodeQL 自定义规则编写测试文件
本文主要介绍如何为自定义的 CodeQL 规则创建测试文件,以及如何使用 test run 子命令执行测试。
利用 CloudFront 中继 Cobalt Strike 流量
本文主要分享一下如何利用 CloudFront 中继 Cobalt Strike 流量。
Google 是如何落地静态代码分析的
本篇文章为我在读 Google 落地静态代码分析的 Paper 时做的笔记,以及一些我自己的观点,主要聊一聊甲方安全建设中落地静态代码分析平台的一些痛点,以及相应的解决方案。
Static Program Analysis Intruction
本文为我在学习《Static Program Analysis》时做的笔记。
浅析 AWS S3 子域名接管漏洞
0x00 前言哈喽,大家好,我是童话。前段时间和 @鶇 师傅讨论了一个特殊场景下的子域名接管漏洞,蛮 tri
HTTP/2 Header Field Re-used Attack Trick & 碎碎念-LINE CTF-babyweb
本题的核心考点是利用 HPACK 在同一个 connection 的不同的 stream 中使用相同的 Indexing Tables 这一特性导致的 Header 字段重用。
攻击者视角驱动的应用安全建设实践
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)