应用安全系列沉淀:从17年至今,一直专注于企业应用安全建设,应用安全绝不仅仅是SDL,而是融汇攻击研究、防御建设、风险运营、项目管理、资源调度等多领域多角度的综合体系建设。

点击查看简介

妄谈:“技术安全运营”的未来是“安全架构师”

简单聊聊应用安全领域中的技术安全运营

以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

API安全生命周期

我的应用安全方法论:路在脚下

微服务架构下的越权风险

API越权风险检测方式浅谈

应用安全评审中的三个关键节点及抓手实现

从SOAR(安全编排自动化与响应)中求解安全运营之法

Java Web 工程源码安全审计概略


ASScan : Attack Surface Scan The Real Passive Scan, It’s like a submarine.

点击查看简介

BurpSuite的功能已经非常强大,这个插件产生的缘由是在一些场景下需要静默的去收集信息分析攻击面,便产生了这个插件,目标是不主动发送除正常请求外的任何一个请求包。它不会准确的发现并验证漏洞,但是会极大的辅助你挖掘漏洞。

BurpSuite完全被动扫描插件,不主动发送任何请求,适合挂机使用。

功能

  1. 从JS文件中发现API、SubDomain或其它信息.
  2. 从JS文件中发现AccessKey/SecretKey.
  3. IDOR越权参数点发现.
  4. 响应值中敏感数据发现,例如手机号.
  5. SSRF等漏洞触发点发现.
  6. 流量转存Sqlite数据库.
  7. Not to stay up …

ASCenter : ASCenter是EASM中的攻击面和资产管理中心

点击查看简介

Introduction

ASCenter是EASM中的攻击面和资产管理中心,本次开源将原来的SpringMVC通过Django重写,Django-Admin天然适合开发资产管理类平台,可以快速简单的实现数据CURD操作和各类API。
它用于存储各个工具产出的数据,包括基本资产、攻击面和流量日志,然后这些数据可以用于其它工具的消费,例如越权扫描器。

Features

  1. 快速构建、修改models,满足个性化需求
  2. 操作简单,可维护性高
  3. models经过长时间的个人使用验证
  4. 支持大型数据(流量日志)的存储和消费

JavaVulnMap : Java漏洞导图,用于梳理自己的java安全知识栈


4shortlinks : 微信订阅 以云安全为主

Newsletters列表

Four Short Links(1): 谷歌云安全鸟瞰/Google红队/云安全/DevSecOps

Four Short Links(2): 反序列化RCE/SSRF攻击AWS/CSRF接管雅虎账号/Instagram越权冲冲冲

Four Short Links(3): 20个AWS漏洞事件/60个RCE的总结/网络安全防护行动资料/SSRF

Four Short Links(4): 云上应用设计模式/ATT&CK/XSS/BugBountyTips

Four Short Links(5): 漏洞挖掘思路/云安全/PostgreSQL/Cloud DNS Security

Four Short Links(6): ChaosDB和CosMiss/云基础安全评估/Pixel锁屏绕过/上云安全指南