魔都安全札记-优快云博客

原创企业迎接现场网络安全检查准备

1）访谈工作由检查组成员与被检查人员如安全管理人员、系统平台产品和开发人员、运维人员如：数据库管理员、网络管理员等进行交流、咨询等活动，了解有关受评估系统的基本信息、日常操作流程以及员工对数据安全的认知，获取相关证据。3）系统平台演示由被检查方对受测的平台、系统以及其他安全防护软硬件平台进行演示，评估成员对演示过程进行评估发现安全风险缺陷评估，重点关注系统的权限控制机制、数据加密措施、访问日志记录、操作系统安全基线等安全特性。2、面对访谈，坚持“要说真话，不讲假话，假话全不讲，真话不全讲”原则。

2024-12-08 23:04:38 649

翻译 2024年黑客从加密货币中窃取了14.8亿美元

只有极小的一部分，即25,300美元，是通过所谓的“地毯式拉盘”损失的，即开发者在筹集资金后放弃项目。Immunefi的调查结果表明，所有7100万美元的损失都发生在DeFi领域，没有一份报告提到重大的黑客攻击或漏洞影响了CeFi（中心化交易所）。11月，BNB链超越以太坊，成为主要目标，承载了近一半（46.7%）的所有攻击。Immunefi与Hackread.com分享的报告显示，2024年11月因黑客攻击和“拉地毯”（rug pulls）而损失了7100万美元，与去年同期相比大幅下降了79%。

2024-12-08 23:01:36 1361

翻译我们是否即将告别密码？

历史上，它们被用来保护对机密信息的物理访问，守卫要求“密码”作为身份的证明。虽然进入这个新时代不会一帆风顺，但毫无疑问，所提供的好处是增强的安全性、改善的用户体验和减少的行政负担。无密码认证，由生物识别和硬件安全的进步引领，为在线安全挑战提供了一个有希望的解决方案。他强调了包括无密码认证在内的安全措施在保护这个日益互联的世界中用户的重要性。然而，随着技术的进步，网络安全威胁变得更加复杂，密码的局限性变得非常明显。在这种方法中，因为一些先进的技术被用来安全地验证身份，不需要传统的密码。

2024-12-08 23:00:15 58

原创写一份客服网络安全意识培训PPT

1、功夫在平时，做好培训材料的准备：好的培训材料往往都是基于员工的共性和岗位的个性来决定的。3、多交流多互动：我培训过不少客服同学，有一点不知道大家有没有发现，客服的同学比较年轻往往喜欢互动，所以建议培训师多在培训时候进行互动交流，既可以活跃现场气氛也可以提升大家的兴趣。2、合力安排好场次：客服同学往往是排班制，或许会有早中晚班，往往一场或者一天并不能覆盖所有的客服人员，所以培训计划时多喝客服培训主管沟通好场次安排，尽量提高覆盖面。2、办公安全：邮件钓鱼、密码安全、日常办公中的安全、锁屏等等；

2024-11-28 20:44:46 636

原创国庆假期互联网产品故障事件（神州租车、国航、公邮）盘点

皮仔也不知道公邮是什么产品，百度大概了解了：公邮是一个群体邮箱，是为同一个群组服务的公共的云空间。大学生等年轻人是其主要用户群体。由于股市火爆，今日有网友称很多券商App，同花顺等出现宕机情况。一晃七天假期已经过去了，节后第一天大家股市都赚了盆满钵满吧，盘点一下国庆期间互联网产品故障吧。10 月 2 日，有网友反馈神州租车今日出现服务问题，“App 小程序都崩了”。10 月 4日，有网友反馈公邮出现服务问题，并且冲上热搜。10 月 1日，微博有网友反馈国航崩了，未见客服回应。

2024-10-08 20:41:08 1067

原创危机四伏|盘点紧盯我国的五大APT组织

在攻击目标的选择上，该组织主要针对Windows系统进行攻击，同时我们也发现了存在针对Mac OS X系统的攻击，从2015年开始，甚至出现了针对Android OS移动设备的攻击。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。OceanLotus组织的攻击周期之长（持续3年以上）、攻击目标之明确、攻击技术之复杂、社工手段之精准，都说明该组织绝非一般的民间黑客组织，而很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。

2024-10-06 22:35:04 1288

原创海外合规|新加坡推出智慧国2.0计划设新网络安全与保障机构

智慧国2.0计划：政府将成立新机构杜绝网络伤害和援助受害者。政府将成立新机构，并制定新法令，以杜绝网络伤害行为和为受害者提供更多援助与保障。除了设立新机构，政府也会继续开展公众教育工作，包括提高人们对网络伤害风险的认识、可采取哪些措施来预防和保护自己免受这类伤害，以及在拟议的新法令下，受害者可采取的追索途径。新加坡总理说，受害者都希望能快速、永久地删除有害内容，目前，他们可向法院申请保护令或报警，但这些都需要时间。政府将成立新机构，并制定新法令，以杜绝网络伤害行为和为受害者提供更多援助与保障。

2024-10-02 23:18:17 644 1

原创网络数据安全管理条例中涉及企业报告的义务汇总

网络数据安全事件对个人、组织合法权益造成危害的，网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等，以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人；法律、行政法规规定可以不通知的，从其规定。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的网络数据进行重点保护。网络数据处理者按照国家有关规定识别、申报重要数据，但未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。

2024-10-01 12:22:55 313

原创一款资产进行快速存活验证工具

在日常工作的渗透测试过程中，经常会碰到渗透测试项目，而Web渗透测试通常是渗透项目的重点或者切入口。通常拿到正规项目授权后，会给你一个IP资产列表和对应的Web资产地址，这时候就需要我们进行快速存活验证。如项目给了一万多个IP，并列出了对应的Web资产地址，这个时候就需要快速验证资产存活。网上找了一圈，都没什么好用的工具。于是，就写了这个Web资产存活检测小工具：Web-SurvivalScan。

2024-09-29 23:36:00 286

原创身份证号、定位信息等个人信息敏感性判定解析

如有充分理由和证据表示处理的个人信息达不到构成敏感个人信息的条件的，可不识别为敏感个人信息。个人粗略位置信息在实践中一般不认定为敏感个人信息，美国《保护美国人数据免受外国敌对势力侵犯法案》中对于“地理位置信息”的精确度，明确是足以识别个人或设备的街道位置信息，或者个人或设备在1850英尺或更小范围内的位置。单项个人信息可能并不是敏感个人信息，但多项一般个人信息汇聚或融合后的整体可能会符合构成敏感个人信息的条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。（3）敏感个人信息是否有退出机制？

2024-09-29 23:34:28 1035

原创网安标委发布敏感个人信息识别指南

注意：既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响，如果符合上述条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息、其他敏感个人信息。9月14日全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——敏感个人信息识别指南》一旦遭到泄露或者非法使用，容易导致自然人的。

2024-09-19 14:26:50 332

原创小程序隐私合规自查指南

依据包括《信息安全技术个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》及通报案例等制定相应的检测评估标准，信安部门对公司所属小程序进行检测评估（因评估项较多，可先紧急重要分期推进）1）治理组织架构搭建：信安牵头成立由信安、法务、开发团队等成员组成的工作小组，各方形成治理合力，便于工作的开展。工作小组制定小程序基本信息摸排表并通知各开发团队进行情况摸排，为后续检测评估打下基础。开发团队职责：小程序现状基本情况梳理、整改实施。信安职责：小程序检测评估、整改方案制定。

2024-09-19 14:24:53 802

原创 Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)

IvantiEndpointManager反序列化远程代码执行漏洞 (CVE-2024-29847)在互联网上公开，在IvantiEPM的代理门户中，存在一个反序列化未受信任数据的安全漏洞。下载链接：https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024 and-EPM-2022?

2024-09-18 09:04:10 609

原创中秋期间互联网产品故障事件（晋江、115盘、阿里云盘）盘点

当天下午15时50分，官网发布公告，因网络运营商线路故障，可能导致部分地区用户无法正常登录等问题，晋江文学城的技术团队正在紧急协调处置中。24年中秋期间，除了肆掠的“贝碧嘉”台风外，互联网故障bug事件也不少，趁着有空盘点下，可作为员工信息安全培训案例。9.14晚有网友反馈在在阿里云盘，只要新建一个新的文件夹，在分类选择图片，就会加载其他用户照片。9月14日，“晋江崩了”冲上微博热搜，众多网友反馈小说无法打开，文本无法加载等故障。晋江文学经过24小时的抢修，9.15上午官方宣布陆续恢复服务，本地故障。

2024-09-18 09:02:01 1002

原创软考|系统规划与管理师复习笔记（二）

凡使用了诸如电报、电话、广播、电视、传真以及计算机、计算机网络等手段、工具和技术进行商务活动，都可称为电子商务。分为原始电子商务（使用信息技术）和现代电子商务（影响业务模式）EDI商务(电子数据交换)是连接原始电子商务和现代电子商务的手段。依靠信息技术，将贸易（交易）中涉及的信息流、资金流、物流、服务评价管理、售后管理、客户管理等整合在网络之上的业务集合。普遍性、便利性、整体性、安全性、协调性。普便安整协Ø。

2024-09-17 10:07:51 637

原创软考|系统规划与管理师复习笔记（一）

n第一步：到2020年(十三五期间)，围绕全面建小康，服务重大战略布局，使信息化成为驱动现代化建设的先导力量，网信事业先行一步。精确性、完整性、可靠性、及时性、经济性、可验证性、安全性(信息生命周期内被非授权访问的可能性)信息是有价值的客观存在，但信息只有流动起来才能体现其价值，所以信息传输技术是信息技术的核心。n第二步：到2025年，围绕网络强国，实现技术先进、产业发达、应用领先、网络安全坚不可摧。实现超越时间、空间和部门分隔的制约，建成一个精简、高效、廉洁、公平的政府动作模式。

2024-09-17 10:04:43 1401

原创聊聊企业驻场外包信息安全管理

目前许多公司出于降本增效的考虑，大量使用服务外包的形式，通常根据外包人员是否入驻服务企业营业场所又可将外包分为驻场和非驻场两类。信息安全入职培训和考试：参考正式员工的信息安全入职培训，在此基础上可以增加定制内容如外包人员安全规范介绍、外包人员安全管理流程、前期违规案例和处罚等并需要考试通过。与外包人员签署正式的保密协议明确双方工作内容、保密范围、保密责任、违约责任、有效期限。人员安全风险：外包人员缺乏背景审查，可能导致不安全的人员进入企业，增加了安全风险。与外包供应商签订明确的外包服务协议和保密协议。

2024-09-17 10:02:19 927

原创全国首起利用“木马”病毒套取电商平台佣金案破获

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；经查，犯罪嫌疑人制作发布某网站插件，以提供免费下载服务为诱饵，将“木马”程序暗藏其中，挟持并篡改用户购物网址信息，一旦用户浏览平台购物，即自动替换为嫌疑人推广ID，套取交易佣金，全程用户无法察觉。（三）非法控制计算机信息系统二十台以上的；

2024-09-15 19:33:39 2307

原创黑客失误？76.2万车主，家庭住址信息泄露

但由于这些数据托管在位于美国的实例上，攻击者通常会编译大量数据，因为这些数据可以用于各种攻击，例如身份盗窃、复杂的网络钓鱼计划、有针对性的网络攻击以及未经授权访问个人和敏感帐户。虽然任何个人数据的泄露都会使用户面临身份窃取或诈骗的风险，但透露个人详细信息以及他们拥有的资产，包括资产的位置，可能会增加另一层风险，因为攻击者可以利用这些信息进行汽车盗窃。它强调了严格的数据保护措施的必要性以及数据管理中责任的重要性”我们的研究人员说。泄露的数据库可能为专注于与车辆相关的犯罪的骗子提供服务。

2024-09-15 19:32:36 410

原创 Github数据泄露事件溯源技巧

Keep my email addresses private功能（隐私地址转换：如果发现以上列表中的邮箱地址，则会转换为 GitHub 专用的邮箱地址）打开告警的github代码发现确实是公司相关的，想通知删除，翻了一圈确没有作者的联系方式，以下是我在网上找到的一些溯源方法，供大家尝试。最后：遇到个github泄露案例，使用了上面的方法还是查找不到，最后只能发给开发经理去想办法，公司有经费的话还是尽快上DLP（数据防泄漏）吧。开启后github官方会给我们提供一个虚拟的邮箱号，效果如下。

2024-09-14 10:49:33 1024

原创一文读懂网络安全等级保护

它涵盖了信息和存储、传输、处理这些信息的信息系统，以及使用的信息安全产品。在安全产品方面，不同层面需要部署不同的安全产品，如电磁屏蔽柜、入侵防御系统、上网行为管理系统、网络准入系统、统一监控平台、防病毒软件、堡垒机、防火墙、审计平台、VPN、网页防篡改系统、数据异地备份存储设备、数据加密软件等，以满足不同安全层面的需求。解读涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等多个方面。

2024-09-13 15:06:54 672

原创 @35岁的网安人答应我拿下这些证书

▶Security+是全球公认的认证，拥有Security+认证的专业人士遍布全球147个国家/地区。▶有CISM证书将会被认为是有信息安全项目经验的人，一个信息安全领域的专家。▶单选机考，当场出成绩，考4小时，150道单选，总分800分，450分通过,难度中等。▶在国内，银监会要求主要商业银行有一定数量的CISA证书，以便开展IT审计工作。▶因其考试难度不易，含金量较高，已被全球企业和安全专业人士所普遍采纳。▶而考试的内容也都集中在信息安全经理人日常处理的工作上。▶国内认证，控标可用，拿证难度低。

2024-09-12 15:07:51 717

原创监管动态| 网络空间协会首次发布合规常用APP清单，是否会有第二批？

中国网络空间安全协会(简称网安协会),英文名称为CyberSecurity Association of China(缩写：CSAC),于2016年3月25日在北京成立，是由中央网信办主管的全国性、行业性、非营利性社会组织，由国内从事网络空间安全相关产业、教育、科研、应用的机构、企业及个人自愿结成，旨在发挥桥梁纽带作用，组织和动员社会各方面力量参与中国网络空间安全建设，为会员服务、为行业服务、为国家战略服务，促进中国网络空间的安全和发展。，所以可以大致判断本次合规指导时间应该是近期行为。

2024-09-11 21:51:58 387

原创海外合规|新加坡【数据保护新风向】你的DPO注册了吗？

建议DPO参加PDPA基础知识课程，以获得对PDPA的良好理解，以及参加新加坡PDP从业者证书课程，以获取为组织建立健全的数据保护政策和实践所需的知识和技能。新加坡个人数据保护委员会（PDPC）提醒，2024年9月30日之前，根据新加坡的个人资料保护法（PDPA），每个组织都必须指定至少一名数据保护官（DPO）来确保数据的合规使用。通过ACRA的BizFile+注册您的DPO将满足PDPA的这一义务，我们强烈鼓励您的组织采取这一必要步骤。人力资源有限的组织可以将DPO职能的操作方面外包给服务提供商。

2024-09-09 14:30:19 523

原创终端协会发布《移动互联网应用程序（App）自动续费测评规范》

在自动续费前至少5天，需以显著方式提醒用户；为了规范这一市场行为，保护消费者的合法权益，电信终端协会（TAF）发布了《移动互联网应用程序（App）自动续费测评规范》（以下简称《规范》）。工信部信管函〔2023〕26号》，要求App在采取自动续订、自动续费方式提供服务时，必须征得用户同意，不得默认勾选、强制捆绑开通，并在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户。《移动互联网应用程序（App）自动续费测评规范》的发布背景，是响应了工信部和消费者保护协会对于App续费服务的一系列要求。

2024-09-06 14:56:43 305

原创海外合规|新加坡网络安全认证计划简介（三）-Cyber Trust

Cyber Trust标志是针对数字化业务运营更为广泛的组织的网络安全认证。该标志针对的是规模较大或数字化程度较高的组织，因为这些组织可能具有更高的风险水平，需要他们投资专业知识和资源来管理和保护其 IT 基础设施和系统。Cyber Trust 标志采用基于风险的方法来指导组织了解其风险状况并确定减轻这些风险所需的相关网络安全准备领域。网络信任标志可以作为组织的区别标志，证明他们已经制定了与其网络安全风险状况相称的良好网络安全实践和措施。我的组织为什么要申请？

2024-09-04 21:50:51 1536

原创海外合规|新加坡网络安全认证计划简介（二）-Cyber Essentials

Cyber Essentials 标志是针对开始网络安全之旅的组织的网络安全认证。它针对的是中小企业 (SME) 等组织。一些中小企业的 IT 和/或网络安全专业知识和资源有限；Cyber Essentials 标志旨在使他们能够优先考虑必要的网络安全措施，以保护其系统和运营免受常见的网络攻击。Cyber Essentials 标志还可以用于认可已实施良好网络卫生措施的组织。我的组织为什么要申请？根据您组织的网络安全需求量身定制通过优先考虑措施来简化网络安全。

2024-09-04 14:17:27 821

原创海外合规|新加坡网络安全认证计划简介（一）

Cyber Essentials 标志表彰已实施网络卫生措施的组织，而 Cyber Trust 标志则是表彰具有全面网络安全措施和实践的组织的卓越标志。这些标志是可见的指标，表明组织已实施良好的网络安全实践，以保护其运营和客户免受网络攻击。这两个网络安全认证标志促进了组织与其供应商之间的信任和透明度，特别是这些第三方可能是网络安全风险的额外来源。Cyber Essentials 和 Cyber Trust 标志是组织传达其已实施的网络安全措施的可见标签，这是组织的一种竞争优势。我的组织应该申请哪种标志？

2024-09-03 15:32:18 660

原创《网络数据安全管理条例(草案)》已审议通过

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家互联网信息办公室会同相关部门研究起草《网络数据安全管理条例（征求意见稿）》，曾在2021年11月《网络数据安全管理条例（征求意见稿）》公开征求意见，此次列入国务院2024年度立法工作计划，预计条例发布在即。会议指出，要对网络数据实行分类分级保护，明确各类主体责任，落实网络数据安全保障措施。

2024-09-02 11:21:16 401

转载经验分享|如何发现并利用信息泄露漏洞？

以上是一些基本的信息泄露的检测方法，可以帮助你找到应用程序的泄露文件，帮助发现更有深度的漏洞，当然还有更多其他方法可以找到，但并非所有方法都可行，需要在不断的尝试中去积累经验。访问https://example.com/config.php.bak 或https://example.com/.env 查找备份或环境文件。信息泄露漏洞是发现和报告的重要目标。攻击者访问https://example.com/.git/并下载整个代码库，从而泄露源代码和提交历史记录，其中可能包含敏感信息。

2024-08-27 10:20:09 171

原创数据安全合规评估在线旅游平台的实践（原创）

在数据销毁阶段制定了数据销毁安全管理规定，对不同介质的销毁标准进行了规定，通过设立专门的数据销毁岗位、提供统一的数据销毁工具，建立可操作的数据销毁标准流程，实现对数据介质的有效销毁，防止因对存储介质以及纸质文件中的数据内容进行恶意恢复而导致的个人信息等数据泄露风险。在技术方面：数据销毁的技术手段不足存在被恢复的风险。本文基于在线旅游平台行业特点，首先阐述了国家和行业的数据安全要求和行业数据的现状，提出了基于行业标准的数据安全合规评估框架，并通过评估实践识别出相应的数据安全风险，最终提出了合理解决建议。

2024-08-24 22:58:14 925

原创信息收集利器|一款功能强大的子域收集工具

处理功能强大，发现的子域结果支持自动去除，自动DNS解析，HTTP请求探测，自动筛选出有效子域，拓展子域的Banner信息，最终支持的导出格式有。支持子域验证，默认开启子域验证，自动解析子域DNS，自动请求子域获取title和banner，并综合判断子域存活情况。不够强大，子域收集的接口不够多，不能做到对批量子域自动收集，没有自动子域解析，验证，FUZZ以及信息拓展等功能。支持子域爬取，根据已有的子域，请求子域响应体以及响应体里的JS，从中再次发现新的子域。

2024-08-24 22:41:47 960

原创预警-泛微 e-cology v10 远程代码执行漏洞

通过/papi/passport/rest/appThirdLogin接口获取管理员账号票据，根据该票据获取访问令牌，系统依赖 H2 数据库且有 JDBC 反序列化漏洞。该漏洞PoC已公开。建议受影响用户尽快修复。泛微披露了e-cology远程代码执行漏洞。该漏洞允许攻击者通过e-cology-10.0前台获取管理员访问令牌，然后利用JDBC反序列化，实现远程代码执行。目前厂商官方已发布修复版本。建议客户升级安全补丁包至10.69及以上版本。

2024-08-23 15:46:52 275

原创关于侵害用户权益行为app的通报的一些思考

app场景难测全：面对敏捷开发，产品的迅速迭代，app业务场景千奇百怪，极其复杂，安全同学很难在测试阶段去全面检测，难免遗漏场景。有钱有实力的企业也可以考虑自动化方式测试方案来弥补人力天生的缺陷。笔者写在最后：不管是工信部层面还是地方属地app侵害用户权益通报已成为常规动作，并且在纵深推进，从最初的安卓移动应用到苹果程序再到微信小程序，相信不久将来鸿蒙应用、快应用等新形态移动应用也会纳入到常规的监管范围。权限难收口：app的开发流程在很多企业已经有一套固定的流程，想要去打破藩篱，侵入性的对权限进行收口。

2024-08-20 22:21:34 422

cissp精华笔记

2014年下半年系统集成项目管理工程师考试葵花宝典之金色考点暨历年真题解析（项管必过神系列）.pdf

空空如也