En
  • 对于大型互联网公司而言,业务众多,网络流量巨大,涉及的域名、服务器资源均属海量,在这个规模下的WAF的设计、研发、运营将会有比较多的现实挑战。

  • 智能音箱是近几年最热门的智能设备,在销量的暴涨背后,各种智能音箱“偷听”的新闻也让人们非常担心智能音箱会泄露自己的隐私,而在2018年初Tencent Blade Team把关注点放在了智能音箱自身的安全漏洞上,当时国外的苹果,谷歌,亚马逊,以及国内的阿里巴巴,百度,小米均已加入了这个战场发布了各自的智能音箱产品,团队选取当时全球用户最多,破解难度最高的Amazon Echo,Google Home,小米AI音箱作为研究目标,耗时近一年时间完成了对这三款智能音箱的远程无接触式破解(静默窃听/RCE/ROOT)并协助厂商完成了漏洞修复。

  • 近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区。本文分享一下我们应对脚本类软件供应链攻击的一些安全建设思路,欢迎交流探讨。

  • 本文围绕洋葱系统的实时质量建设和优化,介绍混沌工程在其中的初步实践应用。

  • 本文争取简单易懂地介绍一下RMI机制和JNDI注入利用方式,并且以JdbcRowSetImpl利用链和FastJson反序列化漏洞为例,记录真实的远程利用过程中可能遇到的问题和解决

  • 近日,Xshell官方发布公告称其软件中存在后门。腾讯安全应急响应中心的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。

  • Google,它们的安全能力是内嵌在基础设施里,由基础设施透明提供的。安全工程师参与设计、开发和实现检验基础设施所提供的安全能力。

  • 本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至没有专职的安全团队),但是却又实实在在地遭受到来自互联网的安全威胁,它们急需安全方面的指导,但是又苦于经验和资源的匮乏,所以当时我们答应下来将这部分工作后续以文章及服务的形式进行分享。

  • 在大型互联网企业生产环境中,Webshell检测无疑是反入侵的一大重点工作,其中静态检测又是常用手段之一。深入分析各类web容器,我们发现静态检测存在各种先天的缺陷。本文介绍一种利用Java Binary Webshell对抗静态检测的方法,欢迎大家拍砖。

  • 云计算平台的安全风险有别于传统互联网公司自营业务安全,本文通过对腾讯云上的一次入侵取证分析实际案例,以小见大来窥探云计算平台(特别是公有云)的安全建设思路,希望对大家有帮助。