CISO的任务是识别和处置风险，对于甲方从业者来说，如何帮助CISO识别公司的风险，是一个绕不过去的话题。不同背景的安全从业者，对安全的理解也不同，故需要找到一个业界的指导框架来指引行动。 看到业内创投人谭晓生在2021年的一个分享材料，感…

CURL这个组件大家都熟悉，是一个用来发送HTTP请求的命令行工具，同时也有libcurl的库，可以方便其他软件集成自己的能力。 10.13(次日)更新 好基友发来微信消息，发现我俩的分析逻辑很多地方对不上。经过之后，发现是我俩的CURL版…

最近和某个大佬聊天的时候，大佬问我”锦旭你分析过的最近的一个漏洞是什么？”。 这个问题让我不禁一愣，在腾讯天天虽然和漏洞打交道，但涉及到具体的漏洞分析和POC撰写，一半完都会交给同事去做，我一般会更关注流程和体系的建…

OEDB是我独立开发的一个网络空间测绘平台。 OEDB由分布式消息队列NATS + 无状态扫描器ZMAP + 端口指纹识别器 PunkMap + 基于LMDB的全文搜索引擎MeiliSearch + 一些Python脚本构建而成 + Nux…

在上一篇文章：《Open EASM CyberPunk version will coming soon》写完之后的大概三周后，OpenEASM终于迎来了第一个版本。如果你感兴趣的话，可以直接访问 https://asm.imfht.com…

我对突破与攻击模拟(BAS)技术的几点思考： 1. BAS 仅适用于对传统风险验证技术的补充 从市场的角度看，这个是一个很不讨好的特点，对于创业公司来说，BAS要抢占的甲方预算只能是等保、内审、渗透攻防之外的预算。据我了解，这部分预算不会太…

Recently, I’ve been working on another side project called dns-db. It is a big and automatic security database lik…