我从来没有预料到,25岁的我竟然会有白头发。 最近忙得不可开交,终于基本告一段落。赶上周末准备休息一下,张美丽给我拍了一张照片。 结果没想到,我竟然长出了几根白头发。 天呐噜,我才25岁,用ice的话来说,正是当打之年,怎么就长出白头发来了…
Continue Reading
故宫 · 秋游 照片记
搬到新家已经快两个月了,一直都在整理收拾,也因为工作上有了新的想法,叠加鼻炎手术住院休养,忙得不可开交。国庆回家听说妈妈最近不忙,便邀请妈妈来新房住住,顺带照顾自理能力不太强的我们。赶上周末,一家人齐往故宫游玩。 去故宫玩,要记得预约天安门…
Continue Reading【转载】什么是SDL安全开发流程
SDL的全称是安全开发生命周期(Security Developement Lifecycle),与之类似的词叫做软件开发生命周期SDLC(Software Development Lifecycle)。随着企业安全建设的发展,近两年SDL…
Continue Reading
【转帖】六大基础安全领域
CISO的任务是识别和处置风险,对于甲方从业者来说,如何帮助CISO识别公司的风险,是一个绕不过去的话题。不同背景的安全从业者,对安全的理解也不同,故需要找到一个业界的指导框架来指引行动。 看到业内创投人谭晓生在2021年的一个分享材料,感…
Continue Reading
一个燃烧CURL作者灵魂的漏洞:CVE-2023-38545(漏洞分析、稳定触发POC与检测方法)
CURL这个组件大家都熟悉,是一个用来发送HTTP请求的命令行工具,同时也有libcurl的库,可以方便其他软件集成自己的能力。 10.13(次日)更新 好基友发来微信消息,发现我俩的分析逻辑很多地方对不上。经过之后,发现是我俩的CURL版…
Continue Reading
随笔:从算法边界谈ASM的能力边界
关注我博客的朋友们可能知道,我有一个ASM的Side Project,经过一段时间的持续测试和验证之后,感觉到ASM的平台似乎存在一个无形的墙,这个墙看不见摸不着,但是确实存在,不管投入多少的精力去开发ASM平台,最终的结果都会碰到这个墙。…
Continue Reading
高危漏洞CVE-2023-43642原理分析与POC
最近和某个大佬聊天的时候,大佬问我”锦旭你分析过的最近的一个漏洞是什么?”。 这个问题让我不禁一愣,在腾讯天天虽然和漏洞打交道,但涉及到具体的漏洞分析和POC撰写,一半完都会交给同事去做,我一般会更关注流程和体系的建…
Continue Reading
OEDB (OpenEASM BannerDB) first version is comming!
OEDB是我独立开发的一个网络空间测绘平台。 OEDB由分布式消息队列NATS + 无状态扫描器ZMAP + 端口指纹识别器 PunkMap + 基于LMDB的全文搜索引擎MeiliSearch + 一些Python脚本构建而成 + Nux…
Continue Reading
Open EASM first version is coming!
在上一篇文章:《Open EASM CyberPunk version will coming soon》写完之后的大概三周后,OpenEASM终于迎来了第一个版本。如果你感兴趣的话,可以直接访问 https://asm.imfht.com…
Continue Reading
突破与攻击模拟(BAS) – PPT分享
我对突破与攻击模拟(BAS)技术的几点思考: 1. BAS 仅适用于对传统风险验证技术的补充 从市场的角度看,这个是一个很不讨好的特点,对于创业公司来说,BAS要抢占的甲方预算只能是等保、内审、渗透攻防之外的预算。据我了解,这部分预算不会太…
Continue Reading