信息安全知识库

数据安全，你我共筑的防火墙

Sun, 16 Nov 2025 13:12:58 +0000

《数据安全，你我共筑的防火墙》以“公共卫生”作喻，用鲜活案例拆解四大“数据杀手”：钓鱼邮件、弱密码复用、公共Wi-Fi与内部泄密，指出九成泄露源于日常疏忽。课程给出 4 套可立即落地的“金钥匙”准则：12 位强密码+管理器、四步识破钓鱼、人走锁屏+加密存储、社交云盘“零分享”，并配套“断-报-改”黄金应急法，帮助员工把安全从“负担”变习惯，让每人成为企业最可靠的“人肉防火墙”。

数据安全意识培训：守护数字生命线

Sun, 16 Nov 2025 13:14:56 +0000

本文链接

《数据安全意识培训：守护数字生命线》面向产品与研发全员，重新定义数据安全是产品特性而非负担。课程围绕机密性、完整性、可用性三大基石，给出可落地的“安全左移”实践：需求阶段做威胁建模与数据分类，编码阶段用参数化查询、bcrypt 哈希和 CI/CD 自动扫描，部署阶段实施基础设施即代码安全、密钥托管与日志脱敏，运营阶段持续监控、限流防爬并闭环漏洞。通过越权访问、硬编码密钥、日志泄露三大真实案例，演示设计疏忽如何演变为百万罚款与勒索事件，并提供产品经理、研发工程师、通用办公三张速查卡，让“谁该看到什么数据”成为日常共识。培训最后发出“黄金三步法”应急号召：断网-报告-改密，强调“安全无小事，从一行代码、一个设计决策做起”，帮助团队把数据保护写进需求、融入编码、落到运维，共筑企业数字生命线。

红队基础设施自动化多云部署能力

Wed, 19 Nov 2025 14:54:28 +0000

本文链接

《红队基础设施自动化多云部署能力》基于 IaC 理念开源 RedC 引擎，实现“一条命令”分钟级拉起 C2、DNSLog、代理池、扫描节点等全套红队云设施。通过 Terraform 模板化+抢占式 Spot 实例，将单场演练成本压至 500 元以内，支持 AWS/阿里云/腾讯云多云并发、IPv6 扫描、密文存储与 IMv2 防 SSRF，自带 clash 负载均衡与 Web 控制台，已提速打点 30-40 倍。报告同时提出 SaaS 化调度、MCP 大模型自动调起攻击场景的开源路线，终结红队“重复造轮子”时代。

kubernetes RBAC 安全风险研究

Wed, 19 Nov 2025 14:58:55 +0000

本文链接

《Kubernetes RBAC 安全风险研究》系统梳理 K8s 授权链路，从默认服务账户、授权过度授予、身份冒用-impersonate权限、pods 资源组配置错误、 Webhook 配置错误和ServiceAccount过度授权六大配置缺陷，演示“容器内提权→横向移动→集群接管”完整攻击链；结合微服务、OIDC-CAS、Nexus 供应链镜像投毒等真实场景，给出最小权限、GitOps 左移、PSS/PSA 基线、审计+自动化响应的闭环防御方案，帮助企业在云原生时代快速发现并修复 RBAC 滥用，提升集群安全韧性。

VPN与红队攻防

Wed, 19 Nov 2025 15:00:12 +0000

本文链接

《VPN与红队攻防》作者10余年红蓝对抗经验，系统披露国内主流VPN设备“大网扩线-漏洞利用-后渗透”完整攻击链：从未授权下载、默认口令、P12证书泄露到任意文件读取获取运维DB，绕过双向校验植入后门key，再借客户端日志、token与数据库构造字典，实现无爆破隐蔽登录。报告给出防护清单：默认配置清零、2FA、堡垒机运维、管理口白名单、集中日志审计，帮助企业堵住VPN这一高权限横向通道。

Fuzzing4LLM：撬动大语言模型的安全对齐机制

Wed, 19 Nov 2025 15:01:04 +0000

本文链接

《Fuzzing4LLM：撬动大语言模型的安全对齐机制》由科大讯飞梅瑞提出，发布进化式越狱框架 ForgeDAN：通过字符-词-句多级扰动、场景假设/角色扮演变异与语义适应度评估，自动生成高隐蔽性对抗提示，在 DeepSeek、Qwen 等模型上攻陷率最高达 98%；并构建双维度判别器，精准区分拒绝/顺从与安全/有害输出，显著降低假阳性。报告同步给出覆盖越狱、投毒、跨模态、智能体等 20 + 场景的 AI 安全评测体系，以及多层防护、人机协同、数据全生命周期治理的主动防御方案，为大模型安全对齐提供从攻击到评测再到治理的完整闭环。

攻击者视角下的业务智能体渗透

Wed, 26 Nov 2025 14:10:41 +0000

本文链接

《攻击者视角下的业务智能体渗透》由平安Hamber团队出品，聚焦大模型与智能体在金融科技场景中的新型攻击面。报告系统梳理提示词注入、工具滥用、身份伪装、MCP越权、知识库污染、XSS/SSRF/命令执行等10+实战手法，演示如何通过一次“查薪资”诱导智能体泄露他人工资、伪造token调用未公开接口、上传恶意MCP插件横向移动并获取内网shell。作者提出“智能体应用扫描-画像-决策”闭环渗透框架，结合CVE实例与平安众测数据，输出可落地的风险矩阵及加固方案，助力企业从设计、部署到运营全生命周期守护数字员工安全。

企业内部的渗透测试自动化探索

Wed, 26 Nov 2025 14:12:10 +0000

本文链接

《企业内部的渗透测试自动化探索》由平安科技廖汇铭分享，提出“API 资产中心 → 标准化用例 → AI 漏洞研判”三位一体自动化平台：通过流量镜像、语义打标、路径折叠去重，5 分钟完成 10 万级 API 分类（准确率 92-95%）；基于标签自动生成水平越权、SQL 注入、支付绕过等 200+ 标准化用例，分布式执行器 1 小时完成千接口测试；AI 研判智能体引入正向-反向双提示与证据链校验，越权误报降低 80%，整体自动化覆盖率 45.9%，漏洞发现占比 38.3%，实现渗透测试从“手工经验”到“可持续工程体系”的跃迁。

轻装上阵：Javassist聚焦代码审计关键点实践

Wed, 26 Nov 2025 14:13:30 +0000

本文链接

《轻装上阵：Javassist聚焦代码审计关键点实践》提出用字节码操作库Javassist突破传统正则与SAST瓶颈，精准提取Spring等框架的路由映射、方法参数与注解语义，自动识别Runtime.exec、ScriptEngine.eval等敏感sink；结合参数签名分析，复现JDBC任意文件写入等CVE，实现无源码、低成本的蓝军快速审计。工具已集成路由提取、sink定位、参数校验三大模块，可作为轻量级辅助手段，显著提升代码审计效率。

构筑智能化攻防格局：网络安全实验室的战略与未来蓝图

Wed, 26 Nov 2025 14:15:44 +0000

本文链接

《构筑智能化攻防格局》提出“三位一体”安全实验室战略：以渗透测试、威胁情报、安全研究为支柱，通过领域专家制、流程固化与知识标准化，打造可复制的安全底座；引入AI智能体，实现威胁情报秒级研判、漏洞自动收集-分析-复现、渗透测试Multi-Agent报告生成，已把Tomcat CVE-2025-53506从披露到POC验证压缩至小时级。报告给出AI工具化→平台化→自主化三阶段路线图，目标让攻防策略随威胁动态自进化，为企业构建持续演化的智能安全中枢。