安全脉搏

高质量的全球互联网安全媒体和技术平台,安全技术爱好者最佳的交流社区。

3764人订阅
第一弹——字节跳动安全治理与合规团队招聘!      招人啦 字节跳动安全与风控 治理与合规 均可远程线上面试 欢迎广大小伙伴推荐或自荐, 投递简历至到邮箱 [email protected] 邮件标题请注明: 社招-姓名-意向岗位-意向城市 (简历投递请注明来自安全脉搏) 足不出户  在线招聘  众志成城 对抗疫情 公司及团队               字节跳动 成立于2012年3月,目前公司的产品和服务已覆盖全球150个国家和地区、75个语种,曾在40多个国家和地区排在应用商店总榜前列。 字节跳动在海内外推出了多款有影响力的产品,包括综合资讯类的今日头条,视频类的抖音、抖音火山版、TikTok、西瓜视频、Vigo Video,以及教育产品、企业SaaS等...
永安在线(原威胁猎人)招聘人才 公司简介 深圳永安在线科技有限公司是国际领先的反欺诈服务提供商。成立于2017年1月,致力于基于对黑灰产的布控能力,为互联网及金融行业提供反欺诈解决方案,为公安提供网络犯罪打击工具。由猎豹移动、泰岳梧桐、真格基金易合资本联合投资。核心创始团队来自腾讯反欺诈情报团队,拥有多年的黑灰产对抗经验,曾多次获得黑客大赛Pwn2Own冠军,掌握最前沿的安全攻防技术。目前,永安在线(原威胁猎人)已与互联网TOP企业、政府、公安等达成合作,例如:百度、腾讯、今日头条、陌陌、中国互联网应急响应中心深圳公安等。 联系方式 [email protected](邮件主题:职位名称+姓名+来自安全脉搏)(简历投递请注明来自安全脉搏) 招聘详情 助理安全工...
招聘 | 微众银行信息安全部招人啦! 微众银行于2014年12月获得由深圳银监局颁发的金融许可证,是由腾讯、百业源和立业等多家知名企业发起设立、国内首家开业的民营银行。微众银行严格遵守国家金融法律法规和监管政策,以合规经营和稳健发展为基础,致力于为普罗大众、微小企业提供差异化、有特色、优质便捷的金融服务。 欢迎各位大佬推荐或者自荐 投递简历至邮箱 [email protected](邮件简历投递请注明来自安全脉搏) 招聘岗位: 岗位:安全攻防工程师 工作地点:深圳岗位说明:1.负责红蓝军对抗演习,研究APT攻防技术,以专业黑客的视角,通过渗透等手段不断挖掘安全风险,并推动解决;2.对安全事件进行应急响应,及时解决出现的安全问题;3.参与公司各项安全规范和流程的...
哔哩哔哩诚聘安全人才 招聘岗位: 基础安全工程师/专家 岗位要求: 1. 全日制本科及以上学历,具有3年以上互联网经验 2. 具备对应用、服务器安全的基础知识 3. 对互联网攻防有一定的基础能力,了解常规的攻击、防御等手段 4. 对前沿安全攻击、欺诈、防范技术的研究 5. 熟悉Perl/Python/C/golang等,至少一门语言 6. 对安全技术研究有兴趣,并能够恪守安全职业道德 7. 了解SDLC的各环节情况,并能在公司内部推动落地 岗位描述: 1. 负责建设公司基础设施的安全能力,参与推动SDLC在公司内部的落地 2. 建立网络/服务器/应用等基础设施的安全基线 3. 参与建设网络、应用、移动端的安全能力 资深安全工程师/专家 岗位要求: 1. 全日制本科及以上学历,具备3年以上应用系...
Deniz Kizi(美人鱼)打响2020年全球勒索病毒攻击的第一枪 2019年已经过去了,在过去的一年时间里,各种勒索病毒运营团伙针对全球各国的企事业单位,大中小型企业不断发起网络攻击,全球几乎每天都有被勒索病毒攻击的新闻被曝光,勒索病毒攻击成为了2019年网络安全的最大威胁之一,深信服安全团队在过去的一年里跟踪分析了多款新型的勒索病毒,比如2019年出现的几款流行的勒索病毒:Sodinokibi勒索病毒、Phobos勒索病毒、Maze勒索病毒、Buran勒索病毒、MegaCortex勒索病毒等,近期深信服安全团队跟踪观察到一款新型的勒索病毒Deniz Kızı(美人鱼),这款新型的勒索病毒打响了2020年全球勒索病毒攻击的第一* Deniz Kizi勒索病毒最早于2019年12月17日,被国外安全研究人员公布在相关论坛上,如下所示:   20...
度小满安全应急响应中心(简称 DXMSRC)正式上线 今天,度小满安全应急响应中心(简称 DXMSRC)正式上线! DXMSRC(https://security.duxiaoman.com)是度小满的安全漏洞收集及响应平台,旨在集合安全领域的专家、白帽子、社会团体共同发现潜在的安全漏洞信息。 度小满金融,前身是百度金融。2018年4月,百度宣布旗下金融服务事业群组正式完成拆分融资协议签署,实现独立运营,启用全新品牌“度小满金融”。度小满金融依托于百度人工智能的技术优势,以智能金融为发展方向,重点发展消费信贷、财富管理、支付、金融科技等业务,旗下产品包括度小满钱包、度小满理财、有钱花等。 闲话不多说,介绍下我们的上线活动 活动时间: 2月17日-2月28日   活动范围: APP产品 ² 有钱花APP ² 度小...
Bitbucket平台被用于传播多款恶意软件 简介 Cybereason研究人员发现一起攻击活动,其中传播的恶意软件可以窃取数据、进行加密货币挖坑、传播勒索软件。由于攻击者哦那个恶意软件类型的多样性,攻击者可以攻击的受害者范围较广。攻击活动中使用的payload来源于Bitbucket平台的不同账号,换句话说Bitbucket被滥用作攻击活动基础设施的一部分了。 Bitbucket多payload攻击流图 多payload攻击剖析 通过PREDATOR信息窃取器 攻击首先从用户下载破解的Adobe Photoshop、Microsoft Office等商业软件开始。攻击者将合法软件和不同种类的恶意软件捆绑来攻击寻找“免费”商业软件的用户。在本例中,研究人员发现大量破解版软件中含有Azorult信息窃取器和Predator the Thief。 Predator the Thief...
华为云安全渗透测试团队诚招渗透测试工程师 岗位职责 1.对云环境网络、基础设施与防护进行漏洞挖掘和漏洞研究,评估华为云环境的安全性 2.对云应用、软件和系统等进行安全测试和评估,挖掘华为云产品存在的安全漏洞 岗位要求 学历本科及以上,毕业证、四级英语证等齐全; 要求理解并深入挖掘以下方向之一:WEB安全、逆向分析、漏洞挖掘、CTF等 具备以下一项或多项能力: 1.熟悉主流黑客攻击技术、了解黑客攻击链、熟悉漏洞扫描工具、漏洞利用工具、病毒木马等 。 2.精通各种WEB安全漏洞利用原理及相应的修复方案,具有安全风险评估与解决方案设计的能力。 3.掌握逆向技术,熟练使用OD、windbg、IDA等调试、逆向工具;熟悉可执行文件格式及各种保护壳,具有一定的脱壳经验,了解常用加解密...
从免费的WEB应用防火墙hihttps谈机器学习之生成对抗规则过程       hihttps是一款免费的web应用防火墙,既支持传统WAF的所有功能如SQL注入、XSS、恶意漏洞扫描、密码暴力破解、CC、DDOS等),又支持无监督机器学习,自主对抗,重新定义web安全。 今天笔者就从web安全的角度,介绍hihttps怎样通过机器学习自动生成对抗规则的5个过程: 一、   样本采集 和图形图像的人工智能一样,机器学习无论是有监督还是无监督,第一步都是先采集样本。web安全有先天性的样本采集优势,成本几乎为0,方法是:通过反向代理的模式采集完整的HTTP协议数据,可以参考hihttps源码https://github.com/qq4108863/hihttps/ ,样本要求如下: 1、足够的随机化,在不同的IP地址之间随机采集。 2、足够多的样本,保证99.99%的...
Oski Stealer窃密木马,盗取美国地区用户的浏览器和加密钱包数据 最近国外安全研究人员发现一款新型的窃密木马Oski Stealer正在地下黑客论坛进行广告宣传,其中包含一些俄罗斯黑客论坛,该恶意软件旨在收集敏感信息,例如浏览器登录凭据、***数据、钱包帐户数据等,并且已经窃取了50000多个密码,主要通过垃圾邮件网络钓鱼进行传播感染,针对Windows 7、8、8.1和10的x86和x64版本,并且可以在没有管理员权限的情况下安装,该恶意软件目前主要针对美国地区用户进行攻击,窃取了大量Google帐户密码 OskiStealer窃密木马会盗取基于Chromium和Firefox的浏览器(Chromium、Chrome、Opera、Comodo Dragon、Yandex、Vivaldi、Firefox、PaleMoon、Cyberfox、BlackHawk、K-Meleon等)登录凭据,以及来自Filezilla和加密货...