by ·IIS7.5解析漏洞复现已关闭评论

IIS7.5 cgi解析漏洞复现

实验环境

Windows Server 2008 R2

我们先搭建IIS,在安装的时候,勾选上CGI,我这里安装过了

by ·IIS7.5解析漏洞复现已关闭评论

IIS7.5 cgi解析漏洞复现

实验环境

Windows Server 2008 R2

我们先搭建IIS,在安装的时候,勾选上CGI,我这里安装过了

by ·漏洞利用 | 看我如何利用Kerberos EoP渗透你的Linux系统已关闭评论

写在前面的话

在一次

by ·漏洞利用 | 看我如何利用Kerberos EoP渗透你的Linux系统已关闭评论

写在前面的话

在一次

by ·Apache解析漏洞复现已关闭评论

apache解析漏洞

漏洞原理

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.p

by ·Apache解析漏洞复现已关闭评论

apache解析漏洞

漏洞原理

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.p

by ·《北向文集 面向2021》 07期 山海论坛 | 吴一洲-央企入局,布局不搅局已关闭评论

2400x760.png

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议,历届北向峰会的行业趋势探索以及战略性指导意义,使其成为安全行业别具一格的风向标。

面向2021,北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块,深入研讨了安全行业战略发展之路。嘶吼作为会议承办方,全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容,嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》,文集将以连载的方式在“嘶吼专业版”独家发布,向大家分期呈现,每日更新,敬请关注!

06期 山海论坛

央企入局,布局不搅局

web.png

中国通服➢入局网络安全领域

中国通服,是一家由三大运营商整合所有通信建设及实业相关业务,2016年在香港交易所上市的央企,2019年,经营业务收入已突破千亿元。近年来,中国通服积极落实国家创新战略,融入“数字中国”建设主航道,以“建造智慧社会、助推数字经济、服务美好生活”作为新的使命和担当,定位为“新一代综合智慧服务商”,通过融合CT(大连接)、IT(平台与应用)、DT(大数据服务)、OT(运营)能力,为客户提供涵盖规划设计、工程建设、信息化技术与产品、运维运营、全国支撑本地服务、科技生态和安全保障的一体化智慧服务,有效满足客户跨连接、跨应用、跨平台、跨地域、跨厂商的建设需求。

中国通服多年来在研发能力上持续加大投入,近五年投入约一百亿研发费用。同时,通服也拥有专业的技术人才队伍,其中,咨询、技术相关人员2万人,维护、运营人员2万人。

微信图片_20210129152226.png

中国通服入局网络安全领域的决心和优势

为践行网络强国战略,履行央企责任,中国通服有必要、有愿力、也有能力,成为国家网络安全守护方阵中的贡献者之一,依托通服现有的体系,携手产业生态,将安全护航能力部署落地到我国的遍地角落。

通服的主要优势和决心在这六个方面:一是长线思维,安全的重要战略位置是不可否认的。虽然目前安全收入占比不大,但在安全业务上,我们天生具有长线思维,不会在商业短线思考里纠缠;二是一体两翼,信息化能力和安全能力本身就是相辅相依的,现在的信息化,是指的更泛的信息化、更广域的信息化,通服的专业公司在信息化和网络建设方面涉略面广,经验丰富,可以充分和大家一起探索网安领域的新趋势和新技术方向;三是数据能力,通服在新基建以及数字智慧社会产品领域耕耘多年,对政府项目、大型智慧城市、数据中心等项目中的业务数据的理解都比较深入,具有深厚的项目实施经验;四是安全资质,在涉密领域、通信网络安全服务、安全测评和安全服务方面拥有一系列等级高、覆盖全的专业资质;五是落地支撑,通服拥有覆盖省、市、县三级落地从市场到服务的人才队伍和支撑体系;六是真生态,在生态圈构建方面,中国通服一直认为只有真共享、真共生,才能获得共赢。企业长远且健康的发展,才是合作的前提,而不是通过合作来争抢生意,这样的合作必然是走不长远的。

微信图片_20210129152233.png

中国通服➢入局规划、诚意与实践

image.png

初窥网络安全,谋划入局蓝图:自研+集成+生态合作

虽然是初窥网络安全,但通服2019年在网络安全领域相关的营收已达12亿元。在多个安全业务方面我们都有涉猎,但一直没有进行系统性的、自上而下的统筹规划,如何做网络安全、如何进入这个行业、如何跟大家一起共同发展。今年,通服花了一年时间来探索和调整,明确了新定位、人才队伍、组织架构和相关产品矩阵等。

新定位:履行央企责任、捍卫国家安全,护航智慧社会,做新一代的网络安全综合服务商。目前通服在安全方面相关人才有1500人,其中100位安全分析人员、800位安全咨询设计人员、300位安全研发人员、300位安全服务人员,此外还有1000位安全/信息化通用人员。

服务产品服务矩阵:中国通服重新规划了安全运营中心产品集产品,并已在运营商和政府的相关方面都进行了部署和尝试,联合业内的安全产业生态能力为客户提供优质的安全解决方案。如资产测绘平台完成了在电信九个省份做了部署和长期运营,态势感知平台在运营商、政府、交通等多个领域都进行了能力验证。此外,在安全分析和数据安全相关的产品、安全服务和基础安全方面等都取得了一定的成绩。

生态合作:一方面是外部合作生态,与业务拓展相关,包括集成总包上的合作;另一方面是产品侧生态,相信大家的智慧。我们进行生态研发的目标,是希望我们的产品和服务能够下沉到三四线城市,提供更多优质产品,让客户感受到高性价比的安全产品和服务。

共生发展,构建开放、尊重的生态合作阵营

无论蓝图如何变化,我们通服的基本原则是不变的,那就是要分开放合作。合作不光只在项目侧,同时也在产品侧、研发侧和解决方案侧进行深度合作。目前,在纵深防御方面,中国通服与山石网科已经签订战略合作协议;在数据安全领域、密码方面跟炼石开展了合作;安全运营中心方面,与安天也进行了比较深度的合作。在研发和集成领域,尤其是产品研发和知识产权方面,我们可以保证,一是合作研发资金有充分保障,二是对产品知识产权有充分保护,三是对合作伙伴给予充分的尊重。中国通服,面向未来、共生发展,希望能够为二线、三线、四线城市,尤其是行业客户、企业客户,提供优质的产品以及端到端服务,真正把安全的基建水平提升,将理念渗透到我国各地,把安全阵营做强做大!

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布

by ·《北向文集 面向2021》 07期 山海论坛 | 吴一洲-央企入局,布局不搅局已关闭评论

2400x760.png

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议,历届北向峰会的行业趋势探索以及战略性指导意义,使其成为安全行业别具一格的风向标。

面向2021,北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块,深入研讨了安全行业战略发展之路。嘶吼作为会议承办方,全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容,嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》,文集将以连载的方式在“嘶吼专业版”独家发布,向大家分期呈现,每日更新,敬请关注!

06期 山海论坛

央企入局,布局不搅局

web.png

中国通服➢入局网络安全领域

中国通服,是一家由三大运营商整合所有通信建设及实业相关业务,2016年在香港交易所上市的央企,2019年,经营业务收入已突破千亿元。近年来,中国通服积极落实国家创新战略,融入“数字中国”建设主航道,以“建造智慧社会、助推数字经济、服务美好生活”作为新的使命和担当,定位为“新一代综合智慧服务商”,通过融合CT(大连接)、IT(平台与应用)、DT(大数据服务)、OT(运营)能力,为客户提供涵盖规划设计、工程建设、信息化技术与产品、运维运营、全国支撑本地服务、科技生态和安全保障的一体化智慧服务,有效满足客户跨连接、跨应用、跨平台、跨地域、跨厂商的建设需求。

中国通服多年来在研发能力上持续加大投入,近五年投入约一百亿研发费用。同时,通服也拥有专业的技术人才队伍,其中,咨询、技术相关人员2万人,维护、运营人员2万人。

微信图片_20210129152226.png

中国通服入局网络安全领域的决心和优势

为践行网络强国战略,履行央企责任,中国通服有必要、有愿力、也有能力,成为国家网络安全守护方阵中的贡献者之一,依托通服现有的体系,携手产业生态,将安全护航能力部署落地到我国的遍地角落。

通服的主要优势和决心在这六个方面:一是长线思维,安全的重要战略位置是不可否认的。虽然目前安全收入占比不大,但在安全业务上,我们天生具有长线思维,不会在商业短线思考里纠缠;二是一体两翼,信息化能力和安全能力本身就是相辅相依的,现在的信息化,是指的更泛的信息化、更广域的信息化,通服的专业公司在信息化和网络建设方面涉略面广,经验丰富,可以充分和大家一起探索网安领域的新趋势和新技术方向;三是数据能力,通服在新基建以及数字智慧社会产品领域耕耘多年,对政府项目、大型智慧城市、数据中心等项目中的业务数据的理解都比较深入,具有深厚的项目实施经验;四是安全资质,在涉密领域、通信网络安全服务、安全测评和安全服务方面拥有一系列等级高、覆盖全的专业资质;五是落地支撑,通服拥有覆盖省、市、县三级落地从市场到服务的人才队伍和支撑体系;六是真生态,在生态圈构建方面,中国通服一直认为只有真共享、真共生,才能获得共赢。企业长远且健康的发展,才是合作的前提,而不是通过合作来争抢生意,这样的合作必然是走不长远的。

微信图片_20210129152233.png

中国通服➢入局规划、诚意与实践

image.png

初窥网络安全,谋划入局蓝图:自研+集成+生态合作

虽然是初窥网络安全,但通服2019年在网络安全领域相关的营收已达12亿元。在多个安全业务方面我们都有涉猎,但一直没有进行系统性的、自上而下的统筹规划,如何做网络安全、如何进入这个行业、如何跟大家一起共同发展。今年,通服花了一年时间来探索和调整,明确了新定位、人才队伍、组织架构和相关产品矩阵等。

新定位:履行央企责任、捍卫国家安全,护航智慧社会,做新一代的网络安全综合服务商。目前通服在安全方面相关人才有1500人,其中100位安全分析人员、800位安全咨询设计人员、300位安全研发人员、300位安全服务人员,此外还有1000位安全/信息化通用人员。

服务产品服务矩阵:中国通服重新规划了安全运营中心产品集产品,并已在运营商和政府的相关方面都进行了部署和尝试,联合业内的安全产业生态能力为客户提供优质的安全解决方案。如资产测绘平台完成了在电信九个省份做了部署和长期运营,态势感知平台在运营商、政府、交通等多个领域都进行了能力验证。此外,在安全分析和数据安全相关的产品、安全服务和基础安全方面等都取得了一定的成绩。

生态合作:一方面是外部合作生态,与业务拓展相关,包括集成总包上的合作;另一方面是产品侧生态,相信大家的智慧。我们进行生态研发的目标,是希望我们的产品和服务能够下沉到三四线城市,提供更多优质产品,让客户感受到高性价比的安全产品和服务。

共生发展,构建开放、尊重的生态合作阵营

无论蓝图如何变化,我们通服的基本原则是不变的,那就是要分开放合作。合作不光只在项目侧,同时也在产品侧、研发侧和解决方案侧进行深度合作。目前,在纵深防御方面,中国通服与山石网科已经签订战略合作协议;在数据安全领域、密码方面跟炼石开展了合作;安全运营中心方面,与安天也进行了比较深度的合作。在研发和集成领域,尤其是产品研发和知识产权方面,我们可以保证,一是合作研发资金有充分保障,二是对产品知识产权有充分保护,三是对合作伙伴给予充分的尊重。中国通服,面向未来、共生发展,希望能够为二线、三线、四线城市,尤其是行业客户、企业客户,提供优质的产品以及端到端服务,真正把安全的基建水平提升,将理念渗透到我国各地,把安全阵营做强做大!

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布