搜索中心

产品

信息安全咨询规划服务

安恒信息

119

0

信息安全咨询规划服务

产品

安全咨询

绿盟科技

184

0

绿盟科技安全咨询服务依据国家主管机构和行业监管机构的合规要求，并与丰富的行业实践经验相结合，协助客户建设以风险控制为核心的安全管控体系，整体提升信息安全管理成熟度，保障业务顺畅运营和战略达成。安全咨询服务主要包括：

厂商

亚信安全

244

0

亚信科技控股有限公司（简称：亚信科技，股票代码：01675.HK）始于1993年，2018 年12 月19日成功在香港联交所主板上市，是领先的软件产品、解决方案和服务提供商，领先的数智化全栈能力提供商。亚信科技综合运用咨询规划、产品研发、实施交付、系统集成、数据运营、智能决策、客户服务等数智化全栈能力，为百行千业提供端到端、全链路数智化服务。公司深耕市场30年，在5G、云计算、大数据、人工智能、物联网、数智运营、业务及网络支撑系统等领域具有先进的技术能力和众多成功案例，客户遍及通信、广电、能源、政务、交通、金融、邮政等行业。

产品

安全开发

绿盟科技

207

0

绿盟科技应用开发安全生命周期管理服务，以应用开发生命周期的架构为基础，对现有系统开发过程中所涉及到的安全操作进行概括、补充和完善，并将安全设计、安全编码、安全测试以及安全事件响应的传统安全技术融入到产品需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等应用开发生命周期的典型阶段中，从而系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑所带来的信息安全风险。

【重点问题回顾】攻击面发现揭秘直播

产品

问津

长亭科技

183

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

产品

合规咨询服务

安恒信息

39

0

合规咨询服务

产品

等保合规咨询服务

知道创宇

177

0

知道创宇安全专家帮助客户快速、省心通过等保2.0合规，客户享受一站式等保咨询服务，包括完备的攻击防护、数据审计、数据备份、加密、安全管理服务。帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。

产品

风险评估

知道创宇

131

0

帮助企业系统分析资产所面临的威胁，及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。并提出有针对性的抵御威胁的防护对策、整改措施。为防范和化解风险提供科学依据。

产品

信息安全风险评估服务

安恒信息

133

0

信息安全风险评估服务

产品

敏讯Spammark邮件信息安全网关系统

敏讯科技

112

0

Spammark邮件信息安全网关是一套将反垃圾邮件、反钓鱼邮件、病毒过滤和敏感信息智能过滤、邮件归档、邮件外发控制和审批等功能进行无缝整合的一体化的电子邮件安全防护产品。

产品

知道创宇日志管理综合分析系统

知道创宇

124

0

自主研发的专业信息安全审计系统，通过全面日志采集、实时关联分析、威胁事件告警及丰富多维审计，实现系统信息的统一集中存储与管理，关联与分析，使用户对信息系统整体安全状况做到全面掌控，并对系统安全事件进行及时响应。

厂商

爱加密

150

0

爱加密是专业的移动信息安全服务提供商，专注于移动应用安全、大数据、物联网及工业互联网安全，坚持以用户需求为导向、持续不断的创新，致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。爱加密的服务宗旨是通过革新性安全方案和7x24小时全天候的专业服务，打造和谐、强大、高度安全的万物互联生态环境。

厂商

北信源

64

0

北京北信源软件股份有限公司（股票代码：300352）是中国信息安全领域龙头企业，创立于1996年，注册资本14.5亿元，2012年在创业板上市，是首批信息安全领域的A股上市企业之一，是中国终端安全领域的市场领导者，信创安全领军企业。

产品

应急响应

绿盟科技

131

0

绿盟科技应急响应服务提供高效的信息安全事件响应机制，帮助客户快速对危害计算机、网络和业务系统的各类安全事件作出响应。在安全事件管理的全生命周期中，通过有效的制度流程、组织管理及技术手段，为客户提供多阶段、多层级、多形式服务，有效降低和减少安全事件造成的影响和损失。

厂商

江民科技

260

0

江民科技是中国较早的信息安全企业。1988年进军计算机反病毒领域，94年发布了第一款正版商用杀毒软件KV100，连续多年荣膺“国家高新技术企业”。公司在北京、武汉、杭州、石家庄等地设立了研发中心和AI安全技术研究院，并在全球多个国家建立了反病毒实验室和大数据病毒监测网。

产品

安全培训

绿盟科技

175

0

国内一流的安全人才解决方案提供者，围绕安全行业人才发展，通过具有行业前瞻性和全局性的信息安全课程和实战化高仿真的靶场平台，为人才发展提供其所需的知识和技能以及发展指引。 绿盟科技拥有近千人的业务销售团队，拥有行业内最丰富安全服务经验，常年在金融、运营商、能源、政府、企业等行业为客户提供高端安全服务项目，积累和开发了丰硕的安全技能知识库，并进行了体系化的归纳总结，孵化出安全人才发展路线图，为网络安全培训课程体系及解决方案打下坚实的基础。 绿盟科技总结20年来网络安全领域的技术积累和实战经验，致力于提供领先的人才培养体系和安全认证标准，培养网络安全专业人才，构建人才生态战略，已累计为近千家企业提供过培训服务。2021年一年仅国内外顶级第三方培训认证培训人数超过1000人/次。累计安全培训人数超过10000人次；年平均培训人数超过2000人次。

厂商

易安联

70

0

国家级专精特新小巨人企业——江苏易安联网络技术有限公司是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”安全产品及解决方案提供商，公司总部位于南京，在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构，公司致力于成为国内零信任安全领导者！

厂商

观安

225

0

观安信息成立于2013年，是上海市高新技术企业、软件企业及“小巨人”培育企业。 观安信息拥有一支有20年重点客户信息安全服务经验、安全专业技术经验及大数据分析经验的团队，以及国内外优秀的信息安全、大数据分析优秀人才。现有员工300余人，公司核心发展方向是以大数据分析为基础，大数据分析+泛安全为业务主线，泛安全方向包括网络安全、信息安全、工业互联网安全、风控安全和公共安全几大核心方向。

厂商

椒图科技

144

0

椒图科技是国内著名服务器安全加固方案提供商，成立于2010年，在北京、深圳两地设有办公机构。椒图科技是国家级高新技术企业、计算机病毒防治技术国家工程实验室理事单位、国家网络与信息安全信息通报机制技术支持单位、公安部第一研究所战略合作伙伴。

厂商

迪普

259

0

杭州迪普科技股份有限公司（简称“迪普科技”） 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业（股票代码：300768）。 作为国内信息安全产业的重要厂商之一，迪普科技是国家信息安全漏洞库一级技术支撑单位、信息安全标准化技术委员会成员单位、中国网络安全产业联盟常务理事单位。同时，公司获得国家知识产权示范企业、国家重点软件企业、国家高新技术企业等多项荣誉。 自成立以来，迪普科技坚持技术创新。公司拥有一支专业的软件开发及硬件逻辑开发团队，打造了独有的高性能分布式转发硬件架构和L2~7融合式操作系统。在此基础上，依托于安全研究团队十多年以来在攻防研究、漏洞挖掘、威胁情报分析、安全事件响应等技术积累，公司开发了具有自主知识产权的安全大数据处理引擎与AI智能分析引擎，结合主/被动安全检测、威胁情报、攻击建模等先进技术，构建了包括自安全网络、安全检测、安全分析、安全防护、安全服务、应用交付在内的产品体系，为客户提供全场景网络安全解决方案。 在云计算、大数据、物联网、工业互联等新技术蓬勃发展的当下，迪普科技凭借在产品研发、安全研究及服务方面的深厚积累，率先推出高性能、高融合的云级业务核心平台及以此为基础的云安全解决方案；率先推出以“接入可信、行为可控”为理念的物联网安全管控解决方案；创新性的推出了“可视、可防、易运维”的自安全园区网解决方案。迪普科技致力于帮助各行各业客户构建新一代网络安全威胁感知及防护体系，实现威胁可视、智能溯源、自动防护；通过风险评估、安全保障、安全加固、应急响应、攻防演练、安全培训等专业服务，为客户提供全生命周期的安全运营保障。 迪普科技的用户覆盖了政府、运营商、电力、能源、金融、交通、教育、医疗、企业等在内的各行各业，并承担了G20、APEC峰会、世界互联网大会等重大活动的网络安全保障支持。未来，迪普科技将继续在网络安全及应用交付领域持续投入，不断完善产品与解决方案，为客户创造更大价值。

产品

观安用户异常行为分析系统

观安

153

0

用户异常行为分析系统，是一种针对内部威胁全新解决方案。 区别于传统的孤立事件，从聚焦数据内容本身转移到内容上下文关系、行为分析。能够帮助企业及早发现数据泄露、违规操作、账户异常等安全风险，为信息安全专业人员指明方向， 并提供风险总览、账户风险评分、用户行为回溯、全文检索、自定义策略配置、风险抑制等实用功能。

厂商

数影星球

110

0

数影星球（杭州）科技有限公司成立于 2020 年 11 月，是一家技术领先的科技创新企业，专注于为企业提供一站式的办公安全方案。数影旗下拥有数影办公空间、数影安全浏览器、数影账号管家等多条产品线，满足企业信息安全、数据治理、隐私合规、账号管控、远程办公等场景下的安全和提效需求，让企业办公更安全、更高效、更智能！

产品

信磐 AISIAM 系统

亚信安全

178

0

信磐 AISIAM 系统采用微服务架构且成熟先进的技术体系构建，面向身份管理运营视角，提供面向内外部用户的身份管理、认证鉴权、访问控制、权限管理与日志审计等丰富功能，可纳管企业应用、设备、终端、网络、API等资源，并实现人到资源、资源到资源的一体化单点登录的访问，解决身份数据分散、跨系统身份互信互认与用户体验不佳等问题，保障企业的应用信息安全。并且预置零信任身份安全能力，助力企业零信任安全落地。打通运维场景下的资源访问安全管控，实现业务运维一体化身份安全管理。

产品

山石网科工业安全主机卫士系统

山石网科

253

0

山石网科工业安全主机卫士系统IEDP是面向工业互联网安全设计的，提供集工业主机安全可视化、工业主机安全策略集中管理、主机状态监测、主机安全防护、预警和响应处置于一体的工业信息安全产品，在不影响生产业务的前提下，实现对各类别工业主机，如操作员站、工程师站、服务器站的安全集中监控与策略配置。

产品

观安风控管理系统

观安

121

0

观安风控管理系统

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。我国正处在这个大潮之中，受到的影响越来越深。目前我国拥有7亿网民，保护信息安全变得越来越重要。幸运的是，有许多免费的安全工具可供选择去加强网络安全和数据隐私。今天和大家分享的是 “GitHub上活跃的十个国产安全工具”。

产品

RaySIN 互联网敏感信息监测系统

远江盛邦

152

0

互联网敏感信息监测系统（RaySIN）是盛邦安全针对泄露或暴露在互联网侧的网络资产、社会资产、社工情报等信息进行排查，提前防范，降低攻击风险的平台。

产品

安全意识培训

知道创宇

165

0

帮助企业了解员工的安全知识掌握程度，并通过培训与演练，提升员工网络安全知识，减少员工在日常工作中由于安全知识的匮乏使企业造成重大损失的几率。

产品

瀛云堡垒机

瀛云

166

0

灵活高效的运维管理和审计平台。

厂商

安芯网盾

275

0

安芯网盾作为内存安全领军者，以“保护数字世界的安宁”为使命，致力于为政府、金融、运营商、能源、轨交、教育、医疗、互联网及大中型企业等行业客户提供新一代主机实时防护的相关产品和解决方案，帮助企业实时防御并终止无文件攻击、0day漏洞攻击、内存马攻击等高级威胁，实现对通用及信创主机的全方位防护，有效保障用户的核心业务不被阻断，核心数据不被窃取，产品和解决方案深受客户与合作伙伴好评。

厂商

新华三

259

0

新华三集团是业界领先的数字化解决方案领导者，致力于成为客户业务创新、数字化转型最可信赖的合作伙伴。主营产品有路由器,大数据,交换机,物联网,云计算,服务器,SDN,NFV,智慧城市,数字经济,数字化转型,数据中心

产品

RayGate 网络资产安全治理平台

远江盛邦

120

0

网络资产安全治理平台(RayGate)是一套围绕资产梳理、备案管理、监控防护进行综合治理的平台。

厂商

启明星辰

259

0

启明星辰信息技术集团股份有限公司成立于1996年，由留美博士严望佳女士创建，2010年启明星辰集团在深圳A股中小板上市（股票代码：002439）。经过二十余年的积累与沉淀，启明星辰集团已对网御星云、合众数据、书生电子、赛博兴安进行了全资收购，是网络安全产业中主力经典产业板块的龙头企业、新兴前沿产业板块的引领企业以及可持续健康业务模式和健康产业生态的支柱企业。

厂商

长亭科技

403

1

长亭科技坚持以技术为导向，历经数年研发，在全球范围内，首发基于语义分析的非规则运算引擎，颠覆了传统Web应用层的安全防护原理，为企业用户带来更快、更精准、更智能的产品及服务。 长亭科技是一家快速成长的互联网安全初创企业，创始人主要来自清华大学。总部位于北京，其客户涵盖了互联网金融，电商，银行等多个领域。长亭科技以技术为本，2015年4月，长亭科技推出一款新型 SQL 注入检测与防御引擎，将机器学习等方法应用在防御SQL注入领域，提高了对SQL注入攻击的防御能力。长亭科技业务包括安全服务，安全产品研发以及前沿攻防技术与漏洞研究。其中安全服务为主营业务，旨在通过其雄厚的技术水平，为互联网企业提供可靠、专业的安全服务和网站安全的解决方案，帮助客户减少因互联网安全问题而造成的损失。

【深蓝实验室】红队信息收集&移动安全从0-1

敏感信息监测

3月20日，MinIO 官方发布了安全补丁，修复了一处敏感信息泄露漏洞 CVE-2023-28432：https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

厂商

安恒信息

126

0

杭州安恒信息技术股份有限公司（简称：安恒信息）成立于2007年，于2019年11月5日正式登陆科创板，股票代码：688023。自成立以来，安恒信息秉承“构建安全可信的数字世界”的企业使命，以“数字经济的安全基石”为企业定位，以“诚信正直、成就客户、责任至上、开放创新、以人为本、共同成长”为企业核心价值观，致力于成为全球领先的数字安全企业。

近日，长亭应急团队监测到泛微发布了新的安全漏洞补丁修补了多个漏洞，其中有两个漏洞值得关注，分别是信息泄露和任意用户登录，组合起来可以获取应用系统的任意用户权限。

声明：本章内容大部分来自对互联网信息的整理，小部分自己写的，感谢原作者的奉献。由于时间有点久，且内容来源比较庞杂，故无法将引用来源一一列举，如果有引用到您的内容，请私信，我将会在文章之中关联或者做删除处理。本文为内部技术分享内容，现在分享给大家！

某公司平台系统存在敏感信息泄露漏洞，由于对swagger-ui未做好访问控制措施，导致攻击者可以通过swagger页面获取网站API信息，进而导致攻击者构造payload对系统API进行攻击。

预览

预览

277人阅读

2024-03-15

文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责

最近看到⼀些漏洞资讯越来越离谱，⼀些错误的信息竟可以互相转发却⽆⼈察觉，今天就分析⼀下漏洞。

近期，长亭科技监测到Citrix官方发布了新补丁修复了一处敏感信息（会话令牌）泄露漏洞。 长亭应急团队经过分析后发现可通过缓冲区溢出漏洞导致敏感信息泄露。考虑到Citrix NetScaler设备在网络中的核心作用，建议及时修复漏洞。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢！

如XX后台管理系统V2.0存在水平越权,由于应用系统中Id参数可控并未经校验导致信息被越权修改，攻击者可通过遍历Id参数批量更改其他用户数据及个人信息。

本文起源于一个生产问题。我们在生产环境用户信息表的create\_by字段看到了来自用户侧的输入，且未过滤特殊字符（注意到存在符号”+”），怀疑可能成为SQL注入点。

如题，由于是在已知有一处sql注入的情况下才接手进行的后续操作，因此前面信息搜集则一笔带过。

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

厂商

四叶草

242

0

西安四叶草信息技术有限公司（简称：四叶草安全）专业的网络安全综合解决方案提供商。公司秉承“以攻促防”的安全理念，专注于漏洞风险检测、安全防御体系建设和攻防实战型人才培养，致力于帮助用户先于黑客发现并及时解决安全隐患，共同打造一个更安全、更便捷、更美好的互联网世界。研究领域包含网络安全、应用安全、移动终端安全、物联网安全、工控安全、云安全、数据安全、漏洞挖掘及利用技术研究、黑客技术研究、智能算法和基于图神经网络的业务安全等。

厂商

安全狗

143

0

厦门服云信息科技有限公司（品牌名：安全狗）成立于2013年，致力于提供云安全领域相关产品、服务及解决方案，是国内最早引入云工作负载安全（CWPP）概念，并成功构建相应产品线的专业云安全厂商。目前拥有数十项产品专利及著作权证书，产品能力获得信通院、公安三所、Gartner、CSA、IDC等多个国内外权威机构的认可。

厂商

明焰安全

245

0

广州奇盾信息技术有限公司是一家拥有独立知识产权、立足自主创新的高科技企业，同时也是具有高校科研背景的云原生安全和主机终端安全产品的独立厂商。

厂商

知道创宇

237

0

北京知道创宇信息技术股份有限公司，是一家立足攻防一线，与客户并肩战斗，拥有“实战对抗”能力的网络安全公司。知道创宇成立于2007年，由数位资深安全专家创办，以“AI+安全大数据”为底层能力，为客户提供云防御、云监测、云测绘产品与服务。未来，知道创宇将致力于为客户提供安全网络。 知道创宇员工1800多人，总部位于北京，在北京、成都、武汉设有三大技术中心，国内销售和技术服务覆盖华北、华东、华中、西部、香港等地区，设有数十个分公司和办事处，可随时响应客户突发的各种安全需求。

厂商

瑞数

193

0

瑞数信息 ( River Security ) 成立于2012年，专注网络安全领域的前沿技术创新和产品研发。公司总部位于上海，在北京、广州、成都、深圳、南京等20多个城市设有分公司、办事处和服务团队， 并在成都、上海和北京分别设有研发中心和研发团队。目前业务覆盖三大运营商、金融、政府、制造、能源、交通、医疗、教育、电商互联网等众多行业。 作为中国Bot自动化攻击防护领域的创新和引领者，瑞数信息自2012年成立以来迅速成长，产品已实现销售额数亿元，覆盖三大运营商、银行、证券保险、制造、电商互联网、政府、交通、能源等行业上千家客户。 面对未来安全形势中的各种未知和挑战，瑞数信息有信心，更有实力让企业领先威胁一步，让安全领先攻击一步！

厂商

铱迅

39

0

南京铱迅信息技术股份有限公司（股票代码：832623。简称：铱迅信息，英文缩写：YXLink）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感，自主研发，努力创新，以“让客户更安全”为理念，致力成为在网络安全领域具有重要影响的企业。

在java项目中，经常会使用一些监控类的组件来监控系统的状态，如果对这些组件没有做好权限控制，公网可以任意访问的话，就会泄露敏感信息，进一步造成更严重的危害。今天就来看一下，都有哪些组件。

安装雷池社区版后，若选择 “加入 IP 情报共享计划”，雷池将定时自动聚合攻击 IP 数据（只有攻击 IP，不涉及任何敏感信息）发送到长亭百川云平台。 长亭百川云平台收到来自五湖四海的社区版兄弟们共享的 IP 情报，使用算法进行汇总和优选，生成雷池社区黑 IP 库，最终再回馈给社区。

长亭应急团队监测到CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。 经过分析漏洞后，发现公网仍有较多系统未修复漏洞，长亭应急团队根据该漏洞的原理，编写了X-RAY远程检测工具和本地检测工具供大家下载使用，同时在文章中提供了排查该资产的方式。

整个 POC 大致可以分为 3 部分： 名称： 脚本名称, string 类型 脚本部分：主要逻辑控制部分，控制着脚本的运行过程 信息部分：主要是用来声明该脚本的一些信息，包括输出内容 接下来分别介绍一个各个部分的格式和内容。

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。