搜索中心

产品

信息安全风险评估服务

安恒信息

133

0

信息安全风险评估服务

产品

信息安全咨询规划服务

安恒信息

119

0

信息安全咨询规划服务

厂商

迪普

259

0

杭州迪普科技股份有限公司（简称“迪普科技”） 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业（股票代码：300768）。 作为国内信息安全产业的重要厂商之一，迪普科技是国家信息安全漏洞库一级技术支撑单位、信息安全标准化技术委员会成员单位、中国网络安全产业联盟常务理事单位。同时，公司获得国家知识产权示范企业、国家重点软件企业、国家高新技术企业等多项荣誉。 自成立以来，迪普科技坚持技术创新。公司拥有一支专业的软件开发及硬件逻辑开发团队，打造了独有的高性能分布式转发硬件架构和L2~7融合式操作系统。在此基础上，依托于安全研究团队十多年以来在攻防研究、漏洞挖掘、威胁情报分析、安全事件响应等技术积累，公司开发了具有自主知识产权的安全大数据处理引擎与AI智能分析引擎，结合主/被动安全检测、威胁情报、攻击建模等先进技术，构建了包括自安全网络、安全检测、安全分析、安全防护、安全服务、应用交付在内的产品体系，为客户提供全场景网络安全解决方案。 在云计算、大数据、物联网、工业互联等新技术蓬勃发展的当下，迪普科技凭借在产品研发、安全研究及服务方面的深厚积累，率先推出高性能、高融合的云级业务核心平台及以此为基础的云安全解决方案；率先推出以“接入可信、行为可控”为理念的物联网安全管控解决方案；创新性的推出了“可视、可防、易运维”的自安全园区网解决方案。迪普科技致力于帮助各行各业客户构建新一代网络安全威胁感知及防护体系，实现威胁可视、智能溯源、自动防护；通过风险评估、安全保障、安全加固、应急响应、攻防演练、安全培训等专业服务，为客户提供全生命周期的安全运营保障。 迪普科技的用户覆盖了政府、运营商、电力、能源、金融、交通、教育、医疗、企业等在内的各行各业，并承担了G20、APEC峰会、世界互联网大会等重大活动的网络安全保障支持。未来，迪普科技将继续在网络安全及应用交付领域持续投入，不断完善产品与解决方案，为客户创造更大价值。

产品

安全咨询

绿盟科技

184

0

绿盟科技安全咨询服务依据国家主管机构和行业监管机构的合规要求，并与丰富的行业实践经验相结合，协助客户建设以风险控制为核心的安全管控体系，整体提升信息安全管理成熟度，保障业务顺畅运营和战略达成。安全咨询服务主要包括：

产品

安全培训

绿盟科技

175

0

国内一流的安全人才解决方案提供者，围绕安全行业人才发展，通过具有行业前瞻性和全局性的信息安全课程和实战化高仿真的靶场平台，为人才发展提供其所需的知识和技能以及发展指引。 绿盟科技拥有近千人的业务销售团队，拥有行业内最丰富安全服务经验，常年在金融、运营商、能源、政府、企业等行业为客户提供高端安全服务项目，积累和开发了丰硕的安全技能知识库，并进行了体系化的归纳总结，孵化出安全人才发展路线图，为网络安全培训课程体系及解决方案打下坚实的基础。 绿盟科技总结20年来网络安全领域的技术积累和实战经验，致力于提供领先的人才培养体系和安全认证标准，培养网络安全专业人才，构建人才生态战略，已累计为近千家企业提供过培训服务。2021年一年仅国内外顶级第三方培训认证培训人数超过1000人/次。累计安全培训人数超过10000人次；年平均培训人数超过2000人次。

厂商

长亭科技

403

1

长亭科技坚持以技术为导向，历经数年研发，在全球范围内，首发基于语义分析的非规则运算引擎，颠覆了传统Web应用层的安全防护原理，为企业用户带来更快、更精准、更智能的产品及服务。 长亭科技是一家快速成长的互联网安全初创企业，创始人主要来自清华大学。总部位于北京，其客户涵盖了互联网金融，电商，银行等多个领域。长亭科技以技术为本，2015年4月，长亭科技推出一款新型 SQL 注入检测与防御引擎，将机器学习等方法应用在防御SQL注入领域，提高了对SQL注入攻击的防御能力。长亭科技业务包括安全服务，安全产品研发以及前沿攻防技术与漏洞研究。其中安全服务为主营业务，旨在通过其雄厚的技术水平，为互联网企业提供可靠、专业的安全服务和网站安全的解决方案，帮助客户减少因互联网安全问题而造成的损失。

产品

RayGate 网络资产安全治理平台

远江盛邦

119

0

网络资产安全治理平台(RayGate)是一套围绕资产梳理、备案管理、监控防护进行综合治理的平台。

产品

风险评估

知道创宇

130

0

帮助企业系统分析资产所面临的威胁，及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。并提出有针对性的抵御威胁的防护对策、整改措施。为防范和化解风险提供科学依据。

产品

重大活动安保服务

安恒信息

138

0

自2008年至今，安恒信息共参与近百场国家重大活动的网络安保，多次承担安保组长、安保中坚力量的职责，确保网络安保工作万无一失。

产品

天融信红蓝对抗服务

天融信

209

0

借鉴于军事对抗演习的概念，天融信红蓝对抗服务是指针对企业的指定信息设施和系统，在指挥方的统一设计和监督下，采用红蓝两方对抗形式进行网络攻防演练的专业技术服务。

产品

RayScan 一体化漏洞评估系统

远江盛邦

202

0

一体化漏洞评估系统（RayScan）是盛邦安全结合多年的漏洞挖掘和安全服务实践经验自主研发的综合漏洞发现与评估系统。

产品

洞鉴 X-RAY

长亭科技

434

0

洞鉴是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，实现资产风险闭环管理的安全评估系统。

产品

STORK 软件成分分析平台

蜚语科技

118

0

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分， 更加精确的发现三方漏洞与License风险。

产品

ZoomEye

知道创宇

208

0

ZoomEye Pro集合全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能为一体的综合的网络空间资产安全管理系统

产品

安恒容器安全检测平台

安恒信息

209

0

容器安全检测平台基于DevOps全生命周期安全防护理念，为容器技术提供全方位的安全保障。平台涵盖开发、构建、部署、运行等阶段，通过镜像风险扫描、行为模型分析、威胁狩猎溯源等技术手段，建立全生命周期安全防护体系。

产品

等保合规咨询服务

知道创宇

177

0

知道创宇安全专家帮助客户快速、省心通过等保2.0合规，客户享受一站式等保咨询服务，包括完备的攻击防护、数据审计、数据备份、加密、安全管理服务。帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。

产品

全悉 T-ANSWER

长亭科技

395

0

全悉（T-ANSWER）高级威胁分析预警系统是一款聚焦网络流量检测的新一代全流量威胁检测与响应平台，可为用户安全防御构建流量检测、狩猎、溯源、响应的全流程体系，快速有效应对蔓延升级的各类网络威胁及风险挑战。

产品

观安风控管理系统

观安

120

0

观安风控管理系统

产品

观安工业互联网态势感知系统

观安

157

1

观安工业互联网态势感知系统

产品

椒图主机安全环境系统

椒图科技

246

0

JHSE椒图主机安全环境系统（Jowto Host Security Environment System）是椒图科技自主研发的跨平台服务器安全加固产品。

产品

资产安全管理系统

观安

386

3

资产安全管理系统1

产品

明御运维审计与风险控制系统

安恒信息

146

0

明御运维审计与风险控制系统（简称：堡垒机或跳板机）是安恒信息结合多年运维安全管理理论和实际运维经验的基础上，结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等) 对运维管理的要求，并提供4A(认证Authentication、账号Account、授权Authorization、审计Audit)的统一安全管理方案。

本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢！

近日，长亭应急团队监测到泛微发布了新的安全漏洞补丁修补了多个漏洞，其中有两个漏洞值得关注，分别是信息泄露和任意用户登录，组合起来可以获取应用系统的任意用户权限。

近期，长亭科技监测到Citrix官方发布了新补丁修复了一处敏感信息（会话令牌）泄露漏洞。 长亭应急团队经过分析后发现可通过缓冲区溢出漏洞导致敏感信息泄露。考虑到Citrix NetScaler设备在网络中的核心作用，建议及时修复漏洞。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

长亭应急团队监测到CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。 经过分析漏洞后，发现公网仍有较多系统未修复漏洞，长亭应急团队根据该漏洞的原理，编写了X-RAY远程检测工具和本地检测工具供大家下载使用，同时在文章中提供了排查该资产的方式。

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。

厂商

四叶草

242

0

西安四叶草信息技术有限公司（简称：四叶草安全）专业的网络安全综合解决方案提供商。公司秉承“以攻促防”的安全理念，专注于漏洞风险检测、安全防御体系建设和攻防实战型人才培养，致力于帮助用户先于黑客发现并及时解决安全隐患，共同打造一个更安全、更便捷、更美好的互联网世界。研究领域包含网络安全、应用安全、移动终端安全、物联网安全、工控安全、云安全、数据安全、漏洞挖掘及利用技术研究、黑客技术研究、智能算法和基于图神经网络的业务安全等。

Ecology 官方在 4 月 18 日发布了补丁更新，修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。

厂商

观安

225

0

观安信息成立于2013年，是上海市高新技术企业、软件企业及“小巨人”培育企业。 观安信息拥有一支有20年重点客户信息安全服务经验、安全专业技术经验及大数据分析经验的团队，以及国内外优秀的信息安全、大数据分析优秀人才。现有员工300余人，公司核心发展方向是以大数据分析为基础，大数据分析+泛安全为业务主线，泛安全方向包括网络安全、信息安全、工业互联网安全、风控安全和公共安全几大核心方向。

【重点问题回顾】攻击面发现揭秘直播

厂商

爱加密

150

0

爱加密是专业的移动信息安全服务提供商，专注于移动应用安全、大数据、物联网及工业互联网安全，坚持以用户需求为导向、持续不断的创新，致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。爱加密的服务宗旨是通过革新性安全方案和7x24小时全天候的专业服务，打造和谐、强大、高度安全的万物互联生态环境。

厂商

北信源

63

0

北京北信源软件股份有限公司（股票代码：300352）是中国信息安全领域龙头企业，创立于1996年，注册资本14.5亿元，2012年在创业板上市，是首批信息安全领域的A股上市企业之一，是中国终端安全领域的市场领导者，信创安全领军企业。

厂商

江民科技

259

0

江民科技是中国较早的信息安全企业。1988年进军计算机反病毒领域，94年发布了第一款正版商用杀毒软件KV100，连续多年荣膺“国家高新技术企业”。公司在北京、武汉、杭州、石家庄等地设立了研发中心和AI安全技术研究院，并在全球多个国家建立了反病毒实验室和大数据病毒监测网。

厂商

易安联

69

0

国家级专精特新小巨人企业——江苏易安联网络技术有限公司是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”安全产品及解决方案提供商，公司总部位于南京，在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构，公司致力于成为国内零信任安全领导者！

厂商

椒图科技

144

0

椒图科技是国内著名服务器安全加固方案提供商，成立于2010年，在北京、深圳两地设有办公机构。椒图科技是国家级高新技术企业、计算机病毒防治技术国家工程实验室理事单位、国家网络与信息安全信息通报机制技术支持单位、公安部第一研究所战略合作伙伴。

厂商

数影星球

109

0

数影星球（杭州）科技有限公司成立于 2020 年 11 月，是一家技术领先的科技创新企业，专注于为企业提供一站式的办公安全方案。数影旗下拥有数影办公空间、数影安全浏览器、数影账号管家等多条产品线，满足企业信息安全、数据治理、隐私合规、账号管控、远程办公等场景下的安全和提效需求，让企业办公更安全、更高效、更智能！

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。我国正处在这个大潮之中，受到的影响越来越深。目前我国拥有7亿网民，保护信息安全变得越来越重要。幸运的是，有许多免费的安全工具可供选择去加强网络安全和数据隐私。今天和大家分享的是 “GitHub上活跃的十个国产安全工具”。

厂商

安芯网盾

275

0

安芯网盾作为内存安全领军者，以“保护数字世界的安宁”为使命，致力于为政府、金融、运营商、能源、轨交、教育、医疗、互联网及大中型企业等行业客户提供新一代主机实时防护的相关产品和解决方案，帮助企业实时防御并终止无文件攻击、0day漏洞攻击、内存马攻击等高级威胁，实现对通用及信创主机的全方位防护，有效保障用户的核心业务不被阻断，核心数据不被窃取，产品和解决方案深受客户与合作伙伴好评。

厂商

启明星辰

259

0

启明星辰信息技术集团股份有限公司成立于1996年，由留美博士严望佳女士创建，2010年启明星辰集团在深圳A股中小板上市（股票代码：002439）。经过二十余年的积累与沉淀，启明星辰集团已对网御星云、合众数据、书生电子、赛博兴安进行了全资收购，是网络安全产业中主力经典产业板块的龙头企业、新兴前沿产业板块的引领企业以及可持续健康业务模式和健康产业生态的支柱企业。

厂商

新华三

259

0

新华三集团是业界领先的数字化解决方案领导者，致力于成为客户业务创新、数字化转型最可信赖的合作伙伴。主营产品有路由器,大数据,交换机,物联网,云计算,服务器,SDN,NFV,智慧城市,数字经济,数字化转型,数据中心

【深蓝实验室】红队信息收集&移动安全从0-1

3月20日，MinIO 官方发布了安全补丁，修复了一处敏感信息泄露漏洞 CVE-2023-28432：https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q

敏感信息监测

厂商

安恒信息

125

0

杭州安恒信息技术股份有限公司（简称：安恒信息）成立于2007年，于2019年11月5日正式登陆科创板，股票代码：688023。自成立以来，安恒信息秉承“构建安全可信的数字世界”的企业使命，以“数字经济的安全基石”为企业定位，以“诚信正直、成就客户、责任至上、开放创新、以人为本、共同成长”为企业核心价值观，致力于成为全球领先的数字安全企业。

某公司平台系统存在敏感信息泄露漏洞，由于对swagger-ui未做好访问控制措施，导致攻击者可以通过swagger页面获取网站API信息，进而导致攻击者构造payload对系统API进行攻击。

预览

预览

277人阅读

2024-03-15

声明：本章内容大部分来自对互联网信息的整理，小部分自己写的，感谢原作者的奉献。由于时间有点久，且内容来源比较庞杂，故无法将引用来源一一列举，如果有引用到您的内容，请私信，我将会在文章之中关联或者做删除处理。本文为内部技术分享内容，现在分享给大家！

文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责

最近看到⼀些漏洞资讯越来越离谱，⼀些错误的信息竟可以互相转发却⽆⼈察觉，今天就分析⼀下漏洞。

如XX后台管理系统V2.0存在水平越权,由于应用系统中Id参数可控并未经校验导致信息被越权修改，攻击者可通过遍历Id参数批量更改其他用户数据及个人信息。

如题，由于是在已知有一处sql注入的情况下才接手进行的后续操作，因此前面信息搜集则一笔带过。

本文起源于一个生产问题。我们在生产环境用户信息表的create\_by字段看到了来自用户侧的输入，且未过滤特殊字符（注意到存在符号”+”），怀疑可能成为SQL注入点。

网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。

厂商

铱迅

39

0

南京铱迅信息技术股份有限公司（股票代码：832623。简称：铱迅信息，英文缩写：YXLink）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感，自主研发，努力创新，以“让客户更安全”为理念，致力成为在网络安全领域具有重要影响的企业。

厂商

知道创宇

237

0

北京知道创宇信息技术股份有限公司，是一家立足攻防一线，与客户并肩战斗，拥有“实战对抗”能力的网络安全公司。知道创宇成立于2007年，由数位资深安全专家创办，以“AI+安全大数据”为底层能力，为客户提供云防御、云监测、云测绘产品与服务。未来，知道创宇将致力于为客户提供安全网络。 知道创宇员工1800多人，总部位于北京，在北京、成都、武汉设有三大技术中心，国内销售和技术服务覆盖华北、华东、华中、西部、香港等地区，设有数十个分公司和办事处，可随时响应客户突发的各种安全需求。

厂商

安全狗

143

0

厦门服云信息科技有限公司（品牌名：安全狗）成立于2013年，致力于提供云安全领域相关产品、服务及解决方案，是国内最早引入云工作负载安全（CWPP）概念，并成功构建相应产品线的专业云安全厂商。目前拥有数十项产品专利及著作权证书，产品能力获得信通院、公安三所、Gartner、CSA、IDC等多个国内外权威机构的认可。

厂商

瑞数

192

0

瑞数信息 ( River Security ) 成立于2012年，专注网络安全领域的前沿技术创新和产品研发。公司总部位于上海，在北京、广州、成都、深圳、南京等20多个城市设有分公司、办事处和服务团队， 并在成都、上海和北京分别设有研发中心和研发团队。目前业务覆盖三大运营商、金融、政府、制造、能源、交通、医疗、教育、电商互联网等众多行业。 作为中国Bot自动化攻击防护领域的创新和引领者，瑞数信息自2012年成立以来迅速成长，产品已实现销售额数亿元，覆盖三大运营商、银行、证券保险、制造、电商互联网、政府、交通、能源等行业上千家客户。 面对未来安全形势中的各种未知和挑战，瑞数信息有信心，更有实力让企业领先威胁一步，让安全领先攻击一步！

厂商

明焰安全

245

0

广州奇盾信息技术有限公司是一家拥有独立知识产权、立足自主创新的高科技企业，同时也是具有高校科研背景的云原生安全和主机终端安全产品的独立厂商。

整个 POC 大致可以分为 3 部分： 名称： 脚本名称, string 类型 脚本部分：主要逻辑控制部分，控制着脚本的运行过程 信息部分：主要是用来声明该脚本的一些信息，包括输出内容 接下来分别介绍一个各个部分的格式和内容。

厂商

青藤云安全

279

0

青藤云安全（简称“青藤”），成立于2014年，属于北京升鑫网络科技有限公司。品牌所属公司员工人数900+，以北京总部为中心，以武汉光谷、北京亦庄两大研发中心为支撑，业务辐射全国34个省级行政区，品牌业务主要聚焦于关键信息基础设施领域的安全建设，为政企客户提供新一代的安全产品和安全服务，覆盖云安全、数据安全、供应链安全、流量安全等众多领域；品牌用户覆盖政府、金融、运营商、能源、电力、制造、互联网等行业。