搜索中心

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。

近日，长亭科技雷池（SafeLine）产品通过了互联网安全研究中心测试，获得WEB应用防火墙OWASP认证证书！OWASP所推出的“OWASP Web应用防火墙认证”，是目前全球最全面的针对Web应用防火墙的认证，覆盖包括检测能力、防御能力、性能、自身安全、用户习惯等多个方面的WAF产品各个方面的综合测试，被视为WEB应用安全领域的权威参考。

安装雷池社区版后，若选择 “加入 IP 情报共享计划”，雷池将定时自动聚合攻击 IP 数据（只有攻击 IP，不涉及任何敏感信息）发送到长亭百川云平台。 长亭百川云平台收到来自五湖四海的社区版兄弟们共享的 IP 情报，使用算法进行汇总和优选，生成雷池社区黑 IP 库，最终再回馈给社区。

近期，Apache Kafka官方发布关于Apache Kafka Connect JNDI注入漏洞（CVE-2023-25194）的通告。这一漏洞需要低版本的JDK或者目标Kafka Connect系统中存在利用链，但由于该漏洞触发条件非常苛刻，几乎找不到可以利用的触发点。 经过长亭安全研究团队分析漏洞后，发现Apache Druid正好符合Kafka CVE苛刻的利用条件，可以成功触发远程代码执行漏洞。

近日，微步在线发布安全通告文章，声明瑞友天翼应用虚拟化系统修复了一处远程代码执行漏洞。 长亭应急团队分析漏洞后，根据漏洞原理编写发布了两款检测工具，分别支持远程检测和本地检测，供大家下载自检使用。

WAF 是 Web Application Firewall 的缩写，也被称为 Web 应用防火墙。区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。 开源 WAF 和商用 WAF（奇安信、绿盟、长亭、安恒这类）肯定是有区别的，商用 WAF 一般都是一套成熟的网站流量安全解决方案，而开源 WAF 更像是台式电脑的 CPU，他给你核心的算力，核心的实现，但是整体方案搭起来如何，完全看玩家个人手法。

近期，长亭科技监测到猎鹰安全（原金山安全）官方发布了新版本修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞可通过SQL注入实现文件写入实现远程代码执行的效果。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

Ecology 官方在 4 月 18 日发布了补丁更新，修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。

产品

长亭应急响应服务

长亭科技

5

0

帮助企业机构合理应对安全突发事件，减小负面影响。

在攻防演练中，很多时候都会给一堆的目标单位，此时攻击队需要先一步步收集这些目标单位的资产比如找备案对应的域名，然后再进行子域名爆破，网站识别，包括指纹识别再发现脆弱点## 等等一系列繁琐的过程。而用长亭云图，只需要输入一个目标单位的名字，即可一键做到上述几点，大大节省了红队的信息收集的时间。

产品

长亭第二代防火墙

长亭科技

10

0

第二代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备

告诉你们一个震撼人心的消息，那个检测能力超强的 WAF——长亭雷池，他推出免费社区版啦，体验地址见文末。

厂商

长亭科技

88

1

长亭科技坚持以技术为导向，历经数年研发，在全球范围内，首发基于语义分析的非规则运算引擎，颠覆了传统Web应用层的安全防护原理，为企业用户带来更快、更精准、更智能的产品及服务。 长亭科技是一家快速成长的互联网安全初创企业，创始人主要来自清华大学。总部位于北京，其客户涵盖了互联网金融，电商，银行等多个领域。长亭科技以技术为本，2015年4月，长亭科技推出一款新型 SQL 注入检测与防御引擎，将机器学习等方法应用在防御SQL注入领域，提高了对SQL注入攻击的防御能力。长亭科技业务包括安全服务，安全产品研发以及前沿攻防技术与漏洞研究。其中安全服务为主营业务，旨在通过其雄厚的技术水平，为互联网企业提供可靠、专业的安全服务和网站安全的解决方案，帮助客户减少因互联网安全问题而造成的损失。

这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

产品

长亭数据库审计平台

长亭科技

15

0

长亭数据库审计平台通过交换机旁路镜像的方式，全程记录网络中一切对数据库的访问行为。通过对访问数据的分析、过滤和解析 记录用户访问数据库所做的所有操作以及返回的结果，形成审计日志 , 便于事后查询与追责。除审计功能外，长亭数据库审计平台还加强 了对数据库运维相关的管理与审计管控功能，实现对数据库多角度的安全管理。

产品

长亭渗透测试服务

长亭科技

10

0

拥有专业技术团队，采用攻击者视角，通过模拟入侵识别评测目标中的不安全因素， 优先攻击者发现系统漏洞并协助企业进行修复，防患于未然。

产品

长亭上网行为审计系统

长亭科技

29

0

长亭上网行为审计系统是一款高性能，高可用性、功能丰富的网络优化及行为管理审计设备。产品具有良好的网络适应性并满足公安部151号令、网络安全法和等保2.0等相关要求，可满足用户可视、可控、可审的核心需求。可广泛应用于政府、教育、医疗、能源、民企、运营商等各类行业。

产品

长亭代码审计服务

长亭科技

8

0

挖掘代码中的不安全因素， 解决系统安全隐患。

产品

长亭基线检查服务

长亭科技

13

0

补齐安全短板，提升企业安全系数。

产品

长亭安全竞赛服务

长亭科技

11

0

网络安全的本质是人与人之间的攻防对抗。人，是真正意义上网络安全的防线终局！

产品

长亭运维审计与管理平台

长亭科技

14

0

长亭运维审计与管理平台是集用户管理、授权管理、认证管理和综合审计于一体的集中运维管理系统。能够为企业提供集中的管理 系统，减少系统维护工作；提供全面的用户和资源管理，减少企业维护成本;制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源安全;详细记录用户对资源的访问及操作，达到对用户行为全面审计的需要。

长亭WAF雷池社区版联动企业微信报警

产品

长亭入侵检测防御系统

长亭科技

13

0

长亭入侵检测防御系统（CT-IDP）是一款边界安全防护网关系统，可对网络攻击类、信息破坏类、有害程序类和漏洞类攻击行为有效发现并阻断。

产品

长亭日志审计平台

长亭科技

18

0

发生安全事件和系统故障时，确保日志完整性和可用性，协助管理员快速定位故障，并提供客观依据进行追查和恢复。

长亭应急团队监测到CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。 经过分析漏洞后，发现公网仍有较多系统未修复漏洞，长亭应急团队根据该漏洞的原理，编写了X-RAY远程检测工具和本地检测工具供大家下载使用，同时在文章中提供了排查该资产的方式。

近期，长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入，仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具，目前已向公众开放下载使用。

近期，长亭科技监测到Smartbi发布新补丁，修复了一处权限绕过漏洞。 长亭应急团队经过分析后发现该漏洞类型为权限绕过，仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测工具，目前已向公众开放下载使用。

上周，长亭科技发布了核心产品雷池的免费社区版 —— https://waf-ce.chaitin.cn/。 长亭雷池 WAF 的核心技术是智能语义分析检测算法，作为雷池的产品经理，今天我来科普一下雷池智能语义分析检测算法的和绕过思路。

近期，长亭科技监测到Citrix官方发布了新补丁修复了一处敏感信息（会话令牌）泄露漏洞。 长亭应急团队经过分析后发现可通过缓冲区溢出漏洞导致敏感信息泄露。考虑到Citrix NetScaler设备在网络中的核心作用，建议及时修复漏洞。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

非常感谢长亭科技发布的优秀产品--长亭雷池社区版，产品很好用，但是目前仅支持单机 Docker 部署方式，本文将介绍如何通过手动 DIY 改造，使雷池社区版支持在 K8s 中进行部署。

近期，长亭科技监测到微步在线发布一则漏洞通告，声明金蝶云星空发布补丁修复了一处反序列化导致的远程代码执行漏洞。 长亭应急团队经过分析后发现该漏洞类型为不安全的反序列化，仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测工具，目前已向公众开放下载使用。

近期，长亭科技监测到Openfire发布新版本修复了一个漏洞。长亭应急团队经过漏洞分析后，发现该漏洞类型为后台权限绕过，可利用其实现RCE。而公网仍有较多相关系统尚未修复漏洞。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，目前工具已向公众开放下载使用。

产品

问津

长亭科技

21

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

产品

百川网站安全监测

长亭科技

17

0

一款专门为有站点检测需求的用户打造的监测工具，能够有效地监测用户配置的站点可用性、SSL证书合法性、过期时间以及网站路径扫描等功能。

产品

洞鉴 X-RAY

长亭科技

30

0

洞鉴是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，实现资产风险闭环管理的安全评估系统。

产品

全悉 T-ANSWER

长亭科技

34

0

全悉（T-ANSWER）高级威胁分析预警系统是一款聚焦网络流量检测的新一代全流量威胁检测与响应平台，可为用户安全防御构建流量检测、狩猎、溯源、响应的全流程体系，快速有效应对蔓延升级的各类网络威胁及风险挑战。

产品

xapp

长亭科技

134

0

专注于web指纹识别的工具

产品

xray

长亭科技

11

0

一款完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档

产品

xpoc

长亭科技

17

0

为供应链漏洞扫描设计的快速应急响应工具

产品

牧云主机安全平台

长亭科技

166

0

牧云主机安全管理平台集资产管理、入侵检测、风险感知三大维度20余项防护功能于一体，形成具有精准预测、实时监测、快速检测、多维分析、自动响应的安全管理体系，帮助企业全方位掌握服务器安全态势。

产品

rad

长亭科技

11

0

一款专为安全扫描而生的浏览器爬虫

厂商

蔷薇灵动

26

0

北京蔷薇灵动科技有限公司（简称“蔷薇灵动”）成立于2017年，主要专注于网络安全领域微隔离技术的前沿探索与研究，凭借专业的产品与服务为数据中心用户提供东西向（内部）流量解决方案，是零信任技术领域长期主义者。

厂商

帕拉迪

11

0

杭州帕拉迪网络科技有限公司成立于2005年，深耕数据中心安全与智能领域，专注于管理安全、数据库安全、日志大数据分析三大细分领域。公司秉承“垂直专精”的技术发展理念，深耕全球利基市场，坚持以市场为导向，是全球领先的数据中心安全与智能领域综合解决方案提供商。总部位于浙江杭州，全球营销中心设置在香港，在北京、上海、广州、深圳、南京、成都、武汉、西安、郑州、济南、长沙、福州、厦门、石家庄等地均设有办事处，在合肥、太原、苏州、南昌、重庆、贵阳、昆明等地设立技术服务中心并且率先建立技术认证体系，已有认定工程师3000+。

厂商

华顺信安

14

0

北京华顺信安科技有限公司是一家以网络空间测绘技术为基础，聚焦于安全大数据和网络空间资产安全的高科技企业。华顺信安从网络空间资产维度出发，洞察网络空间安全本质，在为国家网络空间防线提供基础安全能力支撑，同时以优质的产品和服务帮助政府和企事业单位增强实战能力，优化网络安全防护体系。华顺信安公司总部位于北京，在上海、深圳、长沙、成都、武汉等多地设有分支机构。目前，华顺信安已经完成C轮融资，融资规模达数亿元。