搜索中心

Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备漏洞利用功能。

预览

预览

预览

预览

57人阅读

2024-07-13

Packer Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。

预览

预览

预览

预览

103人阅读

2024-06-27

一文详细了解漏洞扫描(挖洞)工具afrog，安装及异常解决方案，使用说明包含有/无漏洞区别，怎么查看漏洞报告。

预览

预览

预览

预览

338人阅读

2024-07-04

自动帮你整理昨日错过的26篇原创技术好文

预览

预览

预览

预览

96人阅读

2024-08-07

从一个行商，变成一个坐商，你的效率和 deal flow 肯定会更好。

当你把所有事情都做对了，你就错了。

Virus Bulletin 2023 开完近半年后，终于迎来对议题的盘点。

爱确实存在过。

什么是未授权访问漏洞？

预览

预览

预览

预览

50人阅读

2024-06-29

新颖的基于LLM的多智能体框架中潜在的知识传播风险是如何产生的？

预览

预览

预览

预览

43人阅读

2024-07-27

6月2日，第十期安全范儿沙龙，不见不散

150计划： 买入一份医疗C（场外012323）（存在自目前价格下跌幅度达20%的可能性） S计划： 买入一份医疗C（场外012323）（存在自目前价格下跌幅度达20%的可能性） 大概是去年这个时候开始，我们开始买中证医疗。 最终在它自最高点下跌50%左右的时候，我们的长线和波段各建立了3份的仓位，一共6份。 然后，它又跌了20%。 之前我说不再买入医药或者医疗。但今天再买一份，有几个理由，你听我说。 第一，由于下跌，医药医疗的仓位自然下降，有补足的空间。 第二，2月、3月减持了两份别的品种，资金回笼。今天买入，整体并未加仓。 第三，医疗目前的市净率已经是2008年底金融危机以来，按月计算最低。同时，技术层面看，2月初的低点有一定支撑的可能。 第四，按照时间空间理论，我们距离上一次买入已经过了8个月，空间已经到了20%，继续买入一份波段非常合理。 我知道这一年的持仓，让很多朋友已经感到很不舒服。但实际上，金融投资买入一个品种，一年不挣钱，下跌十几个点，尤其是在这个品种跌了70%，从历史看一点都不贵的情况下，真的非常正常。 一个品种下跌70%，你浮亏十几个点，我认为已经控制的不错。那如果你说一定要买在最低，可能确实很难。要怎么买才能保证所有品种买了就涨不会出现浮亏呢，我想来想去，也没有一个答案。 2020年，中证医疗估值超过90倍，PB超过10倍，两年涨了244%的时候，我们持有的中证红利已经是第一大仓位的品种，但它依然不涨。有人就问我，为什么要买红利这种不涨的辣鸡？ 然后，2021年到2024年，中证红利四年中涨了三年，不断的新高，医疗已经跌了70%。 现在，也有很多人在问我，为什么要买医药医疗这种不涨的辣鸡？这辈子还能回本吗？ 我的答案是： 只要交易所不关门，只要证券市场不出现几十年未见的大变局导致全面重来——不赚钱的概率真的不大。 你的成本如此之低。 特别提示： 本次场外基金交易内容并非为非长赢投顾客户提供任何投资建议，且发车品种仅针对场外基金投资，请勿根据发车信息进行任何场内操作。基金投资组合策略的风险特征与单只基金产品的风险特征存在差异。投资者应自行阅读相关法律文件，自行作出投资选择。

150计划： 卖出一份黄金（场外000216） S计划： 卖出一份黄金（场外000216） 这一份黄金的投资收益率，如果按照2017年的买入算，是70%左右。如果按照2019年买入的计算，是52%左右。 如果时光可以倒流，我们会不会多买几份呢。又或者2020年那份是否不会卖出？这一次的投资黄金经验会继续累积，但回到过去，大概率依然不会做的更好。因为那个时间，我们就是那个水平。不能用现在已经知道的未来，去苛责在过去面对未来迷雾的自己。 目前黄金涨势很好，也有很多专家说未来美联储降息会导致黄金继续大涨。但我想，做事总是不要做尽。一条鱼总不能自己从鱼头吃到鱼尾。你赚初一，我赚十五，也要留些钱给别人赚。 所以既然别人抢，就给他们吧。我们继续去捡没人要的辣鸡。 特别提示： 本次场外基金交易内容并非为非长赢投顾客户提供任何投资建议，且发车品种仅针对场外基金投资，请勿根据发车信息进行任何场内操作。 基金投资组合策略的风险特征与单只基金产品的风险特征存在差异。投资者应自行阅读相关法律文件，自行作出投资选择。

150计划： 卖出一份纳斯达克100（场外270042） S计划： 卖出一份纳斯达克100（场外270042） 去年美股大跌后，我们分别在去年11月和今年1月买入了两份纳斯达克。 托各位的福，目前这两份持仓8个多月，综合收益在37%左右。 通常来讲卖出比买入难很多。 主要原因是指数跌起来是有底的，而上涨没有顶。就像一克黄金无论怎么跌，都很难跌破10块钱甚至50块钱。但涨起来是没有上限的，因为你无法猜测人类有多么疯狂。 所以一般来说，买入可以用左侧，而卖出则要综合考虑。综合的因素非常多，不一一说明。 正常情况下A股品种我会主要用左侧卖出，因为A股相对来说有一些比较独特的规律。包括估值和技术层面。 但美股左侧卖出就非常不好用。因为美股的特点与A股完全不同，你觉得它高了，结果它会更高。对于美股，我比较喜欢价值+右侧。 然而无论左侧还是右侧，大概率都卖不到最高点。当然我们的计划有一些品种确实卖到了最高点，只是那些运气成分居多，你是很难总结出切实可行的，可以卖在最高点的规律的。 所以纳指这次回撤了几个点才卖，没有卖在最高，希望朋友们不要怪罪。确实是因为能力有限。 特别提示： 本次场外基金交易内容并非为非长赢投顾客户提供任何投资建议，且发车品种仅针对场外基金投资，请勿根据发车信息进行任何场内操作。 基金投资组合策略的风险特征与单只基金产品的风险特征存在差异。投资者应自行阅读相关法律文件，自行作出投资选择。

150计划： 买入一份沪深300C（场外005658）（存在自目前价格下跌幅度达40%的可能性）  S计划： 买入一份沪深300C（场外005658）（存在自目前价格下跌幅度达40%的可能性）  8月买完最后一份医疗后，这两个月我们没有买入任何东西。 这几个月我们除了逢低买入医药医疗外，也没有买入任何东西。相反，我们逢高减持了信息、传媒、标普、纳斯达克、券商、中证500等。 现在市场跌到了这个份上，我们稍微买入一点沪深300，做波段。因为现在的300，到了一个相对关键的支撑位。 如上图所示，第三轮ETF计划对于沪深300的交易非常清晰。 买入点是2016年6月低位、2018年下半年低位、2019年5月低位、2023年接回2021年初高位抛出的一份。 我们的300从未在高位追高，几乎全都是低位买入。但是很明显，收益率并不高。一个36%，一个20%多。 为什么呢，很简单，你看看沪深300本身在我们开始计划后涨了多少？ -17%。 我们不断坚持低位买入，高位绝对不追，也依然赚不了太多。这几年来，沪深300指数居然还下跌了接近20%，真是让人情何以堪。如果是追高或者“定投”买入，会非常惨烈。 以我们的买入风格，很难亏损。因为我们买的太低了，成本控制的太严格了。但是，各位看图，买的低，也只能保证很难亏损。想要赚大钱，还需要高位卖出。 在300这个品种上，我们卖出做的不好。在2021年最高点，我们卖出了很多上证50，但是没有卖多少沪深300。究其原因，我还是过于相信指数增强基金的能力了。我原以为指数增强能在调整中控制好跌幅…… 事实证明，靠谁都不如靠自己。这一波300的经历，也让我更加坚定了一些A股的投资原则—— 很多情况下，不要总是相信“长期投资”。 要相信价值、技术、信仰。 今天，买入一份沪深300C，开始我们的300波段之旅。 但是请一定做好可能继续调整的心理预期。我们尝试买入，并不意味着我们认为这里一定是大底铁底。 低位买入是信仰，有节奏的买入是智慧。 特别提示： 本次场外基金交易内容并非为非长赢投顾客户提供任何投资建议，且发车品种仅针对场外基金投资，请勿根据发车信息进行任何场内操作。 基金投资组合策略的风险特征与单只基金产品的风险特征存在差异。投资者应自行阅读相关法律文件，自行作出投资选择。

150计划： 买入一份全球医疗保健（场外000369）（存在自目前价格下跌幅度达35%的可能性） S计划： 买入一份全球医疗保健（场外000369）（存在自目前价格下跌幅度达35%的可能性） 对我们来说，买QDII没有那么简单。 上个月底我在微博说了，非常想买一个QDII，但是沟通后发现，还是不能买。 那个品种12月涨了十几个点，场内同类基金涨了接近30%。 能不能买一个QDII品种，我需要考虑包括但不限于以下因素： 第一，规模。 无论投资A股的还是QDII基金，2-3个亿以下的我们根本没法买，一份都买不了。或者150和S只能择其一。这是因为交易规则的限制。 第二，限购。 海外基金因为外汇额度的原因，很多时候会限购甚至关闭申购。关闭就不用说了，限购到一两万的我们都不能买。最少也要10-30万起。 第三，只能场外。 有朋友说，场外这么多麻烦，为什么不能场内？ 如果是自己的基金，悄悄的慢慢的买场内没问题。发出来引起波动，这个责任承担不起。 第四，后续补仓。 谁也不能保证自己买入后就一定会立即上涨。如果下跌，甚至跌到20%-30%，那么就可以补仓。浮亏会大幅下降，回本就会非常容易。 我们买QDII，一个是规模，一个是随时关门，就会非常被动。也就是说，必须一笔买在最低区域才行，因为绝大多数时候几乎没有补仓空间。这太难了。很多朋友的心理素质真的没那么强，你让他看着账户里下跌20%的品种，他会崩的。 还有很多问题，就不一一说了。 考虑完这些，我才可以从价值和技术，以及汇率的角度，去考虑什么时候买。 我们每天持续观察的，有可能买的QDII品种大概有几十支。但实际上能够买的不超过5支。 今天买的这个，我惦记好几年了。因为以上的原因，一直没有买。 这次结合它的各种情况，以及全球医药股票的状态，小买一份。您可以自己斟酌是否参考。丰俭由人。 希望未来跌多了可以多买点。 刚才看，前几天买的环保也已经挣钱了，今天截至发车时还是大涨呢。为大家高兴，祝大家赚钱快乐，不赚钱的时候也开开心心的。 特别提示： 本次场外基金交易内容并非为非长赢投顾客户提供任何投资建议，且发车品种仅针对场外基金投资，请勿根据发车信息进行任何场内操作。 基金投资组合策略的风险特征与单只基金产品的风险特征存在差异。投资者应自行阅读相关法律文件，自行作出投资选择。

我们不怕竞争，甚至欢迎竞争，但是只欢迎有意义的竞争，低层次的竞争甚至是抄袭，就算了吧，甚至会指名点姓让你下线，毋论是不是大厂，我只看产品。

产品

fscan

171

0

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。

预览

预览

预览

预览

产品

nuclei

167

0

基于简单 YAML DSL 的快速且可定制的漏洞扫描程序。

预览

预览

产品

天织DNS威胁分析平台SaaS服务

易安联

73

0

天织·DNS威胁分析平台 是专为企业办公网终端抵御安全威胁设计的轻量级SaaS产品，集DNS稳定解析、威胁检测与防御、上网行为管理等功能与一体。为企业用户提供稳定、智能的DNS解析服务，也是新一代企业安全递归DNS服务。

产品

应用安全渠道监测

启明星辰

82

0

启明星辰提供的应用安全渠道监测服务，利用大数据分析和高效爬虫技术，全面覆盖主流移动应用市场，实现7x24小时监控，及时发现并预警盗版、钓鱼等安全威胁，有效提升APP运营安全防护，降低企业运营成本，保护公司信誉。

产品

云甲 - 云原生容器安全管理系统

安全狗

78

0

云甲·云原生容器安全管理系统——基于云原生安全（CNAPP）的概念，在整个云原生容器的安全生命周期中，采用自动检测、自动分析、自动处理的方式防御安全威胁。

产品

业务支撑管理系统

启明星辰

78

0

启明星辰推出的泰合信息安全运营中心系统—业务支撑安全管理系统（TSOC-BSM），基于多年信息安全与IT资源监控经验，集成IT综合网管、业务监控、虚拟化监控和安全分析功能，实现智能化日志分析、云环境监控，提供全方位性能监控和最小化对用户网络业务影响的解决方案，助力企业提升IT运维效率和业务系统可用性。

产品

Viper 炫彩蛇

148

0

互联网攻击面管理&红队模拟平台

预览

预览

预览

预览

产品

Corax 社区版

蜚语科技

208

0

Corax社区版是一款针对Java项目的静态代码安全分析工具，其核心分析引擎来自于Corax商业版，具备与Corax商业版一致的底层代码分析能力，并在此基础上配套了专用的开源规则检查器与规则。

产品

大观 MSS 安全托管服务

长亭科技

386

2

通过安全运营平台将企业安全设备产生的威胁日志进行远程监控、分析研判、响应处置达成闭环，为客户提升防护水平，降低运营成本。

预览

预览

预览

厂商

吉大正元

63

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

安全大模型

产品

DSC数据安全大脑

深信服

76

0

深信服数据安全大脑DSC

产品

问津

长亭科技

181

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

产品

知道创宇ScanV

知道创宇

115

0

基于AI+大数据的下一代网络安全监测治理平台.

产品

ENScan_GO

141

0

一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。

预览

预览

预览

预览

产品

天融信VPN

天融信

209

0

天融信VPN系统可以服务于各类大型单位、分支机构、移动办公员工、业务合作伙伴以及有需求的用户，提供更加全面高效的安全接入服务。产品全面支持主流浏览器、提供安全监控主屏等功能，让用户接入方便快捷，同时提供了直观的监控体验。客户端提供病毒查杀、人脸识别登录等功能，为用户的接入安全提供更好的保障。

产品

创宇盾

知道创宇

103

0

知道创宇云防御拥有大量的黑客攻击样本库，创宇盾利用知道创宇网络空间搜索引擎ZoomEye、Seebug漏洞社区及7X24小时实时防御的上百万业务系统数据，帮助包括互联网企业、政府机构、民营企业建立全方位防御体系，覆盖Web业务系统、门户网站、Web API、移动APP、小程序、AI大语言模型（LLM）等多种应用场景，提供持续高可靠的攻击防护能力。

产品

天玥数据库审计与防护系统

启明星辰

123

0

启明星辰的天玥数据库审计与防护系统，利用大数据分析技术，监控数据库访问行为，发现违规操作，定位责任人，保障数据安全。支持多种数据库类型，提供审计报告和智能告警，满足内控和法规要求，降低数据泄露风险。

厂商

恒安嘉新

70

0

提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品，服务于产业互联网的科技工程企业，5G 时代的大数据智能运营专家

产品

工控态势感知

启明星辰

73

0

启明星辰的工控态势感知系统，基于大数据架构，提供海量信息采集、存储、分析和态势呈现。系统深度识别工控网络协议，多维度可视化分析，智能关联分析，满足等级保护和信息安全管理体系要求，广泛应用于石化、电网等关键领域，助力用户掌握网络连接关系，迅速发现异常，实现安全风险全生命周期管理。

产品

态势感知平台

启明星辰

171

0

启明星辰的网络安全态势感知平台，基于安全大数据，结合先进的数据采集技术，为用户提供全方位、全天候的网络监控和威胁分析。平台支持资产采集、流采集等多种数据收集方式，通过大数据分析，实现网络状态监控、威胁判定、事件处置等，提升安全运营能力。适用于监管机构、金融行业和工业互联网企业，有效解决安全监控、威胁情报转化等难题，增强网络安全防护。

产品

RayNGTAP 下一代流量复制汇聚平台

远江盛邦

78

0

下一代流量复制汇聚平台（RayNGTAP）是为应对大数据监测业务、流量分析业务、网络安全监控监管等需求而设计的一款专用、纯芯片处理、高速可靠的硬件流量协议处理设备。

厂商

东方通

53

0

东方通，中国中间件的开拓者和领导者，国内领先的大安全及行业信息化解决方案提供商。

产品

雷火 - Webshell 检测系统

青藤云安全

126

0

高检出、低误报、防绕过、一键检测，青藤雷火被誉为“Webshell大杀器”，在强对抗环境下，Webshell检测率高达99.99%。

厂商

海云安

56

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

海泰方圆

53

0

北京海泰方圆科技股份有限公司是一家以密码全能力和可信数据治理为核心，全面服务于网信大时代的领军安全企业。

厂商

明朝万达

60

0

北京明朝万达科技股份有限公司成立于2005年，是中国新一代信息安全技术企业的代表厂商，专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务。

厂商

零零信安

111

0

北京零零信安科技有限公司成立于2020年，是国内首家专注于外部攻击面管理（EASM）的网络安全公司。基于大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念，为客户提供基于攻击者视角的外部攻击面管理技术产品和服务。

厂商

天融信

343

1

天融信是上市公司中成立最早的网络安全企业，亲历中国网络安全产业的发展历程，如今已从中国第一台商用防火墙的缔造者成长为中国领先的网络安全、大数据与云服务提供商。

厂商

永信至诚

120

0

永信至诚成立于2010年，主要从事网络安全前沿技术研究、产品研制和安全服务。依靠专业的网络安全渗透测试技术和健全的技术预研、产品研发、服务支撑三大体系，奠定网络安全行业一流专业品牌的市场地位。

厂商

数安易科技

95

1

数安易科技是新一代的数据安全公司，核心团队来自业内著名数据安全厂商和百度、京东等大厂，具备十多年的数据安全产品研发和销售经验。自研的新一代数据安全产品如数据库审计、数据库安全运维、数据脱敏、数据加密、数据资产管理平台等产品广泛运用于运营商、金融、政府、军工、医疗、能源等重要行业客户，广受好评。

厂商

慧盾安全

63

0

慧盾安全致力于数据安全整体解决方案的研发、销售和服务，主营业务为视频安全、大数据安全。

厂商

联软科技

85

0

联软科技创立于2004年，拥有1000多名员工，专注于企业级网络安全市场，聚焦防勒索(入侵)、防泄密、数字化安全新基建三大核心赛道全速向前

厂商

观安

142

0

观安信息成立于2013年，是上海市高新技术企业、软件企业及“小巨人”培育企业。 观安信息拥有一支有20年重点客户信息安全服务经验、安全专业技术经验及大数据分析经验的团队，以及国内外优秀的信息安全、大数据分析优秀人才。现有员工300余人，公司核心发展方向是以大数据分析为基础，大数据分析+泛安全为业务主线，泛安全方向包括网络安全、信息安全、工业互联网安全、风控安全和公共安全几大核心方向。

厂商

任子行

55

0

任子行立志于围绕国家在网络空间治理和网络安全保障方面的战略需求，从网络犯罪治理、信息安全治理、网络安全治理三大领域入手，突破网络空间安全治理支撑性关键技术。

厂商

美创科技

61

0

美创科技聚焦数据为中心，形成数据安全、运行安全、数据流动三大产线布局及数据运维和安全服务，持续为每一位用户的数字化转型安全护航。

厂商

帕拉迪

88

0

杭州帕拉迪网络科技有限公司成立于2005年，深耕数据中心安全与智能领域，专注于管理安全、数据库安全、日志大数据分析三大细分领域。

厂商

宝塔

145

0

广东堡塔安全技术有限公司(以下简称堡塔)正式成立于2017年，专注于服务器运维效率及运维安全领域，主要为中小型企业及政企单位还有需要使用服务器的团队提供新一代的服务器运维产品和服务。凭借持续的研发投入及不断的创新迭代，堡塔已发展为产品体系比较完整的的服务器运维软件供应商。至今，堡塔产品经过了200多次的版本迭代发布，国内共有800万的服务器安装量，被1000多个中大型企业及政企选择使用，同时堡塔发布的海外版本也被全球200多个国家的用户选择并使用。堡塔已经成为服务器运维软件领域的知名企业。

厂商

上元信安

108

0

北京上元信安技术有限公司，成立于2015年，是一家致力于解决云计算、万物互联场景下安全问题的国家级高新技术企业，是专业的新一代网络安全产品、技术及解决方案提供商。 上元在云环境安全防护、高性能网络转发、深度威胁检测、网络攻防等方面均具有深厚积累；致力于“云内安全”、“边界安全”、“互联安全”这三大业务场景，拥有下一代防火墙、入侵检测系统、入侵防御系统、病毒防护网关、上网行为管理与审计、VPN网关、SD-WAN&SASE解决方案、云化安全网元等系列安全产品，为客户提供“云-网-边”一体化的安全方案。同时，上元也积极响应和践行信创战略，拥有完善的信创安全产品，并持续推进。

模糊测试（Fuzz Testing），也称为模糊验证或模糊分析，是一种自动化的软件测试技术，用于发现软件中的安全漏洞和错误。这种方法通过自动生成大量随机的、异常的或半异常的输入数据（称为“模糊数据”或“模糊输入”），并将这些数据输入到程序中，观察程序是否能够正确处理这些输入，或者是否会因此产生崩溃、异常行为或其他安全问题。

厂商

联通数科

63

0

中国联合网络通信集团有限公司（简称“中国联通”）在国内31个省（自治区、直辖市）和境外多个国家和地区设有分支机构，拥有覆盖全国、通达世界的现代通信网络和全球客户服务体系，在2024年《财富》世界500强中位列第279位。作为支撑党政军系统、各行各业、广大人民群众的基础通信企业，中国联通在国民经济中具有基础性、支柱性、战略性、先导性的基本功能与地位作用，具有技术密集、全程全网、规模经济、服务经济社会与民生的特征与属性。

DDoS防护，即分布式拒绝服务攻击防护（Distributed Denial of Service Protection），是一种网络安全技术，旨在保护网络、系统和服务不受DDoS攻击的影响。DDoS攻击是一种恶意行为，攻击者通过多个来源同时向目标系统发送大量流量，目的是耗尽目标的资源，导致其无法处理合法的请求，从而使得正常用户无法访问。

厂商

通付盾

49

0

通付盾创立于2011年，为电网、电信、银行等行业用户，提供“以数据为中心”、“云链一体”、“零信任、零知识、零代码”的企业级AI Agent信任系统服务。