搜索中心

漏洞很简单，仅进行部分补充及记录

漏洞预警丨XAMPP在PHP-CGI模式下远程代码执行漏洞(CVE-2024-4577)

漏洞作为网络攻防对抗的核心，是网络空间安全重要战略资源。因此，探索攻防对抗下漏洞治理的新模式，加强漏洞的有效治理意义重大、势在必行。

漏洞作为网络攻防对抗的核心，是网络空间安全重要战略资源。因此，探索攻防对抗下漏洞治理的新模式，加强漏洞的有效治理意义重大、势在必行。

Spring AMQP 中添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任来源的消息中数据的反序列化；但是默认情况下，当未提供允许的列表时，所有类都可以反序列化。

日常开发过程中，开发人员经常需要从一大段复杂的字符串中快速匹配特殊规律的字符串，通常，这些功能的实现需要依赖叫做“正则表达式”的方法，当在它在处理一些复杂的、嵌套的或者具有多个重复的模式字符串时就会造成程序卡死，即造成ReDoS。

Palo Alto CVE-2024-3400，从简单的路径穿越到最终RCE漏洞，总结golang程序中可能出现的一种新漏洞模式。

预览

预览

预览

预览

236人阅读

2024-04-18

目前的 Docker 逃逸的原因可以划分为三种： 1、由内核引起的的dirty cow实现逃逸----CVE-2019-5195 2、软件程序引起的docker逃逸漏洞----CVE-2019-5736 3、docker配置不当引起的----privileged（特权模式）逃逸、docket remote api未授权访问导致逃逸等

近期，长亭科技监测到Nacos发布新版本修复了一个远程代码执行漏洞。 经过漏洞分析后，发现该系统应用较为广泛，且漏洞影响范围较大。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，并已向公众开放下载使用。 长亭应急响应实验室发现，Nacos 1.x在单机模式下默认不开放7848端口，故该情况通常不受此漏洞影响。然而，2.x版本无论单机或集群模式均默认开放7848端口。主要受影响的是7848端口的Jraft服务，因此，用户可据此判断自身可能的风险。

之前文章我们介绍过，雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎，Nginx 已经在其官网介绍了该漏洞对 Nginx 的影响。简单来说，Nginx 作为一款久经考验的 Web 服务器/代理服务器，其本身就提供过了多种方式来缓解 DDoS 攻击。具体到该漏洞，如果如下两个配置采用 Nginx 的默认值，那么该攻击对 Nginx 基本无影响：

作为刚接触浏览器安全的初学者，我选择了从CTF来入手浏览器的漏洞模式和利用姿势，最近看了若干历史的CTF浏

作为一个从乙方转到甲方的安全从业人员，近期，我的观点慢慢从挖掘技术的深度，转变为“解决问题“的模式。漏洞扫描系统作为不可获缺的企业安全建设组件，在平时的工作内容也是占有一席之地。遗憾的是，作为一个小甲方，我们确实没有足够的预算来支撑完全购买优秀的乙方安全产品以构建自己的安全体系。但是万幸“老东家”免费开放了 xray 的使用，同时作为一个公益项目，欢迎广大企业集成。这对我来说简直是新世纪福音。

开发安全规范不难做，但要做得好可能就得下功夫。因为其是后续很多安全活动开展的依据，比如SAST的检测规则，可从技术层面实现规范的闭环，切实提高软件安全质量；又如为开发安全培训提供了培训素材，也能影响开发人员的安全意识水平；故制定一份有用的开发安全规范至关重要。回顾以往的实践及见闻，在编制时有以下三点经验可供分享： 1、按照开发语言：调研公司内部使用到的开发语言类型，先针对主流语言编写安全规范（可按照编程语言行数统计，一般配管人员能提供），再找对应语言的开发专家评审及优化，最后复制该模式逐一覆盖其他语言； 2、从开发的视角：多说对输入的安全检查和校验、文件的安全处理..少提SQLi漏洞、文件上传漏洞...尽可能的从开发视角去编写规范，并举例相关代码进行说明，提升易读、易懂性； 3、紧密围绕目标：明确开发安全规范的使用目标。若是为了合规检查，参照行业公开规范如云厂商的、owasp风险来写，就足以应对；若是为了解决编码过程中引入的实际安全问题，则公开内容只能作为参考、约占比内容的30%，剩下的主要部分应是历史安全测试提炼出来的安全漏洞与风险类型。 更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485635&amp;idx=1&amp;sn=d1f3c10665061d46ee3042a932c32af5&amp;chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&amp;scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485702&amp;idx=1&amp;sn=cdb42998335935cce5513a731f2969e6&amp;chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&amp;token=1925672008&amp;lang=zh_CN&amp;scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485711&amp;idx=1&amp;sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&amp;chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&amp;scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485724&amp;idx=1&amp;sn=1d9fedf471d58919a2b0ddf99d10c9d0&amp;chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&amp;scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485759&amp;idx=1&amp;sn=a362896234e1d0e7403befd9c2312567&amp;chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&amp;scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485772&amp;idx=1&amp;sn=37a833b95317746945bb08e3940d07ff&amp;chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&amp;scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485785&amp;idx=1&amp;sn=091cdd44050411ad490e95222221e3d8&amp;chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&amp;scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485798&amp;idx=1&amp;sn=e7d01d58260deb4ea5f59f83227cf33e&amp;chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&amp;scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485811&amp;idx=1&amp;sn=73876a6b1c669c165657e3af62e0f10a&amp;chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&amp;scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485824&amp;idx=1&amp;sn=667824a4531a35cd67ce2f8d6581f81d&amp;chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&amp;scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485837&amp;idx=1&amp;sn=8b4f4c703994290e23feb0253b8da090&amp;chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&amp;scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485850&amp;idx=1&amp;sn=21ed85d46c64552edfb2ca8da44b3c83&amp;chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&amp;scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485863&amp;idx=1&amp;sn=329eba45ab509e199463e371b1e99fcf&amp;chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&amp;scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485876&amp;idx=1&amp;sn=2feca1c97cf0a17188fd2c4970859caf&amp;chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&amp;scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485889&amp;idx=1&amp;sn=0c983d68ba83d646e9470f5d8669f48a&amp;chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485902&amp;idx=1&amp;sn=ad38f91a016b55c4a2312f18524b635c&amp;chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485970&amp;idx=1&amp;sn=2f2ab597d88d48dd8b1af97bb5f61e53&amp;chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&amp;scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485987&amp;idx=1&amp;sn=1f818f82c931939ef1046ef10520901c&amp;chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&amp;scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486000&amp;idx=1&amp;sn=b564e99bb7903a7514c2fb59be6cd8ba&amp;chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&amp;scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486014&amp;idx=1&amp;sn=71da08d83728aaea6b0a260b47d421f2&amp;chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&amp;scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486027&amp;idx=1&amp;sn=56c44d0631f44fa819ad69fbdd5b9fbe&amp;chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&amp;scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486052&amp;idx=1&amp;sn=8a6c5238c71029fb1548830a03061bce&amp;chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&amp;scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486061&amp;idx=1&amp;sn=4fc05467c85c9103b173731c693c4a6b&amp;chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&amp;scene=142#wechat_redirect" target="_blank">SDL 22/100问：SCA工具识别出高风险协议，如何处理？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484219&amp;idx=1&amp;sn=6ff469339838922b9010463eca27dce1&amp;chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&amp;scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484307&amp;idx=1&amp;sn=3758ef809f9a456d7ed83a2954487f5b&amp;chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&amp;scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484328&amp;idx=1&amp;sn=bba34270246d8e01eb1f54e4a0605d00&amp;chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&amp;scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484341&amp;idx=1&amp;sn=f08a2bcbacb518e93d24d01e1386090b&amp;chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&amp;scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484366&amp;idx=1&amp;sn=72cc4c6bcc5dde0b234cf5a2693d3970&amp;chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&amp;scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484379&amp;idx=1&amp;sn=dda07183bd693fe2ed53990099e79a22&amp;chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&amp;scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484395&amp;idx=1&amp;sn=06b35e000af7a55b2a9580bb192316c1&amp;chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&amp;scene=142#wechat_redirect" target="_blank">安全响应</a>

目录:0x00 前言0x01 扫描检测思路0x02 利用思路0x03 全球检测.0x04 关于`bounty

Thales SafeNet Sentinel HASP LDK本地提权漏洞（CVE-2024-0197）分析与复现

漏洞是造成网络安全问题的重大隐患，它不仅存在于硬件、软件、操作系统中，也给全球政府机构、关键基础设施、企业和个人带来了巨大的网络安全威胁。

SaltStack漏洞背景国外安全团队(F-Secure) 发现多了SaltStack漏洞，其中最严重的两个

漏洞是造成网络安全问题的重大隐患，它不仅存在于硬件、软件、操作系统中，也给全球政府机构、关键基础设施、企业和个人带来了巨大的网络安全威胁。

预览

168人阅读

2024-08-08

关于PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）简要说明

近期，长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。 经过漏洞分析后，发现公网仍有较多相关系统尚未修复漏洞。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，同时提供该资产的排查方式，目前工具已向公众开放下载使用。

产品

亿格云终端安全防护

亿格云

313

0

帮助企业扭转传统碎片化的硬件模式，融合终端威胁检测响应（EDR）、病毒查杀、漏洞修复、DNS安全、威胁情报等安全能力，保护企业所有边缘，实现安全一体化防护。

产品

天穹共享免疫SaaS系统

亚信安全

442

0

天穹ImmunityOne是亚信安全部署在公有云上的XDR SaaS平台，基于云原生(Cloud Native)架构技术，以SaaS订阅和租户模式，依托云端全面的威胁情报采集和威胁分析能力，结合7X24小时的威胁分析专家服务，为客户提供全面即时的涵盖终端、网络、网关、身份等的已知威胁查杀、漏洞治理、漏洞治理、终端安全管理、未知威胁检测、高级威胁治理、威胁溯源和威胁狩猎服务。

产品

nuclei

696

0

基于简单 YAML DSL 的快速且可定制的漏洞扫描程序。

预览

预览

产品

STORK 软件成分分析平台

蜚语科技

320

0

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分， 更加精确的发现三方漏洞与License风险。

产品

UniAV终端防病毒系统

联软科技

248

0

联软科技的UniAV终端防病毒系统是一款企业级安全产品，专为关键行业设计，集成病毒检测、主动防御、勒索防护等功能。它通过跨平台集中管理，实现病毒统一查杀、漏洞修复、病毒库升级，构建全面的资产防护体系，提升安全事件响应速度，有效防御新型网络威胁。

产品

云安全中心

阿里云

627

0

阿里云主机安全是一个实时识别、预警安全威胁的服务器安全管理系统，通过漏洞扫描、病毒查杀、防篡改、防勒索等安全检测能力，助您实现多云主机自动化安全运营

产品

春秋云测网络安全众测平台与服务

永信至诚

601

0

春秋云测是永信至诚推出的网络安全众测平台，专为高端企业、政府机构等提供定向漏洞检测服务。依托专业社区资源和安全服务能力，平台能快速发现并排查安全隐患，提升安全防御。优势包括漏洞隐私保护、精英白帽人才库、态势可视化和高效活动运营。

产品

云鲨RASP

悬镜安全

395

0

悬镜安全推出的云鲨RASP是一款基于AI的自适应云防御平台，采用专利级AI检测引擎和应用漏洞攻击免疫算法，实现运行时安全防护。它通过深度学习技术，有效避免误报，降低配置需求，提供全面的威胁防御能力，适用于金融、能源、政务等行业，助力企业构建敏捷安全的DevSecOps体系。

托管安全服务（Managed Security Service）是一种服务提供模式，其中外部服务提供商负责管理和执行客户的某些安全功能和流程。MSS提供商通常提供一系列服务，包括但不限于安全监控、安全事件管理、漏洞评估和管理、安全咨询和威胁情报等。MSS的目标是帮助客户提高其安全姿态，同时减少自身需要投入的资源和专业知识。

产品

云甲 - 云原生容器安全管理系统

安全狗

235

0

云甲·云原生容器安全管理系统——基于云原生安全（CNAPP）的概念，在整个云原生容器的安全生命周期中，采用自动检测、自动分析、自动处理的方式防御安全威胁。

厂商

四叶草安全

623

0

西安四叶草信息技术有限公司（简称：四叶草安全）是一家实战创新型网络安全企业，由马坤创办于2012年。

产品

山石网科网络入侵检测/防御产品

山石网科

267

0

山石网科网络入侵检测/防御产品是专用于网络入侵攻击检测和防御的安全产品，可广泛部署于政府、企业、高校、运营商等行业的互联网出口、服务器前端、内网隔离防护等应用场景。山石网科国产化入侵防御系统S-2680-GC采用国产关键元器件和国产操作系统，符合国家相关标准要求，国产化程度高，适配具有国产化产品需求的用户场景。

产品

长亭基线检查服务

长亭科技

328

0

补齐安全短板，提升企业安全系数。

产品

云图 Cloud Atlas

长亭科技

763

0

云图 (Cloud Atlas) 攻击面管理运营平台，听于无声 见于无形，复杂世界里的风险管理

产品

观镜 WAF

观安

499

0

观镜WEB应用安全防护系统

产品

迪普 WAF

迪普

438

0

迪普科技WAF3000系列Web应用防火墙针对Web应用提供全方位的安全防护，对事前扫描、事中攻击及事后的网页篡改及信息窃取都能提供相应的防护策略，全面保障了用户Web应用的安全，让用户能从容应对当前的Web应用威胁。

产品

安全态势分析系统

观安

304

0

　　安全态势分析系统通过采集全网流量及日志数据，结合机器学习、数据建模、行为识别、关联分析、人工智能等方法，对海量异构的安全数据进行分析，以资产、威胁、脆弱性等维度进行安全态势分析，并生成全方位的安全全景视图，实现数据的长时间窗口存储、全文检索分析、异常行为检测和安全合规要求，支撑安全决策和应急响应，帮助用户建立安全预警机制，增强整体安全能力。产品广泛应用于运营商、公安、电子政务、金融、车企等行业。

产品

四叶草 WAF

四叶草安全

327

0

四叶草安全Web应用动态防护系统，一款集用户行为分析、动态加密验证、攻击检测防护及API攻击防护于一体的网络安全解决方案。通过多维度风险评估、纵深防御策略和实时威胁识别，为企业提供全面、高效的网络安全保护。

产品

运行时应用自免疫系统（RASP）

爱加密

249

0

爱加密推出的运行时应用自免疫系统（RASP）是一款基于情境感知技术的新一代应用威胁免疫平台。该系统通过专利级算法，实现实时攻击检测与阻断，具备全面且精准的防护能力，覆盖多种网络协议，为Web应用提供创新性安全防护解决方案，有效提升应用系统的防御能力。

产品

TopIDP入侵防御系统

天融信

281

0

天融信入侵防御系统TopIDP集攻击检测、Web安全检测、DDoS检测等多功能于一体，实现对网络威胁全方位检测、深层次防御的效果。TopIDP具备入侵检测规则库等多种专业、权威、丰富、多维的知识库，使得产品在威胁防御方面更加精准、迅速。面对当前复杂的网络攻击环境，TopIDP全方位深层次的威胁防御能力，可持续对抗不断出现的各类安全威胁。

产品

天融信TopWAF

天融信

363

0

天融信Web应用安全防护系统TopWAF通过内置上千条由天融信阿尔法攻防实验室提供的安全规则，对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤，来提供WEB应用攻击防护、DDoS防御、URL访问控制、网页防篡改等功能，能够有效的抵御针对Web应用的攻击而导致的网站被恶意篡改、敏感信息泄露、网站服务器被控制等事件的发生。是适用于政府、企业、高校以及运营商的可信的防御Web威胁的安全产品。

产品

云堡垒机

长亭科技

3k

5

百川云堡垒机是一款简单、方便、好用的服务器统一管理、监控工具。

预览

预览

预览

预览

厂商

云天安全

235

0

云天安全基于实战化的攻防对抗，以常态化的协同防护为核心，构建网络安全综合防控体系，为政府企事业用户提供体系化的独立第三方网络空间安全运营服务。

厂商

启明星辰

742

0

启明星辰是国内具备超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。

厂商

海云安

281

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

欺骗防御（Deception Technology），也称为欺骗战术或诱捕防御，是一种主动的安全防御技术，旨在通过布置虚假的或具有欺骗性的信息、系统、数据或网络资源来吸引、检测和分析攻击者的行为。这种技术利用了攻击者寻找漏洞和敏感数据的自然倾向，通过模拟这些目标来揭露未经授权的活动。

厂商

博智安全

232

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

厂商

保旺达

286

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

青藤云安全

437

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

厂商

长亭科技

3.6k

3

长亭科技是国际顶尖的技术驱动型网络安全公司，专注为企业级用户提供高质量的应用安全防护解决方案，为企业用户带来更简单、更智能、更省心的安全产品及服务。

漏洞情报

漏洞修复

漏洞管理（Vulnerability Management）是一种系统化的方法，用于识别、评估、报告和缓解组织内网络资产中的安全漏洞。这个过程是网络安全的重要组成部分，旨在减少潜在的安全风险，防止漏洞被攻击者利用。

漏洞挖掘

漏洞扫描是一种网络安全过程，它使用自动化工具来检测系统、网络或应用程序中的安全漏洞。这些工具通常被称为漏洞扫描器或漏洞评估工具，它们可以帮助组织识别和修复可能被攻击者利用的安全弱点。

厂商

安芯网盾

301

0

安芯网盾帮助客户防御并终止无文件攻击、0day漏洞攻击和内存攻击等高级威胁，切实有效保护客户核心业务不被阻断，核心数据资产不被窃取。

厂商

斗象科技

427

0

斗象科技，成立于2014年，是国内知名的网络安全数据分析与在线安全运营服务提供商。作为国家级网络安全支撑单位，斗象科技旗下拥有FreeBuf、漏洞盒子等品牌，提供全面的安全产品与服务，覆盖金融、政府、互联网等多个行业。公司积极参与国家标准制定，连续支持国家级网络安全活动， 致力于构建更安全的数字世界。

厂商

魔方安全

301

0

公司以“随时洞察和有效缓解网络空间风险”为使命, 专注于网络空间资产安全相关的技术研究和产品研发，提供该领域专业的产品及解决方案，包括：外部攻击面管理EASM（SaaS）、网络资产攻击面管理CAASM、漏洞管理CVM、攻击面精细化运营服务、安全攻防服务。

厂商

傲盾

289

0

北京傲盾软件有限责任公司，以下简称"傲盾公司"，是注册于中关村的高新技术企业，自 1998 年开始， 就一直致力于 DDoS 防火墙产品的研发。基于持续的技术研究和技术创新， 傲盾公司在漏洞挖掘和防护技术、 黑客攻击防御技术、非法信息监控技术、网络加速技术、IDC整体解决方案等多个领域积累了丰富的经验。

厂商

默安科技

368

0

默安科技凭借完整“平台+工具+服务”的SDL/DevSecOps全流程解决方案，抓源头、治漏洞、灭风险，为政企数字化业务安全赋能

厂商

安华金和

280

0

安华金和提供专业的数据安全解决方案、咨询服务和切实可落地的安全技术和产品应用，产品涉及数据库审计、数据库防火墙、数据脱敏与漏洞防护、数据库加密、数据安全运营等

容器安全（Container Security）是指一系列措施和实践，旨在保护容器化应用程序及其运行环境免受安全威胁和漏洞的影响。容器是一种轻量级、可移植的、自给自足的软件运行环境，它可以包含应用程序及其所有依赖项。容器技术，如Docker，以及容器编排工具，如Kubernetes，已经被广泛应用在云计算和微服务架构中。

Webshell 是一种恶意脚本或程序，攻击者通过将其上传到 web 服务器上，以此来获得对服务器的远程控制。Webshell 通常利用 web 应用程序的漏洞上传，它们可以是 PHP、ASP、JSP、Python 或其他服务器端脚本语言编写的脚本。

代码审计（Code Auditing）是一种评估软件源代码质量、安全性和合规性的过程。它通常由专业的审计人员或自动化工具进行，目的是发现潜在的错误、漏洞、不规范的编码实践以及不符合特定标准或安全策略的代码。

CAASM，即网络资产攻击面管理（Cyber Asset Attack Surface Management），是一种专注于帮助安全团队解决持续的资产可见性和漏洞挑战的网络安全技术。CAASM的目标是提供一个全面的视图，以识别和理解组织内所有资产的安全状况，包括内外部资产，以及它们可能面临的风险。

威胁情报（Threat Intelligence）是关于安全威胁的上下文信息，包括有关恶意活动者、威胁行为、漏洞利用、攻击方法、目标选择和其他与安全威胁相关的细节。这些信息用于识别、评估和对抗安全威胁，保护组织的关键资产和业务运营。

网络安全态势感知（Cybersecurity Situational Awareness）是网络安全领域内的一个重要概念，它涉及到对组织网络安全状态的全面理解，包括潜在的风险、威胁、漏洞以及安全控制措施的有效性。网络安全态势感知的目标是使组织能够实时监控、分析和响应网络安全威胁和事件，以保护关键资产和数据不受侵害。

厂商

华云安

241

0

华云安致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击面管理核心思想，推出国内首个完整的攻击者视角的安全运营一体化解决方案。

IAST，即交互式应用安全测试（Interactive Application Security Testing），是一种在应用程序运行时进行的灰盒安全测试技术。它结合了SAST（静态应用安全测试）和DAST（动态应用安全测试）的优点，通过在应用程序内部植入探针，在运行时动态地监测和报告安全漏洞。IAST技术可以实时、准确地检测软件安全漏洞，并提供详尽的漏洞信息，帮助企业提升应用安全性。

EASM，即外部攻击面管理（External Attack Surface Management），是一种网络安全实践，专注于发现和评估面向互联网的企业资产和系统，以及与之相关的安全漏洞。这些资产可能包括服务器、凭证、云服务配置错误、第三方合作伙伴的软件代码漏洞等，它们都可能成为攻击者利用的切入点

NDR，即网络检测和响应（Network Detection and Response），是一种利用人工智能、机器学习以及行为分析等非基于签名的方法来检测网络上的可疑或恶意活动的网络安全技术。NDR技术起源于网络流量分析（NTA），随着NTA解决方案增加了行为分析和威胁响应功能，Gartner在2020年将其重命名为NDR。NDR的应用场景广泛，包括威胁检测与防御、异常行为检测、漏洞管理与修复、安全事件响应以及安全分析与调查等，旨在提高网络的安全性和响应能力。

CWPP，即 Cloud Workload Protection Platform，中文为云工作负载保护平台。它是一种针对云环境（包括公有云、私有云和混合云）中的工作负载（如虚拟机、容器和无服务器功能）提供安全保护的解决方案。CWPP的目的是帮助组织在云环境中自动检测和解决威胁、漏洞和配置错误，支持与云环境交互的工作负载，并提供持续的安全监控和管理。

厂商

墨菲安全

444

0

墨菲安全提供专业的软件供应链安全管理解决方案，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，助您打造完备的软件开发安全能力

厂商

CrowdStrike

317

0

CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一

厂商

火绒安全

273

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。

厂商

迪普

372

0

迪普科技 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。

厂商

蜚语科技

320

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。