搜索中心

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。

带你看世界，也找自己！

一篇文章了解珂兰寺

非常有幸作为内测用户，上手体验了一波。马上测试期结束，简单记录一下使用体验，希望可以给尝试给有付费意愿的用户一点参考。

近日，长亭科技雷池（SafeLine）产品通过了互联网安全研究中心测试，获得WEB应用防火墙OWASP认证证书！OWASP所推出的“OWASP Web应用防火墙认证”，是目前全球最全面的针对Web应用防火墙的认证，覆盖包括检测能力、防御能力、性能、自身安全、用户习惯等多个方面的WAF产品各个方面的综合测试，被视为WEB应用安全领域的权威参考。

安装雷池社区版后，若选择 “加入 IP 情报共享计划”，雷池将定时自动聚合攻击 IP 数据（只有攻击 IP，不涉及任何敏感信息）发送到长亭百川云平台。 长亭百川云平台收到来自五湖四海的社区版兄弟们共享的 IP 情报，使用算法进行汇总和优选，生成雷池社区黑 IP 库，最终再回馈给社区。

今天，咱来看点不一样的

近期，Apache Kafka官方发布关于Apache Kafka Connect JNDI注入漏洞（CVE-2023-25194）的通告。这一漏洞需要低版本的JDK或者目标Kafka Connect系统中存在利用链，但由于该漏洞触发条件非常苛刻，几乎找不到可以利用的触发点。 经过长亭安全研究团队分析漏洞后，发现Apache Druid正好符合Kafka CVE苛刻的利用条件，可以成功触发远程代码执行漏洞。

近日，微步在线发布安全通告文章，声明瑞友天翼应用虚拟化系统修复了一处远程代码执行漏洞。 长亭应急团队分析漏洞后，根据漏洞原理编写发布了两款检测工具，分别支持远程检测和本地检测，供大家下载自检使用。

WAF 是 Web Application Firewall 的缩写，也被称为 Web 应用防火墙。区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。 开源 WAF 和商用 WAF（奇安信、绿盟、长亭、安恒这类）肯定是有区别的，商用 WAF 一般都是一套成熟的网站流量安全解决方案，而开源 WAF 更像是台式电脑的 CPU，他给你核心的算力，核心的实现，但是整体方案搭起来如何，完全看玩家个人手法。

告诉你们一个震撼人心的消息，那个检测能力超强的 WAF——长亭雷池，他推出免费社区版啦，体验地址见文末。

近期，长亭科技监测到微步在线发布一则漏洞通告，声明畅捷通T+发布新版本修复了一个RCE漏洞。 长亭应急团队经过漏洞分析后，发现该漏洞类型为SQL注入，可利用其实现RCE。公网仍有较多相关系统尚未修复漏洞。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，目前工具已向公众开放下载使用。

近期，长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。 经过漏洞分析后，发现公网仍有较多相关系统尚未修复漏洞。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，同时提供该资产的排查方式，目前工具已向公众开放下载使用。

长亭应急团队监测到CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。 经过分析漏洞后，发现公网仍有较多系统未修复漏洞，长亭应急团队根据该漏洞的原理，编写了X-RAY远程检测工具和本地检测工具供大家下载使用，同时在文章中提供了排查该资产的方式。

近期，长亭科技监测到致远官方发布新补丁，修复了一处前台任意密码修改漏洞。 长亭应急团队经过分析后发现仍有较多公网系统未修复漏洞。应急响应实验室根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测工具，目前已向公众开放下载使用。

近期，长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞。 长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。为了方便用户排查受影响的资产，已经根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

检测业务是否受到此漏洞影响，请联系长亭应急服务团队！

近期，长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞类型为SQL注入，仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具，目前已向公众开放下载使用。

近期，长亭科技监测到猎鹰安全（原金山安全）官方发布了新版本修复了一处SQL注入漏洞。 长亭应急团队经过分析后发现该漏洞可通过SQL注入实现文件写入实现远程代码执行的效果。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

检测业务是否受到此漏洞影响，请联系长亭应急服务团队！

产品

长亭渗透测试服务

长亭科技

163

0

拥有专业技术团队，采用攻击者视角，通过模拟入侵识别评测目标中的不安全因素， 优先攻击者发现系统漏洞并协助企业进行修复，防患于未然。

产品

长亭应急响应服务

长亭科技

103

0

帮助企业机构合理应对安全突发事件，减小负面影响。

产品

长亭入侵检测防御系统

长亭科技

92

0

长亭入侵检测防御系统（CT-IDP）是一款边界安全防护网关系统，可对网络攻击类、信息破坏类、有害程序类和漏洞类攻击行为有效发现并阻断。

产品

长亭日志审计平台

长亭科技

120

0

发生安全事件和系统故障时，确保日志完整性和可用性，协助管理员快速定位故障，并提供客观依据进行追查和恢复。

产品

长亭数据库审计平台

长亭科技

183

0

长亭数据库审计平台通过交换机旁路镜像的方式，全程记录网络中一切对数据库的访问行为。通过对访问数据的分析、过滤和解析 记录用户访问数据库所做的所有操作以及返回的结果，形成审计日志 , 便于事后查询与追责。除审计功能外，长亭数据库审计平台还加强 了对数据库运维相关的管理与审计管控功能，实现对数据库多角度的安全管理。

厂商

长亭科技

2.8k

3

长亭科技是国际顶尖的技术驱动型网络安全公司，专注为企业级用户提供高质量的应用安全防护解决方案，为企业用户带来更简单、更智能、更省心的安全产品及服务。

产品

长亭安全竞赛服务

长亭科技

185

1

网络安全的本质是人与人之间的攻防对抗。人，是真正意义上网络安全的防线终局！

产品

长亭第二代防火墙

长亭科技

537

0

第二代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备

产品

长亭运维审计与管理平台

长亭科技

131

0

长亭运维审计与管理平台是集用户管理、授权管理、认证管理和综合审计于一体的集中运维管理系统。能够为企业提供集中的管理 系统，减少系统维护工作；提供全面的用户和资源管理，减少企业维护成本;制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源安全;详细记录用户对资源的访问及操作，达到对用户行为全面审计的需要。

产品

长亭上网行为审计系统

长亭科技

211

0

长亭上网行为审计系统是一款高性能，高可用性、功能丰富的网络优化及行为管理审计设备。产品具有良好的网络适应性并满足公安部151号令、网络安全法和等保2.0等相关要求，可满足用户可视、可控、可审的核心需求。可广泛应用于政府、教育、医疗、能源、民企、运营商等各类行业。

产品

长亭代码审计服务

长亭科技

114

0

挖掘代码中的不安全因素， 解决系统安全隐患。

产品

长亭基线检查服务

长亭科技

117

0

补齐安全短板，提升企业安全系数。

产品

IP 威胁情报

长亭科技

265

2

长亭 IP 威胁情报是一个专业的 IP 威胁情报分析平台，为企业提供全面的 IP 信誉评估服务。

预览

预览

预览

预览

产品

大观 MSS 安全托管服务

长亭科技

366

2

通过安全运营平台将企业安全设备产生的威胁日志进行远程监控、分析研判、响应处置达成闭环，为客户提升防护水平，降低运营成本。

预览

预览

预览

产品

百川 WebShell 检测

长亭科技

791

1

百川 WebShell 检测工具是长亭科技提供的在线 webshell 检测检测工具, 应用与长亭主机安全,容器安全,流量监测等产品. 一键提交检测

预览

产品

问津

长亭科技

172

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

产品

百川网站安全监测

长亭科技

1.3k

5

一款专门为有站点检测需求的用户打造的监测工具，能够有效地监测用户配置的站点可用性、SSL证书合法性、过期时间以及网站路径扫描等功能。

预览

预览

预览

预览

产品

洞鉴 X-RAY

长亭科技

766

2

洞鉴是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，实现资产风险闭环管理的安全评估系统。

产品

xapp

长亭科技

691

0

专注于web指纹识别的工具

产品

xray

长亭科技

538

1

一款完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档

产品

牧云主机安全平台

长亭科技

616

0

牧云主机安全管理平台集资产管理、入侵检测、风险感知三大维度20余项防护功能于一体，形成具有精准预测、实时监测、快速检测、多维分析、自动响应的安全管理体系，帮助企业全方位掌握服务器安全态势。

厂商

长扬科技

45

0

长扬科技（北京）股份有限公司是一家国资监管下、市场化运作，专注于工业互联网安全、工控网络安 全和“工业互联网+安全生产”的国家高新技术企业，国有资本占股近50%

厂商

知道创宇

122

0

北京知道创宇信息技术股份有限公司，网络空间安全专家，长期致力于为政府、企业类客户提供完善的云安全解决方案。被评为亚洲20家极具价值企业、中国最酷网络安全公司。

厂商

吉大正元

60

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

蔷薇灵动

88

0

蔷薇灵动成立于2017年，主要专注于网络安全领域微隔离技术的前沿探索与研究，凭借专业的产品与服务为数据中心用户提供东西向（内部）流量解决方案

APT检测是指识别和对抗APT攻击者的技术与过程。APT攻击通常由具有国家背景或高度组织的犯罪团伙发起，目的是通过复杂和隐蔽的手段长期未被发现地侵入网络，窃取敏感数据或进行破坏活动。

厂商

盈高科技

53

0

盈高科技的安全产品涉及网络准入控制、零信任访问控制、终端安全管理、数据安全摆渡、视频网安全管理、IP资源管理等多个领域，涵盖企业、能源、电力、医疗等多个行业，已

厂商

奥联

52

0

深圳奥联信息安全技术有限公司是集算法研制、产品研发、方案实现、标准制定、前瞻性技术研究为一体，具备国际领先的密码领域全面“智造”能力的综合型密码安全企业。

厂商

华顺信安

202

0

华顺信安从网络空间资产维度出发，为国家网络空间防线提供基础安全能力支撑，以优质的产品和服务帮助政府和企事业单位增强实战能力，优化网络安全防护体系。

厂商

安华金和

87

0

安华金和提供专业的数据安全解决方案、咨询服务和切实可落地的安全技术和产品应用，产品涉及数据库审计、数据库防火墙、数据脱敏与漏洞防护、数据库加密、数据安全运营等

厂商

帕拉迪

83

0

杭州帕拉迪网络科技有限公司成立于2005年，深耕数据中心安全与智能领域，专注于管理安全、数据库安全、日志大数据分析三大细分领域。

厂商

远望信息

45

0

远望信息是数字政府安全防控体系构建的引领者，产品覆盖政企网络安全、视频专网安全、保密安全、网信应急以及信创等多个领域。

厂商

三未信安

53

0

三未信安是国内主要的密码基础设施提供商，专注于密码关键技术的创新突破和核心产品的研发、销售及服务，为网络信息安全领域提供全面的商用密码产品和解决方案。

厂商

亿赛通

65

0

亿赛通是美创科技旗下的数据安全品牌，专注于提供数据安全解决方案，包括但不限于数据加密、数据防泄露、数据安全服务。

厂商

开源网安

57

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

厂商

火绒安全

108

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。

厂商

海云安

54

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

默安科技

166

0

默安科技凭借完整“平台+工具+服务”的SDL/DevSecOps全流程解决方案，抓源头、治漏洞、灭风险，为政企数字化业务安全赋能

厂商

云天安全

56

0

云天安全基于实战化的攻防对抗，以常态化的协同防护为核心，构建网络安全综合防控体系，为政府企事业用户提供体系化的独立第三方网络空间安全运营服务。

厂商

保旺达

57

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。