美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法–《计算机欺诈和滥用法(Computer Fraud and Abuse Act,以下简称CFAA)》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员–有时被称为“白帽黑客”,他们有改善技术的良好意愿。
CFAA是于1986年颁布的一项联邦法规,其禁止未经授权或超出授权的情况下访问计算机。长期以来,该法律一直被批评使用了过于宽泛和模糊的语言,即什么是对受保护的计算机的授权访问或什么是超过授权的意思。
直到去年最高法院的一个案件缩小了该法律的范围,人们担心该法可能允许对看似无害的活动进行起诉,如分享Netflix密码或使用工作的Zoom账号拨打私人电话。
随着DOJ对政策的修订,事情变得更加细化,并为那些试图改善技术的网络安全研究人员减轻了压力。
副司法部长Lisa Monaca在一份新闻稿中说道:“计算机安全研究是改善网络安全的一个关键驱动力。该部门从未对将善意的计算机安全研究作为犯罪进行起诉感兴趣。另外,今天的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展,这些人为共同的利益铲除漏洞。”
粗事儿了,粗大事儿了!
关系到,看到这里的你
能不花一分钱
拿到“苹果三件套”的大事!
我们微步最近搞了个攻防挑战赛
你们来展示利用漏洞的各种姿势
而我们,则会用自家产品——
威胁感知平台TDP,进行检测
如果你的攻击没有被我们检出
恭喜你,得分!
和本次赛事特邀合作伙伴
TDP是微步旗下基于流量的威胁感知平台
推出4年有余,产品成熟,客户众多
(广告一条五毛)
由于TDP的检测基于流量
所以选手需要提交PCAP包来参赛
我们将在5分钟内给出检测结果
24小时内给出最终得分
选手可在赛事官网实时关注检出进展及积分
我们将实时展示全网积分排名情况
欲知更详细的比赛规则及选手须知
请点击文末“阅读原文”跳转到比赛官网
或者扫描下方二维码
HackingClub安全技术社区联合Yakit开启有奖征稿活动~
写下你对Yak或Yakit的探索
就可以获得丰厚的稿费和精美小礼物~
走过路过不要错过,快来投稿吧~
使用Yak或Yakit的具体场景,或者对功能的探索,以及对Yak或Yakit的想法等都可
根据稿件内容深度,质量,研究方向等,提供200~1000人民币不等的稿费
参与即可获得HackingClub提供的定制掌托~
添加工作人员微信投稿即可
(如愿意进群交流学习也欢迎大家添加微信)
Yak自媒体全渠道
微信公众号(yak project)、知乎技术专栏、垂直行业媒体(安全客、freebuf等)
HackingClub是谁
HackingClub是一个由中国网络安全从业者、爱好者自发组建的民间安全团体组织。自2019年建立以来得到了国内诸多知名安全公司、组织、团队及各大合作伙伴的大力支持。我们一直秉承“崇尚技术、开放探索,不看ID,只讲干货”的初心,打造一个无拘束,无边界、无特权的网络安全聚集地,以此推动中国Hacking文化发展,搭建属于中国网络安全技术爱好者交流的平台。
官 网:https://hacking.club
公众号:HackingClub(扫码即可关注哦~)
Yak&Yakit
Yak是国际上首个致力于网络安全底层能力融合的垂直开发语言,提供了非常强大的安全能力,Yak是绝大部分 “数据描述语言 / 容器语言” 的超集,也是图灵完备的脚本语言。通过函数提供各类底层安全能力,包括端口扫描、指纹识别、poc框架、shell管理、MITM劫持、强大的插件系统等。
为了让 Yak 本身的安全能力更容易被大家接受和使用,我们为Yak编写了gRPC服务器,并使用这个服务器构建了一个客户端:Yakit,通过界面化GUI的形式,降低大家使用Yak的门槛。Yakit作为网络安全单兵工具,旨在打造一个覆盖渗透测试全流程的网络安全工具库。
Yakit下载地址:https://github.com/yaklang/yakit
感谢支持
yaklang.io 并不会收集用户数据与信息,项目官网采用 github pages + cloudflare 托管,以下数据来源于 cloudflare
感谢各位的支持和关注让我们的项目在没有大肆宣传的情况下,也有还不错的成绩~
所以为了感谢各位大佬对yak&yakit的支持,我们为群里活跃的大佬和github开issue的大佬准备了一点点小礼物,也希望各位大佬能持续关注我们项目~
《网络产品安全漏洞管理规定》
第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。
第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
第十六条 本规定自2021年9月1日起施行。
DXMSRC新年礼盒来袭
—福虎生威,小得盈满—
含【焦下智能发热围脖】
度小满定制款红包+春联+窗花
# 领取范围 #
2021年在DXMSRC平台提交过有效漏洞
积分>=20分即可领取
截止到12月31日,备注360众测id在DXMSRC平台提交有效漏洞。
可额外获得度小满定制吸璧灯、度小满酷炫镭射包,超萌公仔钥匙链等礼包
提交地址
http://security.duxiaoman.com/
DXMSRC年终奖名额预定!
狂欢游玩+现金奖励
2021年个人排行榜top10
2021年团队排行榜top1核心5名
可获得外出游玩名额,费用全包
还有年度额外现金奖励!
快来冲榜吧!
棱堡计划 /
2021·WINTER
“新基建”广泛部署,在加速中国经济“全面在线”时代到来的同时,其背后复杂的网络场景及风险亦成为不定时炸弹,随时可能摧毁在建的“通天塔”。无疑,网络安全体系建设已被时代赋予了全新意义。360作为数字化安全的领导者,为广大政企用户提供产品和服务,应对新时代网络战形势下的数字化和安全能力建设和运营。
2020年360SRC首次推出政企产品专项活动-棱堡计划,揭示可能存在的安全风险,2021棱堡计划再次起航,带来全新的政企产品专项活动,为安全大脑的硬核科技筑基赋能,实现深度联防协同防御,应对大安全形势,共创安全生态未来。
活动时间
12月10日-12月25日
活动范围
360 新一代实网攻防靶场平台(SaaS)
https://security.yanwuting.cn/
360 网络空间测绘系统(SaaS)
https://quake.360.cn/quake/welcome#/
360 企业安全浏览器(SaaS)
https://browser.360.cn/se/ver/ent.html
360 DNS安全监测系统(SaaS)
https://sdns.360.cn/
360 网络空间安全教育云平台
https://study.360.cn/
360 漏洞云安全众测服务平台
https://zhongce.360.cn/
360 天御加固保
https://tianyu.360.cn/
360 磐云
https://panyun.360.cn/
360 沙箱云
https://ata.360.cn/
360 安全卫士团队版
http://safe.online.360.cn/
360 亿方云
https://www.fangcloud.com/
360 智汇云
https://zyun.360.cn/
360 威胁情报平台
https://ti.360.cn/#/homepage
活动奖励
翻倍奖励
提交中危及以上有效漏洞可获得双倍现金奖励
额外奖励
提交5个及以上有效高危可额外获得5000元现金奖励
提交3个及以上有效高危可额外获得3000元现金奖励
360SRC & 360众测平台专属福利
360众测平台白帽提交中危以上有效漏洞可获得360定制运动水杯一个
【漏洞备注360众测id +HackingClub圣诞月】
测试账号
转发抽奖
分享本文至朋友圈
即可参与抽奖
兑奖前请勿删除
分组无效哦~
注意事项
1、此次专项活动,请务必避免影响真实用户的正常使用;
2、不得进行任何破坏性操作,如:擅自修改测试账号密码、外泄测试账号、利用漏洞进行损害用户利益、随意篡改信息、盗取用户数据、下载源代码、用于上述系统进行的安全测试以外的目的等行为;
3、命令执行能证明成功即可提交报告,禁止继续在系统中做其他敏感操作;
4、禁止上传大马及留后门等行为;
5、SSRF漏洞仅需对http://10.229.2.9:5001进行回显即可证明成功,禁止对内网其他系统进行渗透;
6、测试完毕后,如有对账号的修改操作,请务必恢复,如:删除自己添加的测试数据等;
7、禁止使用扫描器、CC攻击、DDOS攻击等可能影响到业务正常运作的测试方式;
8、参与测试的勇士们,需要严格遵守白帽子用户协议说明,勿将页面截图、功能模块详情等外传泄露;
9、系统中添加扫描资产需要经过审核,请确保添加资产为自有资产,请控制资产的添加数量,不得危害系统正常数据;
10、任何因测试规则与测试过程中产生的争议情况都可联系 security@360.cn协商解决;
11、对于违反白帽子用户协议说明及以上规定的勇士,360SRC有权拒绝对其奖金发放并追究其法律责任;
12、360安全应急响应中心在法律允许范围内拥有对本活动评判标准和规则的解释权与修改权。
滴!2021年时间余额不足!
白帽师傅们还有什么愿望没实现呢?
在2021年最后一个月
HackingClub X 360众测携手71SRC
也给大家准备一大波奖励活动哦
快来看看吧
??
奖励一:个人奖励
活动期间,根据白帽子漏洞积分排名,除漏洞实际奖励外,前五名白帽子可获得以下活动奖励,奖励及要求如下:
奖励:Apple iPhone 13 Pro Max 256G
(或等值9800元京东卡)
漏洞要求:活动期间至少提交3个高危/严重危害有效漏洞
奖励:Apple iPad Pro 256G 2021款
(或等值7000元京东卡)
漏洞要求:活动期间至少提交2个高危/严重危害有效漏洞
奖励:任天堂Nintendo Switch&健身环大冒险游戏套装
(或等值2600元京东卡)
漏洞要求:活动期间至少提交1个高危/严重危害有效漏洞
奖励:1000元京东卡
漏洞要求:活动期间至少提交1个中危及以上危害有效漏洞
此奖励为团队奖励,喊上你的小伙伴一起为团队获得荣誉吧!
在活动期间,根据团队漏洞积分排名,前三名团队可获得以下活动奖励,奖励及要求如下:
奖励:5000元京东卡
漏洞要求:活动期间团队至少3名成员提交有效漏洞,至少提交3个高危/严重危害有效漏洞
奖励:3000元京东卡
漏洞要求:活动期间团队至少3名成员提交有效漏洞,至少提交2个高危/严重危害有效漏洞
奖励:2000元京东卡
漏洞要求:活动期间团队至少3名成员提交有效漏洞,至少提交1个高危/严重危害有效漏洞
奖励三:金币翻倍
划个重点:本次活动接收爱奇艺所有业务漏洞,其中,“爱奇艺极速版APP” 业务相关有效漏洞,可获得双倍金币奖励。
注意:积分计入活动排名,金币翻倍,积分不翻倍哦!
奖励四:新人专属&360白帽专属
凡是已注册71SRC平台,未提交过有效漏洞的白帽子,活动期间提交漏洞标题备注【新人专属】,首个有效漏洞可额外获得100元京东卡+爱奇艺VIP月卡;
欢迎360众测平台的伙伴来71SRC提交漏洞,使用360平台id注册71SRC,活动期间提交漏洞标题备注【HackingClub圣诞月】,首个有效漏洞可额外获得100元京东卡+爱奇艺VIP月卡。
1.爱奇艺SRC漏洞评分标准如下,特殊评分标准详见https://security.iqiyi.com/#noticedetail/174
| 严重 | 高危 | 中危 | 低危 |
| 10-12分 | 6-9分 | 3-5分 | 1-2分 |
2.漏洞危害定级以71SRC评估为准,如有争议,可在漏洞评论处留言或联系运营沟通。
3.团队成员以71SRC平台个人资料中为准,本次活动中每个团队参与成员需在3-15人之间,多出成员不计积分,团队成员提交漏洞前注意填写团队信息,团队奖励在活动结束后发放给队长,队内自行支配。
4.禁止1人注册多个账号提交漏洞获取新人奖励,一旦发现取消额外奖励,取消季度奖励等。
5.白帽子可关注“爱奇艺安全应急响应中心”公众号,发送“加群”,添加运营微信,加入爱奇艺安全交流微信群,或备注71SRC平台id申请加入71SRC白帽子交流QQ群:130763408,活动期间在群中定期发布排名情况。
公开转发本文至朋友圈
随机抽取3个幸运er
送出HackingClub定制骰盅
转发至朋友圈
开奖前请勿删除
分组无效哦!
—END—
年度冲榜
HackingClub X 360众测
蚂蚁集团安全响应中心
联合活动
HackingClub为回馈广大白帽子
我们联合360众测X蚂蚁集团安全响应中心
为大家送上年末惊喜福利活动
(师傅们快来参加啦!)
新人奖励
活动时间: 12月2日-12月31日
活动期间提交蚂蚁的有效漏洞,新人第一个有效漏洞可得1.5倍 奖励,新人第二个有效漏洞可获2倍奖励。
多挖多得哦!欢迎各位师傅前来挑战~
极品装备助力挖洞
活动时间: 12月2日-12月31日
# dysonV8吸尘器 #
活动期间提交有效漏洞数量 排名第1的白帽(高危及以上≥1)即可获得:dysonV8吸尘器
# 乐高 保时捷911RSR #
活动期间提交有效漏洞数量 排名第2和第3 的白帽(高危及以上>=1)即可获得:乐高 保时捷911RSR
联合活动BUFF加成
活动时间: 12月2日-12月31日
1、活动期间,来自360众测的白帽子提交任意有效漏洞,即可获取蚂蚁定制秋冬拉链款卫衣一件(每人限兑换1件);
2、活动期间,来自360众测的白帽子提交任意高危严重漏洞,即可获取蚂蚁定制颈椎按摩仪一个(每人限兑换1个)。
PS:来自360众测平台的白帽记得备注哦 ~
例如:【360众测】信息泄露漏洞,一定要备注,否则不参与此次活动哦!
. 漏洞提交地址 .
Https://security.alipay.com
文末抽奖
抽HackingClub定制开瓶器三套
本次活动感谢HackingClub的大力支持!
转发到朋友圈
开奖前请勿删除
分组无效哦~
– END –
