近期大型攻防演练观感及未来攻防趋势判断
原文中文,约3400字,阅读约需8分钟。发表于:。此外,对于攻击方来说,整理和收集这些开源组件通用漏洞的POC/EXP,相对来说成本很低,而且很多都已经整理成现成的攻击工具了,像今年国产的低代码开源项目Jeecg-boot出了好几个0day(老惨了),这类系统漏洞很多,并且相对来说获取成本比较低,而国内又确实有不少关基的客户在用,打起来性价比还是相当不错的,此外就是一些针对python及npm的投毒,这些攻击起来门槛比较低,说不定有意外的收...
今年的大型攻防演练总结:国产商业软件供应链厂商的大量商业软件0day被用来攻击,社工+钓鱼也有新花样,开源软件的Nday/0day漏洞及投毒仍然实用。未来几年攻防演练仍以这三种攻击手段为主,治理厂商将有优势。
