还记得你的第一个QQ昵称吗？从一对一的窗口对话、聊天室，到空间、相册、游戏，过去23年，QQ每天为数亿用户提供着优秀的社交服务。过去23年，我们在QQ敞开心扉，未来，QQ也将始终伴你同行，守护你的美好时光。为了保护QQ的用户安全，保障业务稳定运行，QQ团队联合TSRC启动专项众测，诚征广大白帽师傅，对QQ、TIM最新版本及特定服务端进行安全众测，并设置了三重丰厚奖励。一起加入守护QQ安全的行列吧~此次测试为预报名制，参与者需在报名入口提前报名，并遵守活动相关规则进行测试，方可享受活动奖励，参与者需同时遵守《漏洞提交基本原则》。参与者需通过腾讯安全应急响应中心（TSRC）官网[security.tencent.com]提交，标题以“[QQ众测]”开头，先到先得。

Authentication》，https://dev.mysql.com/doc/refman/8.0/en/ldap-pluggable-authentication.htmlIII.

小时候，思念是一枚小小的邮票，长大后，思念是一张窄窄的车票。从载满深情的家书，到铭记于心的电话号码，再到即时连接的APP。无论通讯方式如何的变迁，乡愁，始终是亘古不变的牵挂。自上线到现在的二十余年里，QQ邮箱始终为亿万用户提供高效稳定的邮件服务，连接你、我、他。今天，QQmail团队联合腾讯安全应急响应中心（TSRC），为大家带来专项众测，邀你一起守护美好。除了TSRC奖励之外，QQMail产品团队将对符合条件的漏洞进行额外奖励，最高可达税后3万元！此次测试为灰度测试，参与者需在TSRC官网进行相关实名认证（在个人信息页绑定银行卡），并预先申请测试账号，方可进行测试。参与者需同时遵守《漏洞提交基本原则》。微信扫码申请测试账号QQ扫码申请测试账号加入赛事QQ群活动详情如下1、活动时间2022年9月13日

2022年8月，共68位安全专家通过安全问题反馈平台向腾讯报告安全问题，腾讯对这些安全专家表示感谢。依据腾讯《TSRC漏洞处理和评分标准》关于“严重漏洞额外现金奖”的规定，以下2位白帽子由于为腾讯核心业务或重点业务提供高质量严重漏洞报告，TSRC特别授予他们月度即时现金奖励，具体明细如下：“tzrj”获得税后奖励10,000元；“神经蛙”获得税后奖励30,000元；*《TSRC漏洞处理和评分标准》全文详见https://security.tencent.com/uploadimg_dir/other/TSRC.pdf?v=3.1感谢白帽子们，因为你们的存在，我们不再是孤独的守夜人。

月饼来咯帮大家试了下，贼香！尤其是云腿月饼，不爱咸口的小编还以为是啥黑暗料理——浅尝一下，眼前一亮！！饼皮软嫩，不会太甜，像好吃的叉烧包🤩帮大家问了下，原来这款月饼叫“云腿月圆酥”，出自腾讯为村耕耘者。酥饼里的火腿，来自一个深山小村庄——云南宣威市的攀枝嘎村，这也是腾讯为村“耕耘者振兴计划”重点支持的村庄之一。村里前几年刚脱贫，火腿是村里的主要收入之一。每年9月，村里的老人们会背着火腿下山，用火腿换来的收入，供孩子上学。虽然条件艰苦，但攀枝嘎村已经用一条条火腿供出了46个大学生。TSRC礼品区也上新了这款酥饼，如果你也喜欢这个口味，可以来官网兑换。不仅好吃，你的兑换还将为村民们带来一份温暖的收入。

我们总是步履匆匆因为肩负使命虽然曾因被误解而犹疑但当危机出现时还是会坚定地挺身而出没有人生来就是英雄但总有人义无反顾哪怕我们并不为人所知重要的是世界因我们的存在而变得更安全即使我们只有一线微弱的光也能照亮方寸之间家人也许并不理解我们的工作内容总给我们最大的支持他们朴素的爱，润物无声让平凡的日子散发出温柔的光芒让生活变得有所期待孩童时代，父母为我们负重前行现在，换我们来为他们遮风避雨为守护美好尽一份力每一份守护都值得被回应2022年TSRC关怀季，与你一起守护爱请收下这份「不限定」的关怀👇即日起至10月30日，扫描关怀季的活动二维码，即可通过您在TSRC登记的手机号和和短信验证码登陆活动页面，兑换一份心仪的礼品。有锅碗瓢盆、健身神器、营养保健、美妆护肤、办公用品等近百种礼品供大家选择。快递已于今天发出，大家留意物流信息～为家人选一份礼品或奖励一下辛苦耕耘的自己吧

2022CCS成都网络安全大会将于8月31日-9月2日在成都重磅举行！届时，TSRC将联合CCS举办[数据安全分论坛]，为大家带来7个硬核议题，共同探讨数据安全实践方面的思考和实现路径，助力企业提升数据安全能力。CCS×TSRC数据安全分论坛随着网安法、数安法、个保法的相继执行，数据安全越来越成为企业可持续发展所关注的重要话题。但当企业在真正落地时，往往会遇到各种各样的问题和挑战。如何正确地理解相关标准？企业数据安全合规体系又该如何落地？错综复杂的网络安全环境下，企业数据安全治理更需要“有序的力量”。01议题速览数据安全合规体系建设思考与实践主讲嘉宾刘天闻

2022年7月，共74位安全专家通过安全问题反馈平台向腾讯报告安全问题，腾讯对这些安全专家表示感谢。依据腾讯《TSRC漏洞处理和评分标准》关于“严重漏洞额外现金奖”的规定，以下4位白帽子由于为腾讯核心业务或重点业务提供高质量严重漏洞报告，TSRC特别授予他们月度即时现金奖励，具体明细如下：“tzrj”获得税后奖励30,000元；“鬼麦子”获得税后奖励10,000元；“pytho1n”获得税后奖励20,000元；“我好了”获得税后奖励10,000元；*《TSRC漏洞处理和评分标准》全文详见https://security.tencent.com/uploadimg_dir/other/TSRC.pdf?v=3.1感谢白帽子们，因为你们的存在，我们不再是孤独的守夜人。

如果你突然打了个喷嚏，那一定是我挂住你～七夕临近，TSRC特别发起专项众测活动，给你四倍奖励、多倍甜蜜！活动范围内，提交高危漏洞将获得两倍积分、严重漏洞获四倍积分。为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励。活动期间内，贡献值TOP10的师傅还将额外获得TSRC中秋礼盒1份。你填地址，我们帮你寄给TA冲吗？冲鸭！这个七夕，让我们一起甜甜蜜蜜！活动详情时间：即日起-2022月8月12日（周五）

2022年6月，共65位安全专家通过安全问题反馈平台向腾讯报告安全问题，腾讯对这些安全专家表示感谢。依据腾讯《TSRC漏洞处理和评分标准》关于“严重漏洞额外现金奖”的规定，以下4位白帽子由于为腾讯核心业务或重点业务提供高质量严重漏洞报告，TSRC特别授予他们月度即时现金奖励，具体明细如下：“量子沦”获得税后奖励30,000元；“我好了”获得税后奖励30,000元；“bestlzk”获得税后奖励10,000元；“KevinChow”获得税后奖励10,000元；*《TSRC漏洞处理和评分标准》全文详见https://security.tencent.com/uploadimg_dir/other/T感谢白帽子们，因为你们的存在，我们不再是孤独的守夜人。

compile.js是一个混淆的脚本，该脚本会执行包当前目录下的compile.bat脚本。compile.bat

实现对漏洞利用的影响主要在于：1、配置文件的路径不一致，2、配置文件的格式不一致，3、检查配置文件更新或监控新配置文件的逻辑有不一致的实现，这些都会影响黑盒或部分白盒场景的漏洞利用的稳定性。我们把

aishell3因为音频比较少，很快就处理完了，结果会输出到新生成的SV2TTS目录。然后训练synthesizer模型（如果目录里面有同名模型就会在之上继续训练，除非加了-f参数）：python

我们是TSRC互联网安全的守护者用户数据安全的保卫者我们找漏洞、查入侵、防攻击与安全行业精英携手共建互联网生态安全期待正能量的你与我们结盟！微信号：tsrc_team

文｜lake2前言这是前文《网络层绕过IDS/IPS的一些探索》[1]的延续，当时就想可以用四层以下的协议实现木马通信绕过各类IDS/IPS的检测，一直没有找到时间测试，正好这次攻防演练值守期间有了机会。标题之所以用“匿名信使”，是因为很久以前有一款利用Windows下net

官方安装指引，根据这一线索我们跟进调查。https://github.com/wg/wrk/wiki/Installing-wrk-on-Linux通过追溯这篇安装指引的更改历史，我们可以发现最早于

文｜鹅厂各BG安全团队和热心开发人员腾讯代码安全指南旨在梳理API层面的风险点并提供详实可操作的编码指引，是我们开展DevSecOps安全左移实践探索过程中，梳理沉淀面向开发人员的代码安全参考材料。本次开源涉及C/C++、JavaScript、Node、Go、Java、Python六门编程语言的安全指南。项目主页：https://github.com/Tencent/secguide项目背景近年来，无论是DevSecOps，还是Google

文｜腾讯洋葱反入侵系统vspiders、七夜、柯南概述4月11日，腾讯洋葱反入侵团队监测到一起PyPI软件供应链攻击事件，经过追溯疑似是由境外APT组织FIN8首次使用该手法进行的针对性攻击。攻击者在PyPI官方仓库伪造上传了guzzlehttp恶意包，该恶意包通过伪造著名PHP库

随着国家经济社会快速发展，网络犯罪持续高发。黑产利用各种社交工具、论坛等平台散布虚假信息，将用户引流至微信实施欺诈等恶意行为，已对用户造成巨大危害。腾讯一直秉持「用户为本，科技向善」的理念，坚持保护用户安全，打击治理网络犯罪行为。即日起，腾讯免费开放可疑黑灰产微信帐号反馈入口，积极联合第三方平台检测风险信息，响应各种黑产情报，协同治理安全问题，保护用户财产及人身安全。反馈入口永久免费使用欢迎按照以下指引接入接入指引step

TSRC收到报告后立即联合业务团队进行修复，现已紧急发布新版本修复该问题，Windows微信会自动升级，用户也可以通过“设置”-“关于微信”-“升级版本”升级到最新版（3.2.1.141及以上）。

文｜宙斯盾DDoS防护团队暴雪背景事实证明，每年春节假期，不甘寂寞、蠢蠢欲动的除了熊孩子，往往还有以DDoS为主业的黑客，而愉快的春节假期也随之成为DDoS攻击的高峰期。宙斯盾DDoS防护团队其实早已习惯与各种黑客"共度新春"，但2021年春节期间发生在腾讯云某游戏公司客户DDoS攻防大战却比以往的攻击更为凶猛、更加胶着。黑客为达目的，专门针对这个客户的多个游戏业务量身定制了完善的DDoS攻击方案，可谓无所不用其极，誓要将这个客户置于死地……0x01.

，导致安装恶意软件包。5）使用者在使用命令行手敲安装包名时，漏敲或多敲或错敲个别字符，或不经意粘贴其他内容，造成安装恶意软件包。比如在2020年7月31日，黑客在Python软件包官方源注册

等文件，而达到逃逸的目的。当然这类的文件的读写是EDR和HIDS重点监控的对象，所以是极易触发告警的；即使HIDS不一定有针对容器安全的特性进行优化，对此类的逃逸行为依旧有一些检测能力。5.2.

尾声近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区，到目前为止，腾讯洋葱反入侵系统已经发现多起严重的软件源投毒事件，并向业界提前发出通知。【安全通知】PyPI

文｜柯南、xti9er、harold事件概述近日，腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件，并已与官方作者取得联系。事实上该开源软件目前仅在github发布，目前正在尝试推动该站点下线。由于该问题在互联网广泛传播，腾讯安全应急响应中心（TSRC）秉承共建安全生态的原则，在此建议禁止访问该网站，并根据附件IOC尽快自查感染情况，保障用户安全。事件分析2019年12月26日，某组织注册的http://www.rinetd.com/域名上线，以rinetd工具的'官方'站点的身份，对外提供附带后门的rinetd源码压缩包下载。这份源码在原作者在Github上的代码基础上增加了一个检查更新函数-check_update，该函数可用于定期向c2发起更新请求，并根据c2的返回来执行系统命令。check_update函数如下：后门权限维持：捕捉到的请求：curl

尾声近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区，到目前为止，腾讯洋葱反入侵系统已经发现多起严重的软件源投毒事件，并向业界提前发出通知。【安全通知】PyPI

钓鱼话术上⾯提到了很多钓⻥攻击⼿段，但是就如word宏章节，如果不依赖漏洞的情况下，如何让对⽅点击启⽤宏，如何让对⽅信任你的⽂件，都需要话术的⽀撑。下⾯就来看看钓⻥的⼀些话术和⼿段。2.1

Server就算了，还有好多长尾），弄得很吃力。后来发现公司有统一的接入层，直接对接就好了，一下子就覆盖大部分，业务同事只需要在接入层管理界面点启用WAF就行，不用再去进行繁杂的Web

攻击者可对受感染的主机进行入侵，并实施窃取用户敏感信息及数字货币密钥、种植持久化后门、命令控制等一系列活动。恶意包感染过程如下：1.用户安装根据用户习惯，在安装requests包，容易将名字打错为

除了传统意义上的威胁建模方法论和工具以外，快速的安全自查checklist、安全知识库等都是一些有益的探索。目的都是要把需求和设计的安全评估推上持续构建的快车道。让这个过程不至于变的名存实亡。•

黑客在渗透过程中经常使用WebShell，可以被用来获取服务器权限，进行命令执行、文件操作等恶意操作，并达到持久化的控制目的。WebShell对系统安全的威胁不容忽视，因此WebShell的检测与防护是企业安全中非常重要的一环。

作者【腾讯安全平台部】球头人牛长前段时间，lake2与大家分享了从网络流量层针对IDS/IPS进行绕过的一些尝试研究，其中埋了个坑“感谢宙斯盾的球头人牛长一起测试这个代号007的项目，后面的流量分析就交给他来跟进”，让我压力山大。从毕业进部门，一直从事DDoS网络攻防对抗工作，先后负责安全系统的后台开发和策略运营，近段时间也在基于流量层面对传统安全能力增强进行尝试。趁着某天下午一杯星巴克的劲，苦苦思索（其实是失眠）到凌晨三点，理出一些头绪，也算做下阶段性总结，暂时填上这个坑，更以期与业界同行交流学习。传统基础安全领域，在通用产品能力上，一般分为三大件：网络层的防DDoS、主机层的防入侵和应用层的防漏洞。除了防DDoS之外，其他两个领域也给流量分析应用留下足够的想象空间。网络流量分析既指特定用途的硬件设备（如绿盟的NTA），也指基于网络层的安全分析技术，在FW\IDS\IPS中很常见。相比于主机层、应用层是以日志、请求等为分析对象，流量分析面对的是更底层的网络数据包，所包含的信息元素更多，但是分析起来也更加生涩。流量分析已被应用于多个领域，如带宽资源的合理性管控、网络链路排障以及本文所要探索的安全攻防领域。网络流量一般都是传输的海量数据，可以旁路部署（如端口镜像、链路分光），也可以串行接入（如物理链路串联、BGP按需导流），无论是哪种模式都需要一个强大的计算后台来支撑，同时策略上结合实时+离线，达到对分析性能和覆盖功能的平衡。其中有几个关键组件：

天空一声巨响招聘空投闪亮登场！腾讯安全平台部又双叒叕招人啦！无论运营、技术我们统统都要关于我们腾讯安全平台部成立于2005年，自身安全能力涵盖账号安全、反欺诈、撞库防护、业务防刷、DDoS防御、移动端安全、数据保护、入侵防护、AI攻防研究、安全大数据等，服务于腾讯全线业务，守护十亿用户的安全，更依托腾讯云和“互联网+”将安全能力输出到各个行业。腾讯安平工作是一种什么样的体验？来自TSRC

网关之一，有开源版和企业版两个分支，被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件，为云原生应用提供鉴权，转发，负载均衡，监控等能力。腾讯蓝军在红蓝对抗实战演练中发现云原生

unreachable）的ICMP包来实现UDP的阻断。但是效果有限：首先是客户端是否认可这个ICMP包，跟应用程序的代码有关[8]；另外，很可能这个ICMP包不能活着通过链路上的各种路由及防火墙。

剑圣近日，游戏行业某云客户遭受到大流量DDoS攻击，宙斯盾团队跟进溯源。在对抓取的攻击样本进行深入分析之后，我们发现这是一种新的UDP反射放大攻击手法，相关情况也分享同步与业界同行。

词法分析：读入源程序，识别出单词，并用记号token方式表示识别出的单词语法分析：在词法分析的基础上，根据语言的语法规则，把单词符号串组成各类语法单位，即在单词流的基础上建立一个层次结构-语法树。

产品从开发到发布，涉及到多工种协作，如果能让他们一块参与到安全工作当中，那么有时也可以弥补安全人力的不足，同时让非安全出身的业余选手也能干专业的事，帮助安全人员覆盖更多的攻击面测试，提升漏洞发现率。

3.软件包信誉评估，根据各大软件交付平台的软件包基础信息进行信誉评估，包括上架时间，访问次数，代码大小，文件名、fork次数等等，建设信誉评估模型，对低信誉的包进行安全报警，优点是场景通用，速度快。

Chain）还是MITRE的ATT&CK，都是传统意义的信息安全时代的红蓝对抗。随着时代的发展，各种新技术新架构的出现，红蓝对抗建设思路得从传统的信息安全视角转向网络空间安全视角

软件供应链投毒因其隐蔽性、易扩散性等特征，一直是今年APT攻击的主要手法之一。众多攻击者发布恶意Python库进行投毒污染，进而控制用户电脑，影响范围广泛。近日，腾讯洋葱反入侵系统检测发现，多个国内开源镜像站存在"jeIlyfish"、"libpeshnx"、"trustypip"、"pwniepip"等多款python恶意库。由于该问题可能通过开源镜像站影响广大用户，腾讯安全应急响应中心（TSRC）秉承共建安全生态的原则，已紧急知会国内部分受影响的开源镜像站安全团队或维护人员进行处理。TSRC在此建议各开源镜像站，请尽快自查处理，确保恶意库得到清除，保障用户安全。

其中，PFR有Intel的下游厂商支持和配合，Cerberus借助OCP社区的影响力，也获得了很多厂商的响应与认可；在我国等级保护2.0的合规性要求下，TPCM也有一定的部署激励与实践场景。

与内部安全团队展开深度合作，比如将移动安全能力支持内部安全系统（腾讯内部的金刚终端安全审计系统即整合了科恩的这部分能力）、联合实施产业互联网安全项目、联合举办会议/内部CTF比赛等；……

作者：[腾讯反入侵团队]

size！假设第一个SYN包的seq号为SEQ1，TCP服务器的windows

从大到强，网络安全实战演练必不可少。它是网络安全建设的试金石和助燃器，是检验企业安全防护水平的试炼之地。只有持续暴露网络安全防护、监测和应急处置的缺陷并优化改进，才能抵挡黑客不断变换的猛烈攻击。

Tensorflow[1]：由Google开发，面向开源社区，功能强大，易用性高，早期性能稍差，但在Google强大的工程能力下，已有明显改观，从使用量上看，目前是机器学习框架里面的TOP

产业互联网），使用云计算是一个方便低成本的解决方案，同时也为安全服务提供了一个入口。宙斯盾就这样依托腾讯云输出，除了为客户提供免费的DDoS防护基础服务，还推出了收费的定制化高防服务及私有云版本。

1前言在业务的生命周期里面，测试阶段——不管是上线前测试还是上线后测试都是安全团队的重要战场，历来为兵家必争之地，所以这里成就了漏洞扫描系统（这里指系统和Web漏洞）。漏洞扫描系统的市场非常火爆，很多安全公司都出售自己的漏洞扫描设备或者提供远程漏洞检测服务。但是对于大型企业，特别是在线业务庞大的大型互联网企业来讲，服务器和Web站点众多，且发布变更频繁，传统的商业漏洞扫描器往往不能满足其大规模和定制化的个性需求，这里就产生了自行研发的需求。“十年生聚十年教训”，腾讯自2005年就开始研发漏洞扫描系统，迄今为止正好十年，历经了三代架构变迁，最近正好在总结规划，于是我就顺便把腾讯漏洞扫描系统的一些建设经验和教训分享出来，供同行参考。2石器时代：艰苦创业腾讯安全平台部的前身腾讯安全中心刚刚成立之初，准备自动化的发现和清理安全漏洞，所以就产生了使用漏洞扫描系统的需求。当时公司又发布了《高危端口管理规范》，推动业务把对外暴露的服务控制在Web层面（简单理解就是非HTTP端口无必要不对外开放），所以就可以集中精力来保证Web安全。那时条件比较艰苦，整个团队也就几个人，也没有专业的开发，所以当时采用的方案是开源的Nessus做系统漏洞扫描，Nikto、Wikto等加上自己写的Perl脚本来做Web漏洞扫描。那时网站还没有现在那么多，系统对外暴露的比较少，这套方案勉强满足了当时的需求。其实说起原理来也比较简单，漏洞扫描系统的常规工作模式无非是基于HTTP协议的请求发送和响应检查（正则匹配），而Perl自身的LWP包（当然你也可以用IO::Socket自己来实现HTTP协议）就支持HTTP协议，所以用Perl写一个简单的漏洞扫描器非常方便。比如以下就是在2007年写的临时检测Apache

Center）建设的文章予以总结，现在终于有时间了。记得在2013年的第一届TSRC沙龙上，superhei和cnhawk就企业SRC的“法治”和“人治”问题现场PK起来（见《TSRC