-
深入解析HashiCorp Vault中的身份验证漏洞
所属栏目:[安全] 日期:2022-08-04 热度:168
在上一篇文章中,我们为读者介绍了Vault的身份验证架构,以及冒用调用方身份的方法,在本文中,我们将继续为读者介绍冒用调用方身份以及利用Vault-on-GCP的漏洞的过程。 使用有效签名的JWT向该操作发送请求,将返回SubjectFromWebIdentityToken字段中的令牌[详细]
-
感染Windows最寻常的恶意电子邮件附件
所属栏目:[安全] 日期:2022-08-04 热度:133
为了保证网络安全,每个人都需要识别网络钓鱼电子邮件中通常用于传播恶意软件的恶意附件。 当恶意软件传播时,攻击者创建垃圾邮件运动,这些活动伪装成发票、邀请函、支付信息,运输信息,电子邮件,语音邮件等。这些电子邮件中包含恶意的Word和Excel附件或[详细]
-
腾讯云防火墙的几大核心优点
所属栏目:[安全] 日期:2022-08-04 热度:112
在云计算安全实践中,传统安全防护措施显得滞后且成本较高,云原生安全成为公认的发展趋势。在云原生计算环境安全里,云原生安全体系用更轻量级的Agent、更轻量化的部署,帮助企业更智能化地防御网络入侵攻击。 腾讯安全云防火墙产品,是腾讯云安全团队自主[详细]
-
影子物联网 日益上涨的企业安全盲区
所属栏目:[安全] 日期:2022-08-04 热度:113
在管理影子物联网的风险方面,企业、制造商和立法者需要发挥各自的作用。 企业的物联网设备的安全性如何? 员工在家工作而购买的大多数物联网设备相对成本低廉,由于是面向普通消费者,通常在硬件或软件层面很少对其进行安全保护。 此外,企业IT团队无法了解[详细]
-
Windows IPv6 协议栈内的安全漏洞
所属栏目:[安全] 日期:2022-08-04 热度:94
微软在10月的补丁日修复了87个安全漏洞,其中一个是Windows IPv6 协议栈中的安全漏洞。漏洞CVE编号为cve-2020-16898,CVSS评分为9.0分。攻击者可以利用恶意伪造的包在远程系统上执行任意代码。 由于Windows TCP/IP 栈不当处理使用Option Type 25 (Recursive[详细]
-
微软提示安卓用户 当心被新型勒索软件MalLocker.B袭击
所属栏目:[安全] 日期:2022-08-04 热度:99
最近微软已经发出了警告,一种新型的移动勒索软件开始出现,该软件利用来电通知和Android的Home按钮将设备锁定,然后进行勒索。 微软研究团队发现了一个名为MalLocker.B的已知Android勒索软件家族的变体,该家族现在已经采用新技术重新出现,包括采用对受感[详细]
-
Frp做内网穿透寻访家里的Web网站
所属栏目:[安全] 日期:2022-08-04 热度:165
大厂云做活动经常是1H 1G 1M的带宽,机器性能有限,如果web业务稍微大一些,可能连Mysql都跑不动。我们可以利用frp做内网穿透去访问家用电脑上的web服务。至少家用电脑是真材实料的物理核心。也可以充分利用带宽。 服务器端的配置,参考之前的文章:【教你用F[详细]
-
深入分析HashiCorp Vault中的身份验证漏洞
所属栏目:[安全] 日期:2022-08-04 热度:167
在这篇文章中,我们将为读者深入讲解HashiCorp Vault中的两个身份验证漏洞。实际上,我们不仅会介绍这两个漏洞的利用方法,同时,还会演示如何在云原生软件中找到这种类型的安全漏洞。这两个漏洞(CVE-2020-16250/16251)均已得到了HashiCorp公司的妥善处理,[详细]
-
数据脱敏产品应用价值差别与选型指标建议
所属栏目:[安全] 日期:2022-08-04 热度:81
数据安全正处于安全产业的风口,同时也是用户和市场关注的焦点。数据脱敏,看似一个简单易用千人一面的技术领域。但不同产品技术的性能表现和应用价值其实存在巨大差异。 一、数据敏感性识别能力 针对目标环境中的敏感数据进行发现,是进行数据脱敏公认的前[详细]
-
手机失窃 各种安全屏障为什么不灵了
所属栏目:[安全] 日期:2022-08-04 热度:182
日前,一篇描述因手机失窃信息被盗、带来一系列经济损失的文章在网上广泛传播。作者绑定了各种银行卡和个人信息用来日常移动支付的手机失窃,尽管他打电话挂失并锁定了银行卡,但偷手机犯罪团伙手法相当专业,解锁、重新绑定、转账,在很短时间内破解了手机[详细]
-
PHP安全 保证内容安全
所属栏目:[安全] 日期:2022-08-04 热度:79
除了Web系统本身不要出现漏洞而被攻击者利用外,还需要将内容数据安全地送达给用户,并且用户安全地接收内容数据。防止在传输过程中内容被篡改,防止用户提交非法内容,确保接收的内容是系统可接收的。 HTTP传输的数据都是未加密的,也就是明文,因此在传输[详细]
-
如何在家庭办公环境中取用并保护云平台
所属栏目:[安全] 日期:2022-08-04 热度:144
如今,很多组织使用云计算技术构建远程工作基础设施,为此他们需要了解云采用策略,减少网络延迟的技巧,以及云备份的好处。 从DIY云计算的想法和迁移策略开始 在迁移到云平台时,有一些较小的DIY任务可以让组织步入正轨。例如,组织可以将基础设施部署为代[详细]
-
这些Bug你碰到过几个
所属栏目:[安全] 日期:2022-08-04 热度:168
随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。 Cookie[详细]
-
对CFG漏洞缓解机制的解析研究
所属栏目:[安全] 日期:2022-08-02 热度:134
控制流保护(CFG)是Windows的一种安全机制,其目的是通过检查间接调用的目标地址是否是有效的函数来减轻执行流的重定向,我们可以用这个例子作分析。 通过这个例子,我们用MSVC编译器编译一个exe文件,看看在调用main()之前生成和执行了什么代码: 随后执行:[详细]
-
轻巧破除iPhone 5和5c的密码
所属栏目:[安全] 日期:2022-08-02 热度:161
iPhone 5c成为苹果生产的最后一款32位iPhone,iPhone 5c最初是使用iOS 7.0发行的,这款手机最新的iOS版本是iOS 10.3.3。 iPhone 5c在2015年12月圣贝纳迪诺恐怖枪击事件后声名鹊起,该事件演变为一场激烈的联邦调查局和苹果公司之间的加密事件。在这场纠纷中[详细]
-
谷歌为Chronicle网络安全平台引入威胁检测性能
所属栏目:[安全] 日期:2022-08-02 热度:130
VentureBeat 报道称,谷歌已正式将威胁检测功能引入该公司旗下的 Chronicle 网络安全平台,并承诺为企业提供与自家规模相当的威胁分析服务。作为最初诞生于 Alphabet 内部 X 部门的一个项目,其于 2018 年成为了一家独立的网络安全企业,并于去年 6 月被 Goo[详细]
-
苹果高危漏洞允许攻击者在iPhone iPad iPod上实行任意代码
所属栏目:[安全] 日期:2022-08-02 热度:118
苹果发布了iOS和iPadOS操作系统的更新,修复了多个安全性问题。 通过此安全更新,Apple 解决了 AppleAVD,Apple Keyboard,WebKit和Siri等各种产品和组件中的11个漏洞。 在已修复的漏洞中,严重性最高的是CVE-2020-9992,它允许攻击者在系统上执行任意代码。[详细]
-
5G 和 IoT 的增加带来了新的 物理 网络威胁
所属栏目:[安全] 日期:2022-08-02 热度:51
随着网络风险的不断发展,财产保险公司(以及其他传统保险公司)越来越不愿意承保网络攻击造成的物理损失。以英国审慎监管局(PrudentialRegulationAuthority)和伦敦劳合社(Lloyds)为首的监管机构对所谓的沉默的网络日益不容忍,这意味着劳合社的所有保险公司必[详细]
-
我国网络容量安全人才缺口大
所属栏目:[安全] 日期:2022-08-02 热度:184
网络安全是技术更新最快的领域之一,网络空间的竞争,归根到底是人才的竞争。正在天津举行的2019年国家网络安全宣传周上,网络空间安全人才该如何培养这一话题引发广泛关注。与会专家和业内人士表示,我国网络空间安全人才缺口大,人才培养瓶颈亟待疏通。 高[详细]
-
点亮你的 HTTPS 原来这么容易
所属栏目:[安全] 日期:2022-08-02 热度:112
HTTPS 如今已经相当普及,但是仍然有不少的同学,没有学过如何部署 HTTPS,刚好明哥前段时间折腾网站 ,刚好可以把这个过程详细的记录下来,教大家如何将你的 HTTP 网站上点亮 HTTPS 。 1. 设置 DNS 解析 我有一个域名 iswbm.com,其下有好多的子域名,比如[详细]
-
Raccoon攻击可以击破特定条件下的TLS 加密
所属栏目:[安全] 日期:2022-08-02 热度:163
Raccoon 攻击是TLS规范中的时序漏洞,影响HTTPS 和其他基于TLS 和 SSL 的服务。基于 TLS 的这些协议使得用户可以在浏览web网站、使用邮箱、发送即时消息时没有第三方可以读取通信的内容。 Raccoon攻击使得攻击者可以在特定情况下打破TLS 加密,读取敏感通信[详细]
-
运用 Mojo IPC 的 UAF 漏洞逃逸 Chrome 浏览器沙箱
所属栏目:[安全] 日期:2022-08-02 热度:94
我的目标是使不熟悉Chrome浏览器开发的人可以看懂这个帖子,因此,我将从了解Chrome的安全架构和IPC设计开始。请注意,此部分的所有内容也适用于基于Chromium的Edge,默认情况下已于2020年1月15日发布。 Chrome 架构 Chrome安全体系结构的关键支柱是沙箱。Ch[详细]
-
如何经过SASE将SD-WAN与安全性结合起来
所属栏目:[安全] 日期:2022-08-02 热度:64
SASE也是一种网络架构,可将软件定义广域网(SD-WAN)和安全性集成到云计算服务中,从而保证简化的WAN部署、提高效率和安全性,并为每个应用程序提供适当的带宽。 什么是SASE? 简而言之,SASE将SD-WAN功能与安全性相结合,并将其作为服务交付。根据以下四个因[详细]
-
一开放服务器显露Bing移动应用数据
所属栏目:[安全] 日期:2022-08-02 热度:121
据外媒报道,包括iOS和iPadOS在内的所有平台上的Bing移动应用用户都面临着风险,因为来自开放服务器的TB级用户信息被窃[详细]
-
等保2.0高风险项之安全的领域边界
所属栏目:[安全] 日期:2022-08-02 热度:56
随着等保2.0正式生效以来,各行各业都在为了过每年等保测评操碎了心。很多单位安全负责人以为买几台安全设备就可以大摇大摆的通过等保测评,殊不知过等保2.0的要求是具有相应的安全防护能力或措施,尤其是一些高压线条例,更是要求实打实的满足。 (1) 互联网[详细]