-
Apache Cassandra数据库透露出高危级RCE安全漏洞
所属栏目:[安全] 日期:2022-03-17 热度:101
日前,JFrog的研究人员披露在Apache Cassandra数据库中发现高严重性安全漏洞(CVE-2021-44521),如果不加以解决,该漏洞可帮助恶意人员在受影响的计算设备上获得远程代码执行(RCE)权限。 Apache Cassandra是一个应用广泛的开源分布式NoSQL数据库管理系统,用[详细]
-
云计算时代下,企业面临的五个混合云安全困境
所属栏目:[安全] 日期:2022-03-17 热度:63
自云计算出现至今,它已经帮助很多企业实现数字化、智能化、自动化,尽管有很多文章在唱衰云计算,但近年来,边缘计算、物联网、AI等新兴技术正在推动云计算往更高的方向走。为了让云计算更具灵活性,很多企业会选择多种云来实现他们的业务目标,这也让云计[详细]
-
如何避免Web应用程序安全测试中的API盲区?
所属栏目:[安全] 日期:2022-03-17 热度:177
应用编程接口(API)是现代Web应用程序开发的一个重要部分,它们在整个Web攻击面中占有相当大的比重。在现实世界中,企业进行Web应用程序安全测试时覆盖整个攻击面,同时又满足测试准确性和工作流高效集成之类的需求,是一项艰巨的任务。现代应用程序远不止一[详细]
-
保护 SSH 的三个技巧
所属栏目:[安全] 日期:2022-03-17 热度:85
SSH(安全 Shell)是一个协议,它使你能够创建一个经过验证的私人连接,并使用加密密钥保护通道,在另一台机器上启动一个远程 Shell。使用这种连接,你可以执行远程命令,启动安全文件传输,转发套接字、显示和服务,等等。 在 SSH 出现之前,大多数远程管理是[详细]
-
微软计划加大office宏的开启难度,以阻止恶意软件传播
所属栏目:[安全] 日期:2022-03-17 热度:165
在恶意office文档中嵌入VBA宏是在钓鱼攻击中分发恶意软件的一种非常主流的方式,包括Emotet、TrickBot、Qbot和 Dridex。 微软宣布将在4月开始将启用从互联网下载的VBA宏的方式变难,旨在应对利用VBA宏来分发恶意软件。这一变化将从2203版本开始应用,只影响[详细]
-
隐私计算的硬件方案 可信执行环境TEE 兼顾数据安全、隐私保护
所属栏目:[安全] 日期:2022-03-17 热度:92
随着移动互联网和云计算技术的迅猛发展,越来越多的数据在云环境下进行存储、共享和计算,云环境下的数据安全与隐私保护也逐渐成为学术界以及工业界关注的热点问题。目前阶段,隐私保护技术主要基于密码算法及协议(如安全多方计算、同态加密等)完成场景落[详细]
-
供应链攻击是什么?以及如何处理
所属栏目:[安全] 日期:2022-03-17 热度:110
过去两年对供应链造成了重大破坏。新冠大流行将供应链攻击问题推向了前沿,2020 年中断率上升了 67%,随着全球市场适应新常态运营,问题预计将持续存在。 然而,对数字供应解决方案的日益依赖也为供应链攻击的增加奠定了基础,预计未来有增无减。2021年美国[详细]
-
修Bug哪家强?谷歌 Linux,比我都修得好
所属栏目:[安全] 日期:2022-03-17 热度:114
过去三年内,谁家程序员修Bug最强? 谷歌如是说。因为在他们最新发布的安全漏洞修复报告中,Linux修一个Bug平均只要15天,所用时间最少: 上述数据来源于谷歌在2014年开展的零计划(Project Zero)项目,由谷歌内部的顶级安全大佬参与,群专门对全世界的移动[详细]
-
聊聊了解数字签名,你知道了吗?
所属栏目:[安全] 日期:2022-03-17 热度:155
什么是数字签名? 数字签名(一种电子签名)是一种数学算法,通常用于验证消息(例如,电子邮件、信用卡交易或数字文档)的真实性和完整性。数字签名创建个人或实体独有的虚拟指纹,用于识别用户并保护数字消息或文档中的信息。在电子邮件中,电子邮件内容本身成[详细]
-
网络安全犯罪正朝向利用0day漏洞方向发展
所属栏目:[安全] 日期:2022-03-17 热度:99
据外媒,Kroll公司的最新威胁景观报告显示,CVE/零日漏洞利用现在已经占到安全事件案例的26.9%,表明攻击者越来越善于利用漏洞,在某些情况下,甚至在概念验证漏洞出现的同一天就利用了这些漏洞。 第四季度的勒索软件攻击数量略有下降,但它仍然是最受欢迎的[详细]
-
Second Order 一款功能强大的子域名接管漏洞安全扫描工具
所属栏目:[安全] 日期:2022-03-17 热度:161
关于Second Order Second Order是一款功能强大的子域名接管漏洞安全扫描工具,该工具可以通过网络爬虫爬取App,并收集匹配特定规则或以特定形式响应数据的URL地址以及其他数据,以期帮助广大研究人员扫描Web应用程序并发现其中潜在的二级子域名接管问题。 工[详细]
-
微软洞察 身份管理漏洞成为数字安全首要危害
所属栏目:[安全] 日期:2022-03-17 热度:159
过去两年,疫情影响下的新常态加速了全球范围内的数字化转型,数字化能力已经成为企业与个人生存与发展的核心能力。与此同时,世界所面临的数字安全威胁也在快速增长。 我们对来自微软一线安全团队的研究成果和数据进行了全面的汇总分析,包括对超过24万亿个[详细]
-
美、英发掘新的僵尸网络恶意程序 Cyclops Blink
所属栏目:[安全] 日期:2022-03-17 热度:84
英国国家网络安全中心(National Cyber Security Centre,NCSC)以及美国联邦调查局(FBI)等组织近日指出,俄罗斯黑客集团 Sandworm 自 2019 年 6 月就开始利用僵尸网络恶意程序 Cyclops Blink 来感染连网设备,并且主要锁定由 WatchGuard 所开发的防火墙设备,[详细]
-
PHP Everywhere漏洞让三万多个WordPress网站处于RCE攻击风险中
所属栏目:[安全] 日期:2022-03-17 热度:125
有数以万计的WordPress网站由于其使用的一个插件中含有关键的漏洞,从而使得网站面临着被攻击的风险。该插件可以使用户更方便的在网站上使用PHP代码。 研究人员发现,其中的一个漏洞允许任何级别的认证用户,甚至是订阅者和客户执行代码,完全接管安装了该插[详细]
-
运用加密算法漏洞提取Hive勒索软件Master Key
所属栏目:[安全] 日期:2022-03-17 热度:76
研究人员利用Hive勒索软件使用的加密算法中的安全漏洞成功提取了master key。 在众多的恶意代码类型中,勒索软件是最大、最主要的安全威胁之一。勒索软件可以加密用户数据并要求用户支付赎金来交换解密密钥。如果没有解密密钥很难恢复被加密的数据,因此许多[详细]
-
七步办好云计算基础设施的监控
所属栏目:[安全] 日期:2022-03-17 热度:111
数字化正成为一个新的社会热点和趋势,企业为了进行数字化转型,会使用云计算来改造和发展IT基础设施,以便实现业务的长远发展。由于步入数字化后,企业的很多服务、设备都将会在云计算平台上展开,一旦云计算基础设施遭遇攻击,企业的数字服务可能会中断,[详细]
-
弃用官方网站!Python 将全部 Bug 迁移到 GitHub 中
所属栏目:[安全] 日期:2022-03-17 热度:119
此前,Python 开发组一直在 Python 官方 Bug 网站 https://bugs.python.org/ (缩写为 bpo 或 BPO) 上进行 Bug 提交、跟踪和处理,该网站使用开源工具 Roundup 作为 Bug 跟踪器。 Python 核心开发者 ukasz Langa 在 Python Discourse 论坛上宣布 :Roundup /[详细]
-
搜索 已死, 推荐 是不是也将走到尽头
所属栏目:[安全] 日期:2022-03-17 热度:124
扎克伯格最近的日子很煎熬。 Facebook 自从换了马甲Meta后并没有改变其饱受争议的狼狈局面。这段时间,Meta 与欧盟委员会一直就用户数据回传问题僵持不下。 根据欧盟新数据保护法要求,在欧盟范围内收集用户数据的公司需要在欧洲的服务器上保存和处理数据。[详细]
-
企业应遵循的 4 大云数据安全最棒实践
所属栏目:[安全] 日期:2022-03-17 热度:182
新冠疫情背景下,企业数字化转型的步伐不断加快,上云越来越成为产业界的重要共识。而随着越来越多的用户上云,云数据安全必然成为用户需求中的一个核心命题。 数据安全和云平台可信赖度是很多用户顾虑的问题。与此同时,云数据安全的重要性将进一步提升,将[详细]
-
从Gartner的三次定义,看微隔离技术进展与演进
所属栏目:[安全] 日期:2022-03-17 热度:171
微隔离作为网络安全行业的当红技术,早已被业界所熟知。但是大家可能不知道,国际研究机构Gartner对微隔离(Microsegmentation)的名称和定义已经进行过两次修改。Gartner为什么这么做?微隔离的最新定义又意味着什么? 首次提名:软件定义的隔离 在网络应用的初[详细]
-
首席信息安全官处于2022年的12个决议
所属栏目:[安全] 日期:2022-03-17 热度:156
可以肯定地说,今年与往年一样,首席信息安全官仍将面临很多挑战,从劳动力的持续短缺到日益复杂的网络攻击,再到来自民族主义国家的持续威胁。然而,对于如何应对这些挑战,首席信息安全官也有很多想法。 行业媒体为此采访了多个行业领域的首席信息安全官,[详细]
-
企业如何在云系统上创建安全性?
所属栏目:[安全] 日期:2022-03-17 热度:174
由于当今企业的软件业务占比很大,因此确保 IT 运营安全对于确保企业的长期成功至关重要。云安全团队的规模会根据业务运营范围而有所不同,但企业仍要注意保护硬件,同时保护软件和数据免受 DDoS、黑客攻击、网络钓鱼等网络攻击。 本文将深入探讨云安全团队[详细]
-
Fortinet创始人谢青谈Fortinet与网络安全产业的现在与将
所属栏目:[安全] 日期:2022-03-17 热度:190
2021年第四季度财报发布之后,Fortinet向全球用户递交了一份绚丽的季度及财年答卷,再度成为投资者、网络安全行业及用户关注的焦点。Fortinet创立二十多年以来,不忘初心,始终引领网络安全行业的创新发展。增长速度仍然能够大幅领先行业,同时树立一个又一[详细]
-
网络骗子经过植入伪造的数字证据来实施陷害
所属栏目:[安全] 日期:2022-03-17 热度:106
研究人员警告说,威胁行为者正在劫持印度人权律师、活动家和维权者的设备,植入有罪的证据以准备逮捕他们。 这位被称为ModifiedElephant的攻击者已经从事这项工作至少10年了,现在仍然很活跃。据SentinelLabs研究人员称,自2012年以来,甚至更早,它一直在跟[详细]
-
CISP家族热门认证盘查
所属栏目:[安全] 日期:2022-03-17 热度:75
随着国家对网络安全的重视,中国信息安全测评中心根据国家政策、未来趋势、重点内容陆续增添了很多CISP细分认证,包括校园版CISP NISP国家信息安全水平考试、CISP注册信息安全专业人员认证、数据安全认证 CISP-DSG、攻防领域四大认证、工控安全认证CISP-ICSS[详细]
