-
无密码时代马上到来?
所属栏目:[安全] 日期:2021-12-17 热度:144
基于知识的身份验证方法(例如密码)的失误继续困扰着公司。Verizon的《2021年数据泄露调查报告》发现,61%的数据泄露涉及登录凭据泄露。现在是时候重新考虑密码的有效性。 这也无怪乎,无密码身份验证对话开始升温。Forrester Research公司分析师Sean Ryan表[详细]
-
物联网崛起 嵌入式系统安全日益受关注
所属栏目:[安全] 日期:2021-12-17 热度:138
有些人担心非传统联网设备的增加可能意味着为攻击者提供更多潜在切入点来入侵企业。同时,很多这些设备都属于嵌入式系统范畴,该领域的专家担心,从嵌入式技术令人担忧的历史来看,这种技术可能给企业带来最严重的安全风险。 传统上来看,嵌入式设备包含很小[详细]
-
OWASP Top10 列表是否够用引发的分析
所属栏目:[安全] 日期:2021-12-17 热度:70
对安全行业的人来说, OWASP Top10 恐怕没有人觉得陌生,这已经是一个众所周知的项目。这个项目已经运行了很多年,在过去的10年当中,这个项目分别在2004年、2007年、2010年、2013年、2017年几乎每三年发布一次更新,每一次发布的 Top10 漏洞列表都是当时最流[详细]
-
BEC攻击愈演愈烈,如何才能根除这种攻击?
所属栏目:[安全] 日期:2021-12-17 热度:157
近年来,商业邮件欺诈 (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同,但它们一般都有一个共同点,就是瞄准那些拥有金融控制权的工作人员(无论其是在大型或小型组织中),然后对其实施有针对性的鱼叉式网络钓鱼[详细]
-
分析CDN网络安全防护方案
所属栏目:[安全] 日期:2021-12-17 热度:155
今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前比[详细]
-
Dark Nexus僵尸网络盘点
所属栏目:[安全] 日期:2021-12-17 热度:177
Bitdefender 安全研究人员发现了一款新出现的IoT僵尸网络Dark Nexus。Dark Nexus利用被黑的智能设备来发起DDoS攻击,通过平台来提供DDoS 租赁服务。 研究人员发现Dark Nexus 通过凭证填充对路由器(Dlink、ASUS等知名品牌)、视频录像机、温感摄像机等不同种[详细]
-
利用网页中的 6 个特征字段检测钓鱼网站
所属栏目:[安全] 日期:2021-12-17 热度:186
你可能会认为钓鱼网站很难检测和跟踪,但实际上,许多钓鱼网站都包含唯一标识它们的HTML片段。本文就以英国皇家邮政(Royal Mail)钓鱼网站为例来进行说明,它们都包含字符串css_4WjozGK8ccMNs2W9MfwvMVZNPzpmiyysOUq4_0NulQo。 这些长而随机的字符串是追踪钓鱼[详细]
-
网络钓鱼活动通过WOFF模糊和电报渠道进行通信
所属栏目:[安全] 日期:2021-12-17 热度:78
FireEye Email Security最近遇到了各种钓鱼攻击,它们主要来自美洲和欧洲,使用源代码混淆受损或错误的域名。这些域名伪装成真实的网站并窃取了信用卡数据等个人信息。然后,被窃取的信息被共享给跨平台、基于云的即时消息传递应用程序。 在繁忙的假期前夕,[详细]
-
工作场所保护电子邮件安全的五个历程
所属栏目:[安全] 日期:2021-12-17 热度:189
Sophos电子邮件产品管理高级总监David Mitchell分享了他的主要技巧,以优化工作场所的电子邮件安全性。 尽管工作场所的聊天和即时通讯应用越来越多,但对许多人来说电子邮件仍继续在内部和外部业务通信中占主导地位。 不幸的是,电子邮件还是网络攻击的最常见[详细]
-
Water Pamola通过恶意订单对电商发起入侵
所属栏目:[安全] 日期:2021-12-17 热度:69
自2019年以来,趋势科技的研究人员一直在追踪一个被称为Water Pamola的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击了日本、澳大利亚和欧洲国家的电子商务在线商店。 但是,自2020年初以来,研究人员注意到Water Pamola的活动发生了一些变化。现在,[详细]
-
怎样为物理和虚拟环境提供最大限度防护
所属栏目:[安全] 日期:2021-12-17 热度:156
随着数据中心不断向云化的演变,物理和虚拟之间的界限越来越模糊。企业要将重要数据和应用程序迁移到基于云的环境中,但是对于安全来说面临着重重挑战。为了保护物理和虚拟服务器,IT专家一直以来都依靠防病毒等传统的防护技术,但这些传统安全解决方案往往造[详细]
-
Mozilla 自身是怎样模糊 Firefox 浏览器的?
所属栏目:[安全] 日期:2021-12-17 热度:150
Mozilla一直在模糊Firefox及其底层组件,它已被证明是识别质量和安全漏洞的最有效方法之一。通常,研究人员会在不同级别上应用模糊测试:浏览器作为一个整体进行模糊测试,但也需要花费大量时间来对孤立的代码(例如使用libFuzzer)或整个组件(例如使用单独[详细]
-
ZipperDown漏洞分析与修复建议是怎样的
所属栏目:[安全] 日期:2021-12-17 热度:83
本篇文章给大家分享的是有关ZipperDown漏洞分析与修复建议是怎样的,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 那如何防止ZipperDown漏洞带来的破坏呢?网易云易盾安全专家结合目前披[详细]
-
while死循环无法执行该怎么办
所属栏目:[安全] 日期:2021-12-17 热度:112
while死循环无法执行该怎么办,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。 这是一个很低级的错误:首先看我们脚本的名字 tcpdump.sh ,然后再看我们需要杀死进程的名字 grep tcpdum[详细]
-
为什么不应当在JS文件中保存敏感信息
所属栏目:[安全] 日期:2021-12-17 热度:68
本篇文章给大家分享的是有关为什么不应该在JS文件中保存敏感信息,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 在JavaScript文件中存储敏感数据,不仅是一种错误的实践方式,而且还是一[详细]
-
如何从零开始学习fastjson反序列化
所属栏目:[安全] 日期:2021-12-17 热度:134
这期内容当中小编将会给大家带来有关怎么从零开始学习fastjson反序列化,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。 fastjson使用简介 fastjson项目地址:https://github.com/alibaba/fastjson 用来实现Java POJO对[详细]
-
无视js前端加密的账号密码爆破工具JaFak如何用
所属栏目:[安全] 日期:2021-12-17 热度:60
无视js前端加密的账号密码爆破工具JaFak怎么用,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。 差点劝退 所以我决定搞点事情,把这个洞危害加大,我第一个想的就是爆破固定的用户名与密码[详细]
-
如何进行Django JSONField,HStoreField SQL注入漏洞解析
所属栏目:[安全] 日期:2021-12-16 热度:128
本篇文章给大家分享的是有关如何进行Django JSONField,HStoreField SQL注入漏洞分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 一、前言 Django是一个开放源代码的Web应用框架,由Py[详细]
-
如何分析Fastjson远程拒绝服务漏洞
所属栏目:[安全] 日期:2021-12-16 热度:192
这期内容当中小编将会给大家带来有关如何解析Fastjson远程拒绝服务漏洞,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。 一、前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序[详细]
-
怎么实现Fastjson远程代码执行漏洞的解析
所属栏目:[安全] 日期:2021-12-16 热度:152
本篇文章给大家分享的是有关怎么实现Fastjson远程代码执行漏洞的分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 一、前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的[详细]
-
Vista中EFS加密性能怎么样
所属栏目:[安全] 日期:2021-12-16 热度:138
这篇文章主要介绍Vista中EFS加密功能怎么样,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完! 从windows 2000开始,微软为我们提供了一个叫做EFS的加密功能,通过该功能,我们可以将保存在NTFS分区上的文件加密,让别人无法打开。虽然[详细]
-
怎么浅聊Fastjson RCE漏洞的绕过史
所属栏目:[安全] 日期:2021-12-16 热度:135
本篇文章给大家分享的是有关怎么浅谈Fastjson RCE漏洞的绕过史,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。 引言 fastjson作为一个是使用十分广泛的jar包,每一次的RCE漏洞都足以博得大[详细]
-
如何进行Fastjson 1.2.24反序列化漏洞分析
所属栏目:[安全] 日期:2021-12-16 热度:133
这期内容当中小编将会给大家带来有关怎样进行Fastjson 1.2.24反序列化漏洞分析,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。 0x00 fastjson fastjson是一个非常流行的库,可以将数据在JSON和Java Object之间互相转换[详细]
-
js文件都能获取到什么信息
所属栏目:[安全] 日期:2021-12-16 热度:173
js文件都能获取到哪些信息,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。 01 简介 JavaScript已经成为现代Web浏览器开发中最普遍的技术之一。有的测试人员只审计html源代码,而忽略审计js[详细]
-
如何寻回cocos2dx游戏的源码及分析jsc解为js
所属栏目:[安全] 日期:2021-12-16 热度:161
如何找回cocos2dx游戏的源码及分析jsc解为js,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。 接下来我介绍一下如何快速获取cocos2dx的游戏源码。 获得APK之后,第一步是将它解压。 解压之[详细]
