-
如何避免安全项目投入中的“黑洞”
所属栏目:[评论] 日期:2018-12-16 热度:136
任何信息安全公司任何时候都会有很多不同项目在进行,而且是在还有很多日常操作性活动的情况下。每个项目都要花费一定的金钱、资源和时间。同时,这些项目对公司整体安全态势的贡献也不一样,并且处在不同的完成度上。公司企业需持续评估项目的预算消耗情[详细]
-
从插件入手:挖掘WordPress站点的“后入式BUG”
所属栏目:[评论] 日期:2018-12-16 热度:65
前言 当任务目标是一个wordpress站点的时候,是否让你感到过头大?wpscan扫了半天,却没有任何有利用价值的bug,这时候就拍拍屁股走人了? 遇WordPress头大?让我们从插件入手! 流行框架一般不会有什么太大的漏洞,顶多根据少有的特性接口找到一些可以利用的[详细]
-
提高Linux的网络浏览器安全性的5个建议
所属栏目:[评论] 日期:2018-12-16 热度:86
如果你使用 Linux 桌面但从来不使用网络浏览器,那你算得上是百里挑一。网络浏览器是绝大多数人最常用的工具之一,无论是工作、娱乐、看新闻、社交、理财,对网络浏览器的依赖都比本地应用要多得多。因此,我们需要知道如何使用网络浏览器才是安全的。一直[详细]
-
从Facebook和谷歌“安全门”说起:SD-WAN的“奶酪”与“陷阱”
所属栏目:[评论] 日期:2018-12-16 热度:194
9月28日,黑客利用Facebook的安全漏洞窃取了与用户个人资料相关的安全令牌,导致近5000万用户的账户遭到了破坏;10月9日,Google宣布关闭旗下社交网站Google+的消费者版本,因为Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝[详细]
-
11月研究显示,网络安全威胁在不断演变
所属栏目:[评论] 日期:2018-12-16 热度:135
网络安全行业研究报告是掌握最新威胁的一种很好的方法,还能够防止这些漏洞影响您对组织的控制。2018年11月发布的研究涵盖了IT风险的所有领域,包括身份、应用程序容器、漏洞披露以及全球威胁形势本身。以下是本月发布的11份报告的要点,以及网络防御组织[详细]
-
微信支付勒索病毒愈演愈烈 边勒索边窃取支付宝密码
所属栏目:[评论] 日期:2018-12-16 热度:189
感谢火绒安全的投递 12月1日爆发的微信支付勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的CC服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。首先,该病毒巧妙地利用供应链污染的方式进行传播[详细]
-
漏洞银行CTO张雪松:我们需要用“开放安全”新视角拥抱安全
所属栏目:[评论] 日期:2018-12-16 热度:115
【51CTO.com原创稿件】近年来,随着网络空间安全上升到国家战略高度,《中华人民共和国网络安全法》等法律法规的颁布和实施,以及监管机构的推动,企业机构对网络安全愈加重视。但是,我们不可否认,在网络安全技术不断提升的同时,黑客的攻击手段也在日益[详细]
-
黑客入侵与机器学习沙箱逃逸
所属栏目:[评论] 日期:2018-12-09 热度:177
简介 对于攻击者来说,在收集目标数据的过程当中(基础设施扫描、踩点、传递恶意软件),很容易被安全分析师发现。机器学习在防御领域的应用不仅增加了攻击者的成本,而且极大地限制了技术的使用寿命。其实攻击者已经发现了这种趋势: 防御软件以及安全分析[详细]
-
Radware:利用安全扩大企业业务
所属栏目:[评论] 日期:2018-12-09 热度:80
谁来为我的设备和应用安全负责?在当今日益严峻的威胁形势下,这是一个重要问题,但也是一个没有明确答案的问题。尽管对移动应用以及连接设备安全特性的需求有所增加,但没有关键参与者会承担这个责任,包括设备制造商、消费者、移动运营商或消费者通过设备[详细]
-
绿色挂锁的Https一定安全吗?
所属栏目:[评论] 日期:2018-12-09 热度:147
也许曾经有人建议你所有安全连接都有绿色挂锁图标,访问这些有绿色挂锁的链接可以避免网络钓鱼和恶意软件攻击。然而,这条建议现在已经无效了。新的研究表明近一半的网络钓鱼站点现在都部署了安全套接字层(SLL)保护,并在浏览器导航栏中设置了挂锁图标,试[详细]
-
网络钓鱼泛滥,这次轮到谷歌文档
所属栏目:[评论] 日期:2018-12-09 热度:138
近日,网络安全公司Fortinet的FortiGuard实验室研究人员发现一场正在进行中的谷歌文档(Google Docs)恶意活动。网络犯罪分子利用某些知名网络安全公司的名义,精心设计了巧妙的网络钓鱼诱饵,其攻击目标为Windows、Android和MacOS平台的用户。 今年早些时候[详细]
-
挖矿病毒不仅吞噬电力 更可拖慢企业的计算能力
所属栏目:[评论] 日期:2018-12-09 热度:190
据国外媒体报道,普林斯顿大学的计算机科学教授Arvind Narayanan评估,比特币挖矿每天耗掉5吉瓦的电力,接近全球耗电量的1%。然而,这其中并不包括隐形的挖矿病毒,许多中招的数据中心,以及无法精确统计的僵尸网络,正在贪婪的吞噬电力、拖慢企业的计算能[详细]
-
格格不入?GDPR、数字身份和区块链
所属栏目:[评论] 日期:2018-12-09 热度:165
不可更改的记录和GDPR数据主体权利能共存吗?为什么区块链或许满足不了数据隐私需求? 技术行业里有时候你不得不与矛盾的需求共处。我们经常发现自己处于在平衡人类天性vs安全或法律vs技术的状况中。人类天性vs安全的例子常见于口令策略领域强口令必然伴随着[详细]
-
腾讯安全与青藤云安全达成战略合作,发布“天眼云镜”主机安全产品
所属栏目:[评论] 日期:2018-12-09 热度:189
【51CTO.com原创稿件】11月28日,腾讯安全与青藤云安全在北京召开发布会,宣布在云安全领域展开战略合作,发布了天眼云镜企业私有数据中心主机安全解决方案。未来,双方将以腾讯云提供的高效稳定、安全可控的云服务为基础,共同加码云安全建设,为行业用户[详细]
-
了解目标攻击:目标攻击的六个组成部分
所属栏目:[评论] 日期:2018-12-09 热度:53
有针对性的攻击是(或应该)是任何地方大型组织的重要关注点。精心设计的攻击分六个阶段进行,显示攻击者如何在目标内进展。 自从有针对性的攻击首次出现在威胁环境中已有好几年了,各种威胁和我们对他们的理解都已经发生了演变和成熟。从那时起我们学到了什[详细]
-
成为“黑客”前,必须学习的“计算机网络通信原理”
所属栏目:[评论] 日期:2018-12-09 热度:106
黑客的目的是寻找目标漏洞,然后去发起攻击或者提出解决方案修补漏洞,而寻找漏洞的过程,你就需要掌握很多知识,例如计算机原理、计算机网络、操作系统、计算机软件、编程语言、数据结构、数据库技术、前沿技术等等,在这么多要学习的内容里,首先需要先[详细]
-
规避恶意软件的热潮
所属栏目:[评论] 日期:2018-12-09 热度:128
在我们这个行业历史上,几乎每一个IT专业人员都非常清楚,有必要制定一个安全策略,这种策略不仅可以防范当前的威胁,也能防范未来的IT组织一样,在攻击方法中的下一件大事到来时,确保他们做好准备。 多年来,安全供应商一直在寻求阻止恶意软件,从纯粹基[详细]
-
黑客的“攻”与“受”之防火墙
所属栏目:[评论] 日期:2018-12-02 热度:175
目前,保护网络安全的最主要手段是构筑防火墙,它是企业内部网与Internet间的一道屏障,可以保护企业网不受来自外部的非法用户入侵,也可以控制企业内部网与Internet间的数据流量。 什么是防火墙? 防火墙是在网络之间执行控制策略的系统,它包括硬件和软[详细]
-
黑客小说盘点,8大黑客小说
所属栏目:[评论] 日期:2018-12-02 热度:109
黑客一直有着神秘又高端的形象,人们对于黑客的遐想也催生出一系列黑客为主题的小说,你看过哪些关于黑客的小说? 1. 《天擎》 作者:撒冷 故事主人公是段天狼,一个背负着天狼星命运的男人,一个拥有像电脑一样可怕精算能力的男人。段天狼,一个背负着天狼[详细]
-
HTTPS也不安全?No,只因没有避开这个误区
所属栏目:[评论] 日期:2018-12-02 热度:137
当我们在咖啡馆连上WiFi打开网页和邮箱时,殊不知有人正在监视着我们的各种网络活动。在打开账户网页的一瞬间,也许黑客就已经盗取了我们的银行凭证、家庭住址、电子邮件和联系人信息,而这一切我们却毫不知情。这是一种网络上常见的中间人攻击(Man-in-the[详细]
-
2019年顶级应用安全工具
所属栏目:[评论] 日期:2018-12-02 热度:179
威瑞森《2018数据泄露调查报告》称,大多数黑客攻击仍是通过Web应用发起。基于此,应用测试和防护就成为了很多公司企业的首要任务。如果会利用一些精选应用安全工具,这项工作还可以完成得更轻松些。下面便为大家列出2019最佳应用安全工具,并附上各自的最[详细]
-
恶意软件之“十恶不赦”排行榜
所属栏目:[评论] 日期:2018-12-02 热度:144
(十恶不赦中的十在我们常规使用过程中多是个虚指,在我们此文中就做实指用。为了突出表达对恶意软件的态度,信手拈来,于此释之。) 从国外安全厂商Check Point提供信息了解到,最新全球威胁指数显示远程访问木马(RAT)越来越突出,而对恶意加密恶魔软件的加[详细]
-
什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击
所属栏目:[评论] 日期:2018-12-02 热度:148
在工作中和站长圈混迹多年以后,对安全方面也略知一二,很多同学拿到安全测试报告以后一脸懵逼的不知道这些缩写字母都是什么意思,如何修复,今天就面向无安全基础的同学大概讲一讲这三类攻击是如何形成的,知道他的原理以后,就可以进行防御了。因为每个[详细]
-
黑客入门之手机WiFi定位原理
所属栏目:[评论] 日期:2018-12-02 热度:148
Wi-Fi能够对用户进行定位。因为在Android、iOS和Windows Phone这些手机操作系统中内置了位置服务,由于每一个Wi-Fi热点都有一个独一无二的Mac地址,智能手机开启Wi-Fi后就会自动扫描附近热点并上传其位置信息,这样就建立了一个庞大的热点位置数据库。这个[详细]
-
API接口手工防御被恶意调用和接口被攻击
所属栏目:[评论] 日期:2018-12-02 热度:84
通常情况下的api接口防护有如下几种: 使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在[详细]
