2017年信息安全部门的工作会是什么样 信息安全 网络安全 2017年安全工作 互联网安全
2017年信息安全部门的工作会是什么样。转眼2017就到,这两年的安全行业变迁之快是很多人都不曾想见的,随之而来就是企业信息安全部门工作的变动。国外媒体CSO认为,2017年理应会发生下面这些变化。 安全人才短缺问题仍然存在?...
View Article恶意软件常用的感染技术 恶意软件 感染技术 常用感染技术 网络安全
恶意软件常用的感染技术。通过“横向运动”,恶意软件可以进一步扩大其战果:从原始受感染设备传播到同一网络内的其他设备。最近,勒索软件已经开始使用这种传播方式:包括CryptoWall [1]、CryptoFortess [2]、DMA-Locker [3]和CryptoLuck [4]在内的许多著名的勒索软件家族,不仅对受害者机器上的文件进行加密,而且对已经映射和未映射的文件共享进行了"横向运动",...
View Article如何更好地预防移动端勒索软件的侵害?要从勒索软件的运行机制入手 移动端勒索软件 预 ...
如何更好地预防移动端勒索软件的侵害?要从勒索软件的运行机制入手。在2016年发生了许多与勒索软件有关的安全事件,而现在越来越多的网络犯罪分子会通过勒索软件来获取大量的非法收益。除此之外,“勒索软件即服务”在暗网市场中似乎也成了一种新的潮流。更加恐怖的是,2017年将会成为勒索软件爆发的一年。因此,我们如何才能更好地保护自己的安全呢?...
View Article网络安全防护不得不知道的基于约束条件的SQL攻击 网络安全 安全防护 基于约束条件 SQL ...
网络安全防护不得不知道的基于约束条件的SQL攻击。目前值得高兴的是,开发者在建立网站时,已经开始关注安全问题了——几乎每个开发者都知道SQL注入漏洞了。在本文中,我将为读者介绍另一种与SQL数据库相关的漏洞,虽然它的危害性与SQL注入不相上下,但目前却很少为人所知。接下来,我将为读者详细展示这种攻击手法,以及相应的防御策略。背景知识最近,我遇到了一段有趣的代码,它尝试尽一切可能来保护数据库的访问安全...
View Article网络攻击防护之关于sql注入的一些理解 网络攻击 sql注入 sql注入解析 网络安全
网络攻击防护之关于sql注入的一些理解。sql注入是渗透最基础的东西我个人对sql注入的理解就是浏览器提交给服务器端的数据,在服务器端没有进行过滤,并带入数据库查询。要想彻底研究sql注入还得随便写一个页面。 代码如下(注释写了好久...) 数据库的数据如下 第一步 判断注入在url后面添加 and 1=1 如果网站正常显示 (如下图) 在url后面添加and 1=2 如果网站不正常显示 (如下图)...
View ArticleCVE-2016-7255:分析挖掘Windows内核提权漏洞 Windows系统 内核提权漏洞 内核提权漏洞 ...
CVE-2016-7255:分析挖掘windows内核提权漏洞。Windows内核提权漏洞CVE-2016-7255已经受到了很多媒体的关注。在11月份的Patch Tuesday中,微软发布了针对此漏洞的修复程序,将其作为MS16-135公告的一部分。根据微软的说明,CVE-2016-7255主要用于执行有针对性的攻击,并且可以通过一些“野路子”来找到样本。...
View ArticlePython新型字符串格式漏洞分析 Python Python漏洞 新型字符串格式漏洞分析
本文对python引入的一种格式化字符串的新型语法的安全漏洞进行了深入的分析,并提供了相应的安全解决方案。当我们对不可信的用户输入使用str.format的时候,将会带来安全隐患——对于这个问题,其实我早就知道了,但是直到今天我才真正意识到它的严重性。因为攻击者可以利用它来绕过Jinja2沙盒,这会造成严重的信息泄露问题。同时,我在本文最后部分为str.format提供了一个新的安全版本。需要提醒的...
View ArticleA Level-Headed Assessment Of CVE-2016-10033 And CVE-2016-10045
Here, I’ll take a level-headed look at recent vulnerabilities found in phpMailer, CVE-2016-10033 and CVE-2016-10045. Why All The Hubbub The vulnerability has caused quite the stir because the rampant...
View ArticleVermont power company finds malware linked to Russian hackers
The Department of Homeland Security logo is seen at the new ICE Cyber Crimes Center expanded facilities in Fairfax, Virginia July 22, 2015. PAUL J. RICHARDS/AFP/Getty Images Just a few days ago, the...
View ArticleOpenSSL 1.1 API 的迁移问题
很多人都知道, OpenSSL 1.1.0版本有意介绍了从以前的版本引入了重大的API更改 ,以前公开可见的大量数据结构已经变得不透明,添加了访问器函数以获取和设置这些现在不透明结构中的一些字段。值得注意的是,使用不透明数据结构对库通常是有益的,因为可以改变这些数据结构而不破坏ABI。因此,这些变化的总体方向在很大程度上是合理的。...
View ArticleSSL Cypher hardning
I the previouspost I described simple actions that you can take to harden your web server. It showed you headers that you can alter without too much interference on the functioning. In this post, I go...
View ArticleGood Morning 2017 What the DevOps World has in Store
Quality Takes Precedence over Quantity in Software Delivery Traditionally, the main selling-point of DevOps has been that it makes software development and deployment faster by enabling continuous...
View ArticleA lesson from network outages: Redundancy matters
Online outages are serious. Vendors lose money for every minute their users can't reach their web services, and business productivity tanks when employeescan't access the web applications they rely on...
View ArticlePhotocopier Security
A modern photocopier is basically a computer with a scanner and printer attached. This computer has a hard drive, and scans of images are regularly stored on that drive. This means that when a...
View Article《国家网络空间安全战略》开创网信事业新未来
原标题:《国家网络空间安全战略》开创网信事业新未来 2016年12月27日,是一个应当载入国家网络空间安全史册的日子,这一天,《国家网络空间安全战略》(以下简称“战略”)公开发布,成为迄今为止我国出台的第一份关于网络空间安全的战略文件,也是国家对网络空间安全领域进行的最为系统、全面的顶层设计,对推进国家网络空间安全对内对外工作具有重大指导意义,必将推动网络安全工作迈入全新的未来。 顺应时代潮流...
View Article这类便宜的USB设备,或许是对付账户劫持的最好方法 USB设备 账户劫持 账户劫持应对方法 ...
这类便宜的USB设备,或许是对付账户劫持的最好方法。过去五年以来,发生了一系列备受瞩目的账户挟持事件。网络安全专家群体中逐渐形成了一个共识:即使是随机产生的冗长密码也不能百分之百保证电子邮件以及其他的网上资产的安全。基于这个共识,网络安全专家们认为这些网上资产需要第二层身份验证来提供额外的保障。...
View Article1月2日 - 每日安全知识热点
热点概要: 缓冲区溢出说明(图文并茂版) 、 由于昨日的闰秒的问题,Cloudflare的DNS服务出错造成90分钟的5xx错误 、 OpenSSH < 7.4 - agent Protocol Arbitrary Library Loading、 长短短提供的CSP nonce bypass 国内热词(以下内容部分摘自http://www.solidot.org/):...
View Article看好你的机票和行李签信息,小心被黑客盯上
有了互联网,订机票似乎变得特别简单快捷,选座、值机,一切都可以在手机上完成,到时候去机场取票登机就可以。 常规的情况的确是这样――只要你没有被黑客盯上。 德国的一个安全研究院日前发布了一份安全报告,显示我们目前使用的机票预定系统存在巨大的安全漏洞。3个全世界最大的全球票务分发系统(简称GDS)不合理地储存/使用旅客信息,但又做不好相应的保护措施。...
View ArticleATS的一些问题处理
错误 如果一个url因为未满足ATS要求而访问失败,可能会提示下面这样的错误: Error Domain=NSURLErrorDomain Code=-1200 “An SSL error has occurred and a secure connection to the server cannot be made.” 工具 通常,可以使用工具来检测url所属的主机对ATS的支持情况。...
View ArticleLittle Blink camera expands into whole-home security, for a price
Today Blink is announcing a complete DIY home security ecosystem in support of its Blink and Blink XT cameras. The new products fit under Blink's new “ See curity” brand that's way too cutesy for any...
View Article