为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验
2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。 笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在...
View Article英国电信携手趋势科技加强云端服务安全
全球领先的通信服务与解决方案提供商英国电信(BT)今日宣布,与网络安全解决方案的全球领导者趋势科技签署合约,旨在BT云计算平台为客户提供趋势科技Deep Security(深度安全)数据中心解决方案。 BT的客户可通过单一集成平台享受Deep Security解决方案针对物理、虚拟以及云端服务器进行的保护,该服务随用随付。 Deep...
View Article报道称洛杉矶山谷学院向黑客支付价值2.8万美元的比特币赎金
据外媒报道,洛杉矶一所大学在1月3日遭受网络攻击后向黑客支付了一笔价值2.8万美元的比特币赎金,在该校网站遭到攻击后学生和教师均无法访问他们的账号。 洛杉矶山谷学院校报《The Valley Star》在上周五报道称,该校学生和教职员工的文件、邮箱及信息系统被黑客锁定,黑客威胁称如果一周内不支付赎金,他们将删除所有资料。 为确保计算机系统恢复正常,学校最终不得不向黑客支付赎金。...
View Article1月12日 - 每日安全知识热点
热点概要: 通过DMA攻击linux设备的UEFI运行时服务控制设备 、 wordpress发布最新4.7.1进行大量安全更新,建议用户升级 、 未修补的LSASS远程拒绝服务(MS16-137) , 对抗杀软的两篇不错的文章 、 远程漏洞利用:无需借助套接字的Shellcode 国内热词(以下内容部分摘自http://www.solidot.org/): 用GPU处理数据库,性能提升百倍...
View ArticlePHPMailer任意文件读取漏洞分析(CVE-2017-5223)
*本文原创作者:Yxlink,本文属CodeSec原创奖励计划,未经许可禁止转载 phpMailer 是堪称全球最流行邮件发送类 , 其全球范围内的用户量大约有 900 万 , 被诸多开源项目所采用,包括 WordPress 、 Drupal 、 1CRM 、 Joomla! 等 。 铱迅安全团队于2017年1月6日发现PHPMailer<=...
View Article安全行业从业人员自研开源扫描器合集
Scanners-Box 指引 简介 Scanners-Box是一个集合github平台上的安全行业从业人员自研开源扫描器的仓库,包括子域名枚举、数据库漏洞扫描、弱口令或信息泄漏扫描、端口扫描、指纹识别以及其他大型扫描器或模块化扫描器; 该仓库只收录各位网友自己编写的一般性开源扫描器,类似nmap、w3af、brakeman等知名扫描工具不收录 。 非常欢迎大家贡献commit! 子域名枚举...
View Article在Spring Boot中使用Spring Security实现权限控制
Spring Boot框架我们前面已经介绍了很多了,相信看了前面的博客的小伙伴对Spring Boot应该有一个大致的了解了吧,如果有小伙伴对Spring Boot尚不熟悉,可以先移步这里 从SpringMVC到Spring Boot ,老司机请略过。OK,那我们今天要说的是Spring Boot中另外一个比较重要的东西,那就是Spring...
View ArticleMinimum number of characters to be removed to make a binary string alternate
Given a binary string, the task is to find minimum number of characters to be removed from it so that it becomes alternate. A binary string is alternate if there are no two consecutive 0s or 1s....
View ArticleHackers Target Marijuana Shops with Attacks Against Critical Software
Hackers managed to disrupt the activity of marijuana shops after launching attacks against the software that’s being used for sales and inventory. Boston Globe reports that several shops and medical...
View Article微信小程序安全浅析
点击上方 “白泽安全团队” 可以订阅哦! 引言 近期微信小程序重磅发布,在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序的安全性还存有疑虑。白泽日前对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,轻拍。...
View ArticleHacker Steals 900 GB of Cellebrite Data
The hackers have been hacked. Motherboard has obtained 900 GB of data related to Cellebrite, one of the most popular companies in the mobile phone hacking industry. The cache includes customer...
View Article【漏洞分析】MS16-137:LSASS远程拒绝服务漏洞分析
【漏洞分析】MS16-137:LSASS远程拒绝服务漏洞分析 2017-01-13 14:41:51 来源:coresecurity.com 作者:shan66 阅读:955次 点赞(0) 收藏 翻译:shan66 预估稿费:140RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言...
View ArticleDestoon 6.0 guestbook.php 通用SQL注入漏洞
刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。 我们先看看diff(左新右老): mobile/guestbook.php 中将 $_SERVER['HTTP_USER_AGENT']...
View Article美国食品药物管理局证实:心脏医疗设备可被黑客入侵
美国食品药物管理局(FDA)本周一证实,圣犹达医疗公司出品的心脏移植设备存有可供黑客访问的漏洞。一旦入侵发生,黑客可以耗尽设备的电量、设置错误的跳动节奏和震击。 心脏起搏器和除颤器等设备都在漏洞影响之列,而这些设备原本用于监视和控制患者的心脏功能,以防止心脏病发作。...
View Article基于PHP编程语言的SSO实例
SSO有三种模式:①跨子域单点登陆②完全跨单点域登陆③站群共享身份认证 第一种模式很简单,只需要将Cookie的域设置成多个应用的根域即可 第三种方式,也很简单,就是将所以应用的认证地址更换成同一个认证地址,每次查看是否在认证中心登陆,如果登陆了,给调用应用发放一个加密令牌即可 第二种跨域,就是来回跳转来回验证token略有麻烦 配置目录结构 在服务器根目录下,新建三个项目目录: | /网站根目录/...
View Article美国国土安全局测试使用区块链跟踪跨境人口和商品,防止黑客攻击物联网设备
据报道,美国国土安全部(DHS)正在测试使用区块链技术来保护美国入境口岸(包括边境和机场)的摄像头和其他设备,目的在于更好地检测和阻止入侵者尝试劫持这些设备和操作这些设备收集的数据。 美国和墨西哥边境处的一个红外摄像头...
View ArticleHackers Hacked Phone Hacking Company
Cellebrite made the news several times in the last 12 months or so, pretty much because of the company’s phone hacking capabilities and its involvement in the San Bernardino scandal when it was asked...
View ArticleDotClear文件上传漏洞分析
DotClear 文件上传漏洞 影响版本:<=2.11.2 官网链接: http://dotclear.org 漏洞分析 文件上传出现在 /admin/media.php 第250行 if ($dir && !empty($_FILES['upfile'])) { // only one file per request : @see option...
View ArticleGoDaddy Forced to Revoke 9000 SSL Certs
Domain registrar and certificate authority (CA) giant GoDaddy has been forced to revoke 9000 SSL certificates after discovering that a bug introduced way back in July caused the domain validation...
View Article