Clik here to view.
ToR服务中的公共IP是如何通过SSL证书暴露的
安全研究人员发现,许多使用 SSL 证书的 Tor 站点可能会因配置错误暴露真实服务器的公共 IP 地址。研究人员指出,托管隐藏服务的服务器在配置正确的情况下仅监听本机地址(127.0.0.1)。但是如果让 Apache 服务器或 Nginx 服务器监听0.0.0.0,就意味着服务器可绕过 Tor 直接与外部建立连接,这样一来,这些配置错误的服务器的真实IP就容易被发现。 Tor...
View ArticleClik here to view.
黑客常用的CSRF跨站攻击与防范-实例讲解
CSRF(Cross-site request forgery),是中文:跨站请求伪造的缩写,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。...
View ArticleClik here to view.
XSS WAF规则探测与绕过
*本文作者:Conan,本文属 CodeSec 原创奖励计划,未经许可禁止转载。 前言 本文 是 以B站一个有趣的XSS(已修复)为引子(为什么说有趣后面再解释),作为实例分析其WAF的规则,方便大家加深对XSS WAF探测以及针对性bypass的理解。 进入主题 一、一般waf是由多条正则配合使用,因而绕过也必须根据实际情况构造xss探针 '`";><aaa...
View ArticleClik here to view.
Container security orchestration with Falco and Splunk Phantom
Container security orchestration allows to define within your security policy how you are going to respond to your different container security incidents. These responses can be automated in what is...
View ArticleClik here to view.
IT和OT的协同防护已刻不容缓 3点入手
对于IT系统来说,大家比较熟悉,但对于以工业自动化控制系统为代表的OT(操作技术)系统却要相对陌生。实际上近年来针对OT发动的攻击却此起彼伏,如电力、医疗、公共设施等,安全己转向IT和OT协同防护。 常被忽视的OT 首先,我们来了解下IT与OT。IT即信息技术,是用于管理和处理信息所采用的各种技术总称,主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。而OT...
View ArticleClik here to view.
Sqlmap如何检测Boolean型注入
0x00 前言 一次使用sqlmap过程中,它无法检测出一个很明显的布尔型回显注入,很好奇sqlmap如何检测不出。再加上有写检测注入工具的想法,看看sqlmap究竟是如何自动判断boolean型注入。 0x01 无法检测boolean注入 这里是存在boolean型注入,sqlmap检测不出来了。...
View ArticleClik here to view.
【新科技创业2018】「漏洞银行」研发新一代安全防御生态体系
受访人:漏洞银行CEO罗清篮 36氪此前报道:《 提供企业安全服务?“漏洞银行”认为众测悬赏和综合诊断要两手抓 》 Q1、2018年 , 公司在技术、产品、市场、商业化、融资、团队等方面取得了哪些进展? 首先是在2018年提出了一种区别于传统安全理念的下一代安全理念,并基于该理念,自主研发出一套以产品和服务为核心的新一代安全防御生态体系,涉及漏洞安全、城域安全、云安全等多个安全细分领域。...
View ArticleClik here to view.
理解DNS记录以及在渗透测试中的简单应用
前言 DNS (Domain Name System, 域名系统 ),万维网上作为域名和 IP地址 相互映射的一个 分布式数据库 ,能够使用户更方便的访问 互联网 ,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。 基本概念 根域 就是所谓的“.”,其实我们的网址 www.baidu.com 在配置当中应该是...
View ArticleClik here to view.
漫话:如何给女朋友解释什么是DDoS攻击?
周五下班比较早,我正在家里面玩吃鸡游戏,正在疯狂的跑毒,这时候坐在旁边刷着抖音的女朋友问了我一个奇怪的问题。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是指攻击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为正常用户提供服务。 DoS 在介绍DDoS之前,需要先简单介绍一下什么是DoS。...
View ArticleClik here to view.
融合多种病毒家族功能特点的MiraiXMiner物联网僵尸网络
近日,深信服安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、远控木马、挖矿等,传播方式包括永恒之蓝漏洞、闭路电视物联网设备漏洞、mssql漏洞、RDP爆破和Telnet爆破等。 深信服已将其命名为MiraiXMiner,并且制定了完善的防御措施。 0x01攻击流程...
View ArticleClik here to view.
It’s The Change Freeze Season
Everyone’s favorite time of the year is almost here! Is it because it’s the holiday season? Perhaps it’s the magic that happens at the end of the year? Or maybe, it’s because there’s an even better...
View ArticleClik here to view.
22 apps on the Google Play Store had a massive security problem and millions...
Google typically removes malicious apps from thePlay Store, and that’s not anything new or notable. It’s their digital storefront so they should stay on top of keeping it clean from potentially...
View Article5 things every business should focus on to be successful
There are so many factors that go into making a business successful, from hiring the right talent and developing a product roadmap to managing real estate, technology, and finances. And if just one of...
View ArticleChinese Mobile App Companies Are a National Security Risk, Says a Top Democrat
Chinese mobile app companies pose the same national security risk to the US as telecom giants like Huawei and ZTE, Sen. Mark Warner said in an interview. From a report: Recent US legislation largely...
View ArticleClik here to view.
Dark Web Phishing Kits: Cheap, plentiful and ready to trick you
Spam email is a part of daily life on the internet. Even the best junk mail filters will still allow through certain suspicious looking messages. If an illegitimate email tries to persuade you to click...
View ArticleClik here to view.
Security Islands
The last decade has been an exciting time for the tech industry, with the advent of collaborative business practices like DevOps and modern tooling that enables us to go faster than ever. It’s made it...
View ArticleExploring container security: This year, it’s all about security. Again.
Earlier this year at KubeCon in Copenhagen, the message from the community was resoundingly clear: “this year, it’s about security” . If Kubernetes was to move into the enterprise, there were real...
View ArticleClik here to view.
美众议院公布改革美国网络安全的新思维与优先项
2018年12月7日,美国民主党参议员、参院情报委员会成员马克华纳在新美国安全中心发表演讲,批评美国政府在网络安全上投入不足,建议进行美国内网络安全大整顿。同日,美众议院能源和商业委员会监管和调查小组发布报告《网络安全战略报告》,呼应了华纳的主要观点,认为当前美国的网络安全举措并未跟上互联网的发展,传统的信息技术策略在应对不断增长的网络安全事件中收效甚微。基于此,该小组基于过去几年的听证会、研究报告...
View ArticleWhat all Developers Need to Know about: Threat Modeling
― This post is part of a series of blog posts about all kinds of Security topics for Developers ― Threat modeling is a process which far too few developers know about. It is a process that does what...
View ArticleClik here to view.
美日两国的网络安全专家,才是真正不懂网络的胖子
2016 年里约奥运会上,不熟悉大陆乒乓球队的台湾网友将教练刘国梁认成了官员,觉得全场就他不懂球。作为曾经的国乒一哥大满贯选手,刘国梁当然不是一个不懂球的胖子。 虽然台湾网友在这件事上闹了笑话,但是在全世界范围内,什么都不懂却身居高位指手画脚的事还真的不少。 就拿网络安全来讲,美日两国近几个月接连爆出各自的网络安全顾问不仅不懂网络甚至不太会用电脑。 出生于 1944 年的鲁迪朱利安尼现年 74...
View Article