网络钓鱼在节假日期间达到峰值
近日,F5发布了《2018年网络钓鱼和欺诈报告:节假日期为攻击峰值》,并指出,2018年10月,11月和12月的欺诈事件相比往年攀升了超过50%;网络钓鱼仍然是首选渠道,钓鱼者通过盗取登录认证和信用卡号码等私密信息而实现犯罪。...
View Article捷克政府发表声明:纠正对华为的错误警示
12月21日,捷克国家安全委员会正式发表声明,对国家网络与信息安全办公室的声明进行了纠正。声明全文如下: 1、国家网络与信息安全办公室是独立于政府的机构,其结论不是基于技术评估。 2、总理对华为手机的禁令是草率的。 3、国家网络与信息安全办公室仅警告关键信息基础设施或重要信息系统中包含的系统,并且在任何情况下都不涉及普通用户和终端设备。 4、为了国家安全,始终有必要确保网络安全的安全。...
View ArticleClik here to view.
OWASP Benchmark的搭建和使用
一、简介 OWASP benchmark是OWASP组织下的一个开源项目,又叫作OWASP基准测试项目,它是免费且开放的测试套件。它可以用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性,这样就可以得到这些软件的优点和缺点,还可以对它们进行相互比较。每个版本的OWASP...
View ArticleClik here to view.
Golang TLS双向身份认证DoS漏洞分析(CVE-2018-16875)
一、前言 如果程序源代码使用Go语言编写,并且用到了单向或者双向TLS认证,那么就容易受到CPU拒绝服务(DoS)攻击。Go语言的 crypto/x509 标准库中的校验算法存在逻辑缺陷,攻击者可以精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。 为了保护正常服务,大家应立即 升级 到G0 v1.10.6、v1.11.3或者更新版本。 二、研究背景...
View ArticleClik here to view.
第五篇翻译:SSRF to XSS
我正在测试一个名为visma的公共BUG赏金计划,像往常一样,我先收集了它的一些子域名。很少有子域能引起我的关注,但是下面列出的运行jira服务的子域成功吸引了我的注意 1. https://jira.visma.lv/secure/Dashboard.jspa 2....
View ArticleClik here to view.
以太坊钱包开发:账号Keystore文件导入导出
以太坊去中心化网页钱包开发系列,将从零开始开发出一个可以实际使用的钱包,本系列文章是理论与实战相结合,这是第二篇,主要介绍钱包账号导出与导入,将对Keystore文件的生成的原理进行介绍。 如何导入Geth创建的账号? 在 上一篇文章 ,介绍了如何使用私钥及助记词来创建账号,如果是使用已有的私钥及助记词,这其实也是账号导入的过程。...
View ArticleClik here to view.
第六篇翻译:信息泄露
接下来我将分享最近在私有BUG赏金平台上发现的API接口漏洞,这些漏洞真的特别有意思! 首先咱们假设漏洞站点的域名是redact.io ,该站点使用API从服务器上获取用户的数据,例如: http://api.redact.io 在开始渗透之前,我通常会先去了解该站点的API的工作原理,我在 http://docs.redact.io...
View Article如何解决那烦人的文件夹exe病毒?
最近,一股文件夹病毒之风在一中高一年级蔓延。其威力不小,给许多人造成了恐慌。 感染病毒后会U盘现象: 1.所有文件均变成了exe文件形式。 2.安全弹出时会提醒U盘正在被占用。 这确实令人头疼。 遇到这种别担心,其实,这种病毒本质上并没有吃掉你的文件,而是把你的文件隐藏,造成exe文件的假象。 建议不要使用一些奇奇怪怪的杀毒软件。...
View ArticleFederal Council not deciding again Switzerland falling behind on Cybersecurit...
To be clear upfront: I think that our political system is amongst the best across the Globe. It is one of the purest systems to reflect a democratic process in a direct democracy. This is shown in...
View ArticleThe Top 4 Tips to Accepting Online Payments
Today many people are using online payments more than ever before. The reason for this is that many businesses have integrated an online payment system as one of the way of receiving payments. The...
View Article置顶链团独家|马坤:区块链技术是网络信息安全中相对公平的机制之一【视频版】
链团独家|马坤:区块链技术是网络信息安全中相对公平的机制之一【视频版】 链团财经. 马坤,区块链技术 21140浏览 0评论 0收藏 当传统网络安全遇上区块链安全将擦出什么样的火花?本期问鼎记大佬邀请到了四叶草信息技术有限公司董事长马坤先生,作为深耕于传统网络信息安全领域的资深专家,对于区块链安全有怎样独特的见解?...
View Article第七篇翻译:bypass CSRF
嗨,伙计们!与你们分享一些好的东西总是很愉快的。从文章的标题就可以猜到今天我将分享一些关于绕过CSRF防护的技术。 什么是CSRF保护? 简而言之,CSRF(跨站请求伪造)攻击是一种专门针对WEB站点状态更改请求的攻击。为了防止这种攻击,开发人员以多种方式在request请求中添加了ANTI-CSRF token令牌。如果你想了解详细的原理可以看看这两篇文章 “ Article-1 “,”...
View ArticleClik here to view.
'Serious' Twitter flaw allows hackers to post on other people's accounts
A British security researcher has discovered a serious flaw in Twitter that allows anyone with knowledge of the vulnerability to send tweets from other users’ accounts. Richard De Vere, from ethical...
View ArticleClik here to view.
Equifax数据泄露的反思
忙碌的2018年已经走到了尾声,回顾这一年,团队把重心放到了安全系统的研发上,几乎占用了我们3/4的资源和精力,目前看算是顺利完成了阶段性任务。在把资源集中到研发后,既有的安全保障工作还能有条不紊地进行下去,真的要感谢大家这一年来的辛苦付出,克服了很多困难与挑战。年底了,就以这篇文章作为YiSRC今年的收尾吧,致敬团队里的每一位小伙伴,也感谢每一位关注YiSRC的伙伴们。...
View ArticleClik here to view.
Magellan and the Security Pitfalls of Third-Party Code
The Security Pitfalls of Third-Party Code As the web evolves, webpages are offering new powerful and interactive features Vulnerabilities in these features may allow remote attackers to run malware on...
View ArticleClik here to view.
The bleak picture of two-factor authentication adoption in the wild
This post looks at two-factor authentication adoption in the wild, highlights the disparity of support between the various categories of websites, and illuminates how fragmented the two factor...
View ArticleClik here to view.
曾和腾讯上演3Q大战,如今却慢慢走向没落,市值蒸发3000亿
一提到杀毒软件,想必不少人第一时间都会联想到360这样一个软件吧,当年,在国内有着众多的杀毒软件,什么金山毒霸、卡巴斯基以及百度杀毒等等,在当年的杀毒软件满天飞的年代里面,360凭借免费一举成了杀毒软件的龙头老大,可现如今的360却慢慢走向了没落。...
View ArticleClik here to view.
美在网络安全上污蔑攻击中方 外交部:邪压不了正
中新网12月21日电 据“外交部发言人办公室”公众号消息,外交部发言人华春莹今日指出,针对美方在网络安全问题上的错误言行,中方已经第一时间表明了严正立场。我想告诉他们,谎言重复一万遍还是谎言。在这个世界上,最终邪压不了正。正义也许会迟到,但永远不会缺席。...
View Article报告显示全球网络安全产业发展日趋活跃
新华网上海12月22日电(记者兰天鸣)《2018全球网络安全产业投融资研究报告》在19日举办的2018网络安全产业创新(上海)论坛上发布。报告显示,据不完全统计,2013年到2017年间全球网络安全企业数量以每年近14%的速度增长,2017年达到8982家。...
View ArticleA Security Checklist for Financial Services Organizations
In the eyes of the cyberattacker, just about anything and everything out there is a target. But whether for the theft of personal and confidential information (such as passwords and PIN numbers) or...
View Article
