评论_衡阳站长网

REST API面临的7大安全威胁

所属栏目：[评论] 日期：2019-01-26 热度：147

近年来，互联网上安全漏洞显著增多。互联网安全的话题也被技术博客和论坛讨论得越来越频繁:安全性非常重要，尤其是在REST API的世界中。根据Jitterbit公司2018年API集成状态报告: APIs 正在改变商业令人印象深刻的是，现在有64%的组织机构正在创建用于内[详细]
搞物联网安全多云多维要跟上

所属栏目：[评论] 日期：2019-01-26 热度：76

如今物联网技术高速发展，各形态物联网设备层出不穷，从无人机到智能交换机，甚至到供热通风与空气调节系统内都有其身影。不过在安全防护上却并没深刻意识到来自设备维度、系统维度、网络维度、云端维度上的诸多威胁。实际上，多云多维的物联网防护正成为[详细]
黑客常用的CSRF跨站攻击与防范-实例讲解

所属栏目：[评论] 日期：2018-12-18 热度：178

CSRF(Cross-site request forgery)，是中文：跨站请求伪造的缩写，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 CSRF出现的时间已经很久远了，但危害到现在还是十分的常见。这种攻击方式在2000年左右国外就已经发现了，国内互联网起步[详细]
作为白帽的你应该拥有的10个小工具

所属栏目：[评论] 日期：2018-12-18 热度：190

本文我将为大家列举10个作为黑客的你最值得拥有的小工具。这些工具非常适合作为你无聊时的调剂品，或是作为生日圣诞礼物送给你的白帽朋友。当然，文中提及的某些项目可能并不适合所有的渗透测试人员。譬如无线爱好者可能会对下面的天线感兴趣，因为它能够[详细]
在零信任世界中建立真正的信任

所属栏目：[评论] 日期：2018-12-18 热度：144

我们的目标不应该仅仅是接受零信任，还要获得建立真正的信任所需的可见性。零信任这个词是佛瑞斯特研究所在2010年提出的，其概念也是谷歌在同时期设计的BeyondCorp架构的核心理念。公司企业历来假设自己的内部网络是安全的，谷歌挑战这一传统认知，声称公[详细]
SQL注入常规Fuzz全记录

所属栏目：[评论] 日期：2018-12-18 热度：124

前言本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路，完整记录整个fuzz的过程，给师傅们当点心，方便大家加深对web sql注入 fuzz的理解。进入主题 1.访问题目，是个典型的登录框 2.尝试输入admin/123456,提示密码错误[详细]
5250万用户信息恐遭泄漏，Google+将被提前关闭

所属栏目：[评论] 日期：2018-12-18 热度：76

今年10月份，我们曾报道因 API 设计缺陷问题 Google 泄露了近 50 万 Google+ 用户的隐私数据，但却选择不报告该失误，部分原因是担心披露后会引发监管审查和声誉受损。在被华尔街日报曝光后，Google 回应称将持续改进第三方 API，并将在2019年8月永久关闭[详细]
WiFi安全岌岌可危，黑客是如何躲过验证获取WiFi的呢？有三种方式

所属栏目：[评论] 日期：2018-12-18 热度：70

WiFi的安全问题已经引起了不少的使用者重视，甚至已经出现草木皆兵的现象。那么黑客到底是如何做到绕过身份验证来获取WiFi使用权的呢?主要有以下三种方式，其中最后一种方式十分简单。 1. 伪造MAC地址很多时候开放网络的身份验证往往就是通过上网设备的MA[详细]
为什么攻击者会瞄准工业控制系统

所属栏目：[评论] 日期：2018-12-17 热度：117

工业控制系统(ICS)随处可见，从制造商品的自动化机器到办公楼的冷却系统。以前，ICS基于特定的操作系统和特定的通信协议是标准的。然而，近年来，通过实现基于通用OS和标准通信协议的网络连接，降低了系统开发成本并提高了生产率。为了在当今以市场为导[详细]
实战教你网站攻击原理及如何防御网站攻击

所属栏目：[评论] 日期：2018-12-17 热度：120

提到网络攻击首先我们看看两个问题。什么是网络应用程序?什么是网络威胁? Web应用程序(aka网站)是基于客户端 - 服务器模型的应用程序。服务器提供数据库访问和业务逻辑。它托管在Web服务器上。客户端应用程序在客户端Web浏览器上运行。Web应用程序通常用Ja[详细]
Google网页快照对抗小技巧

所属栏目：[评论] 日期：2018-12-17 热度：170

Google搜索引擎是大家经常用的搜索工具，更新内容快速，搜索内容准确，但是就是因为更新内容快速，导致有的时候特别讨厌，比如我删除了一个贴子，但是由于网站权值很高，你一发送这个贴子，Google就收录了，导致后来即使你删除了贴子也没有什么用那么我们[详细]
黑客向热门JavaScript库注入恶意代码窃取Copay钱包的比特币

所属栏目：[评论] 日期：2018-11-30 热度：177

尽管上周已经发现了恶意代码的存在，但直到今天安全专家才理清这个严重混乱的恶意代码，了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库，通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。这个可以加载恶[详细]
去伪存真别让这8个安全流行词把你忽悠了

所属栏目：[评论] 日期：2018-11-30 热度：144

如果你不能马上明白某个行业流行语的意思，或许是时候问问你的供应商：你到底是如何使用这项技术的? 俗话说得好：如果某事看起来好到令人难以置信，那可能真的不能相信。仔细想想，绝佳交易和骗局看上去都是超级好。二者都表现出能为你面临的棘手难题提供[详细]
为企业数字化转型保驾护航，新华三选择采取主动安全战略

所属栏目：[评论] 日期：2018-11-30 热度：73

【51CTO.com原创稿件】随着全球企业数字化转型进程的推进，云计算、大数据、人工智能、物联网等新技术的引入，对网络安全提出了新的需求和挑战。然而，现有的网络安全理念与防护模式还难以适用数字经济的发展需要，亟需革新网络安全理念、提升网络安全技术[详细]
安全 | 2019年九大网络安全发展趋势预测

所属栏目：[评论] 日期：2018-11-30 热度：196

前言要预测未来一年的网络威胁发展趋势很难，无论是威胁的形态和响应的防范方式都在快速迭代，加上各国对于网络空间中地缘政治利益的理解日益深刻，不同的力量交织在一起进一步加深了复杂性。国外安全媒体CSO Online还是试着对明年的网络安全态势做出了[详细]
有效威胁狩猎的10个技巧

所属栏目：[评论] 日期：2018-11-30 热度：153

网络攻击每天都在增加，其频率和复杂程度也在增加; 更糟糕的是，它们经常绕过组织现有的保护控制。因此，除了其他安全层(如防病毒程序和防火墙)之外，组织还必须部署主动的威胁搜索活动，以便尽早检测并修复威胁，以减轻损害。开始攻击威胁计划的公司在成[详细]
5G来了，这些威胁在潜伏……

所属栏目：[评论] 日期：2018-11-30 热度：76

5G将至，届时体验峰值传输速率突破1Gbps-10Gbps，延迟低至10ms甚至1ms的移动网络将成为可能。然而在令人兴奋的背后，那些隐藏其中的安全威胁也会随之而来，让人防不胜防。协议漏洞最可怕与3G和4G网络一样，现有的5G也采用一个被称为认证和密钥协商(AKA)[详细]
黑客入侵与机器学习沙箱逃逸

所属栏目：[评论] 日期：2018-11-30 热度：191

简介对于攻击者来说，在收集目标数据的过程当中(基础设施扫描、踩点、传递恶意软件)，很容易被安全分析师发现。机器学习在防御领域的应用不仅增加了攻击者的成本，而且极大地限制了技术的使用寿命。其实攻击者已经发现了这种趋势：防御软件以及安全分析[详细]
Radware：利用安全扩大企业业务

所属栏目：[评论] 日期：2018-11-30 热度：101

谁来为我的设备和应用安全负责?在当今日益严峻的威胁形势下，这是一个重要问题，但也是一个没有明确答案的问题。尽管对移动应用以及连接设备安全特性的需求有所增加，但没有关键参与者会承担这个责任，包括设备制造商、消费者、移动运营商或消费者通过设备[详细]
绿色挂锁的Https一定安全吗？

所属栏目：[评论] 日期：2018-11-29 热度：56

也许曾经有人建议你所有安全连接都有绿色挂锁图标，访问这些有绿色挂锁的链接可以避免网络钓鱼和恶意软件攻击。然而，这条建议现在已经无效了。新的研究表明近一半的网络钓鱼站点现在都部署了安全套接字层(SLL)保护，并在浏览器导航栏中设置了挂锁图标，试[详细]
网络钓鱼泛滥，这次轮到谷歌文档

所属栏目：[评论] 日期：2018-11-29 热度：167

近日，网络安全公司Fortinet的FortiGuard实验室研究人员发现一场正在进行中的谷歌文档(Google Docs)恶意活动。网络犯罪分子利用某些知名网络安全公司的名义，精心设计了巧妙的网络钓鱼诱饵，其攻击目标为Windows、Android和MacOS平台的用户。今年早些时候[详细]
智能手机的“危险”太多，但这四点最为严重，不注意要吃大亏！

所属栏目：[评论] 日期：2018-11-15 热度：133

智能手机已经成为现在人们手中的主要通讯工具，它不仅可以用于通讯，其机身的强大功能还可以为用户提供休闲娱乐活动。但这也正是由于它本身功能的强大，也出现了不少危险，让网络黑客蠢蠢欲动。这里所提到的危险并不是指手机带给使用者的外在危险，而是指[详细]
欺骗技术优于蜜罐的8个理由

所属栏目：[评论] 日期：2018-11-15 热度：62

最近两年，随着APT、内网威胁的迅速增长，攻击欺骗技术的检测能力的提升，攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性，以下是它们的不同之处： 1. 完全相反的基本前提蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜[详细]
应对电子邮件安全威胁的4种方法

所属栏目：[评论] 日期：2018-11-15 热度：127

是时候以更积极的态度重新构想员工培训了，毕竟电子邮件安全问题基本就是人的问题。 SANS研究所的调查显示，近3/4的网络钓鱼、恶意软件和勒索软件攻击都是通过电子邮件登堂入室的。很多网络钓鱼都是利用看起来合法的邮件诱骗受害者点击恶意链接或打开附附[详细]
网络攻击者可以使用你的特权用户凭证的3种隐藏方式

所属栏目：[评论] 日期：2018-11-15 热度：97

防止攻击者在您的网络中执行横向移动的能力不仅是威胁检测功能。我们将讨论下一些在企业网络中获得特权的用户凭证的最常见且最不可见的方式。众所周知，域名管理员或其他高性能凭据是网络攻击者的黄金。通过钥匙，他们可以轻松地、无声地从一个系统移动到[详细]

4249

153