-
国家网信办:做好顶层规划 加强网络安全保证体系
所属栏目:[安全] 日期:2021-11-13 热度:155
在11月2日举行的国务院新闻办公室新闻发布会上,国家互联网信息办公室副主任赵泽良表示,将贯彻落实十九届五中全会提出的网络强国建设任务,做好顶层规划,从顶层上设计我国网络安全工作、信息化工作、网络空间国际合作,进一步加强网络安全保障体系,同时推[详细]
-
Github现高危漏洞,不少项目都曝光在潜在危险中
所属栏目:[安全] 日期:2021-11-13 热度:52
Github被发现存在一个高危漏洞,基本上所有拥有复杂Github Actions的项目都容易被攻击。这个CVE代号为CVE-2020-15228的漏洞是由Google旗下著名的Project Zero网络安全团队在7月份时发现的。由于Project Zero之前改变了其对于公布漏洞的政策,因此他们给了Gith[详细]
-
安全运行之攻击溯源
所属栏目:[安全] 日期:2021-11-13 热度:119
根据美国国防部安全事故处置流程,攻击溯源作为安全事故中事后响应的重要组成部分,一定程度上还原攻击者的攻击路径与攻击手法,从切入角度上看,安全告警事件,漏洞视角,网络和主机层面的异常以及APT攻击都可以帮助安全运营人员发现攻击源头,并且帮助其完[详细]
-
深信服四步一体处理方案,共筑视频监控网安全新防线
所属栏目:[安全] 日期:2021-11-13 热度:125
近年来,随着智慧城市建设的高速发展,视频监控网被广泛应用在社会治安、园区管理、校园监控等场景,为城市和企业智能治理提供技术支撑。与此同时,视频监控网也出现日益严重的安全隐患,世界各地陆续发生监控网络被入侵、监控视频被窃[详细]
-
网络安全风险有哪些,你都明白吗?
所属栏目:[安全] 日期:2021-11-13 热度:57
如今,网络安全问题可谓层出不穷!日常生产生活当中,人们刷个脸或者用个什么软件,都可能存在数据隐私泄露的风险,轻则对个人安全和财产带来影响,重则损害行业、社会与国家的利益,可以说防不胜防。但你知道这些问题都来自于何处吗? 近日,在2020世界计算机[详细]
-
谷歌揭露 GitHub 高危漏洞
所属栏目:[安全] 日期:2021-11-13 热度:67
谷歌 Project Zero 披露了 GitHub Actions 中存在的严重安全漏洞。 Actions 主要负责与动作执行器(Action Runner)之间的通信工作。 这次问题在于,GitHub Actions 中的工作流命令极易受到注入攻击。 根据 Project Zero 团队的披露,当进程解析至 STDOUT 的每[详细]
-
依靠存储库劫持漏洞已经影响谷歌GitHub等7万多个开源项目
所属栏目:[安全] 日期:2021-11-13 热度:165
研究人员最近发现了依赖存储库劫持的情况非常普遍,这是一个隐藏的漏洞,允许任何人在用户更改用户名的情况下劫持存储库。这个漏洞类似于子域接管,利用起来很容易,并且会导致远程代码注入。在分析了这个漏洞的开源项目并总结了搜索它们的依赖关系图后,研究[详细]
-
家庭安全系统所有者更有可能购买智能家庭装备
所属栏目:[安全] 日期:2021-11-13 热度:186
最新研究表明,智能家居设备与家庭安全系统之间的联系越来越紧密。 根据Parks Associates公司进行的一项研究,将近三分之二(63%)的安全系统所有者计划在未来12个月内安装智能家居设备,而美国所有宽带家庭中这一比例为40%。 Parks Associates公司高级总监Jenn[详细]
-
V8 引擎空指针利用漏洞的新型利用技术
所属栏目:[安全] 日期:2021-11-13 热度:67
漏洞成因 出于代码优化方面的考虑,V8 JIT编译器使用了节点图,并通过优化管道的几个阶段减少节点图来生成优化的本机代码。而且这个节点图也适用于WASM编译器,可以将WASM代码编译为本机代码。 节点在图中使用Use结构相互链接,如下所示: 通过使用这种结构,[详细]
-
看我如何恢复被MaMoCrypt勒索软件加密的信息
所属栏目:[安全] 日期:2021-11-13 热度:55
MaMoCrypt能够删除Windows卷影(ShadowVolume),并禁用防火墙以及UAC服务。这些功能在恶意软件领域中其实并不罕见,因此我们在此对其不做更深入的讨论。 它使用了Delphi的随机生成器(基于线性同余生成器)以及基于时间的DWORD种子(使用QueryPerformanceCounter[详细]
-
网络日志管理合理的重要性
所属栏目:[安全] 日期:2021-11-13 热度:147
网络日志是一个平时不怎么被重视的东西,今天写到关于网络日志的内容,是在部署网站的时候,看到访问日志里记录的ip地址不对,解决如何获取客户端真实ip地址的问题的同时,想到了关于网络日志合规性的内容,一并记录。 第一个问题:前端使用Nginx反向代理,后[详细]
-
5G需要更优的安全性
所属栏目:[安全] 日期:2021-11-13 热度:130
5G比今天的手机4G快100倍,甚至比目前最快的光纤家庭宽带服务快10倍它实际上足以在几秒钟内下载一部4K高清电影。此外,5G还将具有超低延迟的特点,这为系统间即时、始终在线的连接新时代打开了大门。所有这些优势使我们能够实现更广泛的应用、服务和设备,以[详细]
-
中小企业应该如何建设自己的防御体系
所属栏目:[安全] 日期:2021-11-13 热度:59
前言 在某一天的深夜,作为安全从业人员,穿着大裤衩子,坐在门前,点燃一根烟(画面自己想象)开始思考企业如何打造自己的安全体系,虽然这不是作为月薪3k该考虑的问题,但是毕竟当初笔者的从业理想是想成为道哥一样的人,为安全行业贡献自己的一份力。于是写[详细]
-
数据保护即服务如何为组织业务提供助力
所属栏目:[安全] 日期:2021-11-13 热度:165
数据保护即服务(DPaaS)在当今组织的业务中扮演着核心角色,其主要原因是:由于很多组织以多种形式使用数据,因此保护数据是其头等大事。但是,并非所有组织都有能力成立技术熟练和经验丰富的IT团队。因此,从经济和技术角度来说,数据保护即服务(DPaaS)具有更[详细]
-
FRP指定访问者 安全地泄露内网服务
所属栏目:[安全] 日期:2021-11-13 热度:187
之前的教程介绍的frp内网穿透都是用tcp模式,但是tcp模式是直接把端口映射到公网IP上,很容易被扫描爆破,还是存在一定的风险。我们可以使用frp提供的stcp模式来避免公开暴露端口,要求访问者运行一个frpc作为身份认证和流量转发,把访问者的本地端口绑定到内[详细]
-
二维码骗局卷土重来,如何规避?
所属栏目:[安全] 日期:2021-11-13 热度:184
就在我们认为二维码时代已经一去不复返的时候,疫情的迅速扩散又导致了这种可扫描快捷方式的回归。COVID-19的到来意味着我们需要找到与实体存在的东西等效的数字产品,就像菜单、旅游导览或是其他一些文件。许多地方都已采用二维码来帮助解决此问题。与此同时[详细]
-
黑客工具直接破解iPhone 12,苹果最不愿看到的事情
所属栏目:[安全] 日期:2021-11-13 热度:160
对于苹果来说,这绝对不是一个好消息,因为自家的iPhone可以随随便便被第三方给破解。据外媒最新报道称,美国各地的执法机构都有工具来获取存储在加密iPhone上的数据,目前全国至少有2000个机构有办法获取数据,以进一步开展刑事调查。 长期以来的加密辩论一[详细]
-
部分Mac客户称系统将打印机驱动程序视为恶意软件
所属栏目:[安全] 日期:2021-11-13 热度:112
一些用户报告,由于 macOS 错误声称某些软件为恶意软件,他们无法再使用惠普打印机进行打印,或者无法继续通过专用应用来播放 Amazon Music。 外媒 AppleInsider 称,用户报告他们的 Mac 突然弹出通知,称其 HP 打印机包含恶意软件:会损坏您的计算机。另外,[详细]
-
腾讯演示5G安全漏洞 可向客户发送仿冒银行短信
所属栏目:[安全] 日期:2021-11-13 热度:180
垃圾短信通常是由黑产份子利用非法购买的无线电设备,建立伪基站所发出,现在,有白帽黑客团队发现,利用通信协议漏洞,也可以制造垃圾短信效果。 10月24日,在GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G[详细]
-
手机通信 腾讯安全玄武实验室揭露最新5G安全漏洞
所属栏目:[安全] 日期:2021-11-13 热度:107
10月24号下午,GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室高级研究员李冠成、戴戈演示了一项最新的5G安全研究发现:利用5G通信协议的设计问题,黑客可以劫持同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可[详细]
-
全球顶级极客汇聚GeekPwn 2020,分析新基建 云 AI安全威胁
所属栏目:[安全] 日期:2021-11-13 热度:157
如何让自动驾驶汽车致盲?如何远程劫持农业无人机?利用AI竟然能变脸蒋昌建?在GeekPwn舞台上,极客们展示了这些奇思妙想和前沿技术。挖掘漏洞并预演安全威胁,一直是他们逆行守护世界的方式。 10月24日,以极有担当,无畏逆行为主题的国际安全极客大赛(Geek[详细]
-
连中三元!腾讯云容器性能及安全能力获信通院最高级认证
所属栏目:[安全] 日期:2021-11-13 热度:101
在10月21日中国信息通信研究院举办的云原生产业大会上,腾讯云成为首批通过信通院大规模容器集群性能测试评估的云服务商,获得最高级别卓越级认证。并且腾讯云容器服务凭借优秀的整体防护能力同时收获容器平台安全能力的最高级别先进级认证。基于腾讯云在容器[详细]
-
360首席安全官杜跃进 网络安全需要转向能力体系建设
所属栏目:[安全] 日期:2021-11-13 热度:53
近日,360集团首席安全官杜跃进博士受邀参加第35次全国计算机安全学术交流会,并在会上发表了大安全时代的安全能力体系的主题演讲。他指出,目前网络安全从根本上来说还是停留在产品为主的层面,没有真正上升到能力体系的建设,也没有建立科学系统的能力衡量[详细]
-
监控平台选Prometheus或是Zabbix?
所属栏目:[安全] 日期:2021-11-13 热度:134
Zabbix 适合的监控场景 监控的维度 在选择具体的监控平台之前,我们最先需要明确,我们监控的目标是什么?在我的理解中,监控分为两个维度:即监控的广度和监控的深度。 ①监控的广度 大家所需要监控的系统少则几种,多则几十种,比如需要监控硬件、存储、操作[详细]
-
为无线设备固件提供qemu模拟执行与Fuzzing漏洞挖掘
所属栏目:[安全] 日期:2021-11-13 热度:66
科学怪人提供了一款虚拟环境来模糊无线固件,可以在运行时hook固件以提取其当前状态。然后,可以在虚拟环境中重新执行它们以进行fuzz。为此,需要将固件映像重新组合为可以用QEMU执行的ELF文件。通过基于Web的UI简化了固件映像的重组。 使用入门 基本配置 该[详细]
