安全_站长网

如何确保应用程序的安全性

所属栏目：[安全] 日期：2022-08-24 热度：159

软件架构师Bob和安全开发工程师Alice是一家软件开发初创公司的成员。以下是他们之间关于开发一套新的微服务的对话。以下将深入了解各个安全扫描工具内容（这足以帮助Alice做出决定）。 1.类别以下是各种安全扫描工具的类别：（1）SAST（静态应用程序安[详细]
企业亟需关注勒索软件人为错误所致使的安全风险

所属栏目：[安全] 日期：2022-08-24 热度：174

勒索软件、供应链威胁以及组织及其员工在安全方面如何成为自己最大的敌人，是Verizon针对过去12个月网络攻击年度报告中所研究的一些关键要点。周二发布的2022年数据泄露调查报告（DBIR）为旨在保护自己免受可能导致系统泄露和数据、资源、金钱、时间和/或[详细]
#8203;揭露 NIST 网络安全框架的神秘面纱

所属栏目：[安全] 日期：2022-08-24 热度：176

NIST 网络安全框架的全面性使其成为跨行业的事实上的标准。然而，该框架有一个主要弱点：它的指导方针对于新手来说可能比较难以理解。核心功能#1：识别 NIST 网络安全框架的第一个核心功能涵盖识别和管理跨系统、数据、资产等风险的最佳实践。这包括以下[详细]
如何办好统一身份认证账号管理及集成

所属栏目：[安全] 日期：2022-08-24 热度：84

统一身份认证是整个 IT 架构的最基本的组成部分，而账号则是实现统一身份认证的基[详细]
几个优秀漏洞管理工具以及它们如何协助确定威胁的优先级

所属栏目：[安全] 日期：2022-08-23 热度：84

这些年来，不仅漏洞管理发生了相当大的变化，企业安全团队发现并不断修补的系统也发生了变化。如今，有系统内部部署、物联网设备、公有和私有云，以及更多的定制应用程序。漏洞管理系统不再只关注网络和私有托管应用程序。现在，他们必须评估所有这些系统[详细]
无密码身份验证需要明白什么

所属栏目：[安全] 日期：2022-08-23 热度：110

密码正在成为一个垂死的品种。在微软的一篇文章中，他们宣布他们将摒弃数十年来强迫用户使用密码登录以使用商业和个人应用程序套件地球上最受欢迎的软件包之一的做法。无密码身份验证正在成为新常态。看看它带来的利弊。无密码身份验证的潜在风险虽然无[详细]
如何创建有弹性的网络安全团队

所属栏目：[安全] 日期：2022-08-23 热度：156

建立更有弹性的网络安全团队持续演进的网络威胁将攻击者的能力扩展到极限每个威胁都在多个阶段执行，并针对组织的不同部分。大型组织面临的网络威胁挑战复杂且任务艰巨。虽然每个组织拥有和所需的网络安全知识、技能和判断力存在很大差距，但都可以从第一[详细]
如何制定一个可落地的漏洞补丁管理策划

所属栏目：[安全] 日期：2022-08-23 热度：55

凡事难得尽善尽美，软件程序更是如此。安全厂商发布的众多软件和固件中不可避免地会存在各种安全漏洞和功能缺陷。但如果企业用户能够采取合适的策略和机制，就可以解决这些缺陷可能造成的安全问题。企业如果采取正确有效的补丁管理策略，不仅可确保业务软[详细]
滥用微软Office 365某性能威胁行为者对企业发动勒索攻击

所属栏目：[安全] 日期：2022-08-23 热度：93

安全研究人员警告称，威胁行为者可能会劫持Office 365账户，对存储在SharePoint和OneDrive服务中的文件进行加密，以获得赎金，很多企业正在使用SharePoint和OneDrive服务进行云协作、文档管理和存储，如果数据没有备份，那针对这些文件的勒索软件攻击可能[详细]
#8203;更明智的网络风险管理战略

所属栏目：[安全] 日期：2022-08-23 热度：160

根据普华永道最新的年度全球 CEO 调查，网络安全现在被列为全球首要任务之一，就担忧程度而言，它仅次于疫情。因此，网络安全风险管理策略不应再被视为 CTO 和 IT 总监的关注点，而每个供应链和技术总监都需要将其列入议程。数据有可能改变风险管理和弹性[详细]
一种频率侧信道攻击能影响Intel AMD处理器

所属栏目：[安全] 日期：2022-08-23 热度：69

Hertzbleed侧信道攻击影响Intel、AMD处理器。 Hertzbleed侧信道攻击是一种频率侧信道攻击。最坏情况下，攻击者可以从远程服务器提取加密密钥。Hertzbleed是对加密软件的一个真实的、现实的安全威胁。此外，攻击者还可以对SIKE使用选择密文攻击来执行全密钥[详细]
一文具体解读IDaaS与IAM

所属栏目：[安全] 日期：2022-08-23 热度：147

什么是IDaaS？ IDaaS是IAM的一个基于云的消费模型。同现代技术生态系统中其他的东西一样，IAM也可以作为一种服务。排除一些例外，IDaaS通常是通过云模式来进行交付的，同时它也可以根据组织的需求以及相关供应商的能力，作为多租户提供方案或专用交付模型[详细]
关键信息基础设施保护面对几道坎

所属栏目：[安全] 日期：2022-08-23 热度：144

关键信息基础设施是国家经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施的安全，对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。据研究机构最新调研发现，[详细]
黑客推广一种新的模块化恶意软件服务可供给多种攻击

所属栏目：[安全] 日期：2022-08-23 热度：56

研究人员发现，网络犯罪分子正在推广一种新的模块化恶意软件的服务产品，允许潜在攻击者通过迄今为止拥有500多名订阅者的电报频道这一极具威胁的聚宝盆中进行选择他们所想使用的模块。安全公司Cyble的研究人员在周四发表的一篇博客文章中写道，新的恶意软[详细]
根据目标用户信息 Python生成WPA2密码字典

所属栏目：[安全] 日期：2022-06-29 热度：136

如何根据目标WiFi的用户信息，用Python生成一份独特的WPA2密码表？随着无线网络的不断发展，几乎所有场合都会覆盖WIFI信号，无论是公共地点还是家庭之中。众所周知，目前WIFI普遍的认证方式为wpa2，这种认证方式安全性相当不错，但由于人们设置密码时的随[详细]
当我们谈论勒索病毒时我们聊些什么

所属栏目：[安全] 日期：2022-06-29 热度：111

不知道你对这个事件如何看？笔者在安全行业十余年工作经验，只能说，湖南省儿童医院太牛了！首先是有气节，如果所有被勒索的用户都这么有气节，勒索病毒2年内必然销声匿迹。其次是技术，不到24小时系统就恢复运行，而且，数据一点没丢！一点没丢！！试问[详细]
任意用户密码重设重置凭证接收端可篡改

所属栏目：[安全] 日期：2022-06-29 热度：146

密码找回逻辑含有用户标识（用户名、用户 ID、cookie）、接收端（手机、邮箱）、凭证（验证码、token）、当前步骤等四个要素，若这几个要素没有完整关联，则可能导致任意密码重置漏洞。前情提要：【传送门】案例一：接收端可篡改。请求包中包含接收端参[详细]
你的CAD图纸被偷了吗

所属栏目：[安全] 日期：2022-06-29 热度：97

蠕虫病毒简介：蠕虫病毒是一种常见的计算机病毒，它是利用网络进行复制和传播，传染途径是通过网络和电子邮件，它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中，本次病毒样本就是利用邮件传播（并且已经传播长达10年之久）。大概有50个攻[详细]
一款名为Rapid的勒索软件正在迅速传播

所属栏目：[安全] 日期：2022-06-29 热度：95

暂时还不清楚Rapid恶意软件是如何传播的，但从一月份开始，他已经感染了很多人。根据ID-Ransomeware的统计（如上图），第一个提交的案例是在1月3日，之后提交的有超过300个，这只是受害者中的一小部分。 Rapid恶意软件是如何对计算机实施加密的？当恶意软[详细]
5分钟掌握商业数据保护的科学方法

所属栏目：[安全] 日期：2022-06-29 热度：185

5分钟掌握商业数据保护的科学方法：一、巴拿马文件泄密数据泄露无时无刻不在发生。我认为最有意思的是商业数据泄露事件，本文就以2016年巴拿马文件（Panama Papers）泄密案例为切入点。作为一家网络安全、数据安全厂商，这些事件对我们来说让平日挂在嘴[详细]
任意密码重置的一个情景

所属栏目：[安全] 日期：2022-06-29 热度：82

但是要知道，加密都是在客户端进行的，而且 AES 是对称加密算法（就算是 RSA 非对称加密，也只是不能解密加密的内容，但有了公钥之后，拿去加密自己提交的 payload 还是可以的），所以只要拦截到数据包，理论上加密的信息都是可以解密的。面对这些掩耳盗铃[详细]
你明白DCAP和你有哪些关联吗

所属栏目：[安全] 日期：2022-06-29 热度：140

以数据为中心的审计与保护（Data-Centric Audit and Pretection,以下简称DCAP）, DCAP是由Gartner提出的术语，是保护组织隐私的一种手段，它强调特定数据本身的安全性，而非网络、硬件或软件上的安全。DCAP主要的优点之一是，将数据安全应用于待保护的特定[详细]
任意用户密码重设应答中存在影响后续逻辑的状态参数

所属栏目：[安全] 日期：2022-06-29 热度：166

想了解前五篇任意用户密码重置内容，可查看以下传送门：任意用户密码重置（一）：重置凭证泄漏任意用户密码重置（二）：重置凭证接收端可篡改任意用户密码重置（三）：用户混淆任意用户密码重置（四）：重置凭证未校验任意用户密码重置（五）：重置凭[详细]
NLP系列之自主动手训练中文word2vec模型

所属栏目：[安全] 日期：2022-06-29 热度：144

训练语料 word2vec的算法是公开的，word2vec模型的质量完全取决于训练语料的质量。目前免费开放的预料不多，中文语料更是凤毛麟角。通常使用搜狐新闻数据即可，该数据来自搜狐新闻2012年6月7月期间国内，国际，体育，社会，娱乐等18个频道的新闻数据，提[详细]
利用蓝牙从FUZE获取信用卡数据测验

所属栏目：[安全] 日期：2022-06-28 热度：74

在我分析的过程中，我对FUZE卡进行了X光扫描，并且对其采用的蓝牙协议进行了完整的逆向分析，然后成功发现了一个允许攻击者通过蓝牙窃取信用卡数据的安全漏洞（CVE-2018-9119）。目前我们已经将漏洞信息上报给了FUZE的开发团队（BrilliantTS公司），他们表[详细]

5590

148