公司企业必须进化自身安全实践,方可跟上不断变化的技术和相关安全威胁的发展。如果停滞不前,数据泄露的损失有可能是毁灭性的。波耐蒙研究所《2016数据泄露损失研究》报告指出,每起数据泄露的总损失是400万美元,每一条包含有敏感或个人身份识别信息(PII)的被盗记录带来的损失是158美元。想象一下,数百万...
0x00 前言sqlmap 是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。本文重点研究sql...
2月28日,腾讯信息安全争霸赛(Tencent Capture The Flag,简称TCTF)品牌发布会在北京邮电大学召开。 发布会上腾讯公司副总裁丁珂宣布腾讯安全将启动“百人计划”,并表示腾讯安全将利用TCTF平台聚政府、企业和高校之力,发掘信息安全领域新生力量,探...
阿姆斯特丹CWI研究所与谷歌研究人员,于今日在博客上宣布,他们已经破解了SHA-1哈希算法。他们称:”这是生成SHA-1碰撞的首次实例”。 “碰撞”在这里是指能够生成同样的哈希值,因而能够使得攻击者欺骗系统,接收恶意文件并替代无害文件。SHA-1目前...
无论你要防止源代码中的信息泄露,还是要寻找恶意文件、阻止恶意进程、保证端点安全,这几个好用的开源工具都能助你一臂之力。 开源是开发领域的一项壮举。今天,很大一部分的企业或个人都依赖开源软件。但即使开源软件广泛应用于网络、操作系统、和虚拟机,企业安全平台仍然倾向于专用软件并受供应商的私有开发...
前言2016年9月13日,Microsoft发布了安全公告MS16-104 [1],其中涉及到影响Internet Explorer的几个漏洞。其中一个漏洞是CVE-2016-3353,这是一个利用安全功能绕过错误.URL文件处理的漏洞。此安全问题不允许自身执行远程代码,相反,它允许攻击者在涉及用户...
近日,个人的信息安全越来越受关注,近日发布的《2016年中国网站安全漏洞形势分析报告》披露,近一半的网站存在漏洞。记者了解到,目前大学生已经成网络安全漏洞提交领域的主力。漏洞提交工作也被业内称为“白帽子”。所谓白帽子,是指正面的黑客,他可以识别计算机系统或网络系统中的安全漏...
HTTPS及HTTPS中间人攻击,全站HTTPS正在称为潮流趋势,国内实现全站https的有淘宝和百度两家。一、https的作用C I A:机密性,完整性,可用性(可用性是合法用户可以访问自己有权限访问的资源)解决的是信息传输中数据被篡改、窃取加密:对称、非对称、单向二、https工作原理https...
你可能从未想过,有一天硬盘指示灯也会出卖你的信息…很多时候人们会把存储机密信息或者承载关键设备运行的系统进行物理隔离来确保安全。然而道高一尺,魔高一丈,攻击者总会想出办法进行针对性的破解窃密,比如之前就有过利用风扇或硬盘的噪音来将信息发送到附近的智能手机的攻击案例。最近,来自以色列本-...
一、前言上星期五,来自谷歌Project Zero组织的Tavis Ormandy联系Cloudflare,报告了我们的边界服务器的一个安全问题。他看到经过Cloudflare的一些HTTP请求返回了崩溃的网页。它出现在一些不寻常的情况下,在下面我将详细介绍,我们的边界服务器运行时缓冲区越界了,并返...
OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。 CloudFlare总部位于美国旧金山,是一家成长迅速的网络...
前言CyberX发现了一个大规模的网络攻击行动,该行动瞄准了乌克兰的很多目标。至少已经成功入侵了70个目标,涉及到关键基础设施、媒体和科学研究机构。该行动的目的是捕捉目标中的一系列敏感信息,包括对话录音、屏幕截图、文件和密码。由于它能偷偷摸摸的在目标中装窃听器(bug),窃取敏感音频,并使用Drop...
前言在本文中,我将演示如何使用PowerUpSQL通过SQL Server转储Windows自动登录密码。 我还将谈一下例如xp_regread等其他方式存储过程在渗透测试中利用方法。 xp_regread的简短历史自SQL Server 2000以来,xp_regread扩展存储过程一直存在。自从...
在网络安全领域,白帽子是一个特殊的群体。他们挖掘漏洞提交给企业修复,确实保护了用户安全;但是以黑客技术挖漏洞,又引发不少争议甚至法律风险。在2月23日360安全应急响应中心(简称360SRC)的三周年庆典活动上,360董事长周鸿祎态度鲜明地表示,对于善意的白帽子,企业应给予支持和理解的态度,呼吁政府...
SHA-1等加密散列函数可谓加密学家手中的瑞士军刀。无论是浏览器安全保护、代码库管理乃至检测存储介质的重复文件,散列技术都在其中发挥着重要作用。散列函数能够将大量数据压缩为体积更小的消息摘要。作为一项被广泛使用的加密方案,其最基本的要求就是在当前计算能力上无法找到摘要相同的两条消息。然而随着时间的推...
作者:代码彩绘人生(v安全团队核心)很多年前出现了互联网 出现互联网后,人类生活越来越多的日常行为开始在互联网上实现 网上购物、网上订餐、电子游戏、网络赌博、购彩、订票、社交、理财等等。 网络是一个丰富而多姿多彩的世界 任何一个世界都会存在法律的束缚,用来限制这个世界的角色所...
这几日,美国的旧金山正在召开一年一度的RSA安全大会。今年的RSA安全大会在美国当地时间2月13日-17日于旧金山Moscone中心召开。这是安全初创公司和传统供应商一年中最为重要的会议。去年,RSA大会有超过30000名参会者,今年预计将有更多,会议吸引了从安全初创公司到数十亿美元的供应商。 ...
可怕的Shamoon恶意程序,即Disttrack,最近重现江湖。政府机构和威胁情报公司正在调查最近一系列与其相关的攻击事件。那么,Shamoon又引起了哪些血雨腥风,详情请看孙毛毛同学的报道。背景Shamoon首秀发生在2012年8月15日,当时沙特阿拉伯石油公司Saudi Aramco对外宣布,...
作者:Neeao 题主现在的情况,比我当年要好的多,至少你还学的是安全专业,在大二的时候已经知道感觉到压力了,说说我当年的情况吧,希望对题主有点帮助。直接引用我之前写的一篇文章的内容吧:03年上大二的时候,才有属于了自己的一台电脑;那会虽喜欢玩网络安全,但也仅仅是停留在玩玩的阶段,看看《黑客X档案》...