-
比利时遭Log4j漏洞攻击国防部部分网络宕机
所属栏目:[安全] 日期:2022-01-04 热度:126
比利时政府官员公开承认遭到近期曝光的Apache Log4j漏洞网络攻击。本次攻击导致比利时国防部的部分计算机网络自周四以来一直处于关闭状态。发言人表示,整个周末其团队都被动员起来控制问题,继续活动并警告合作伙伴。优先事项是保持网络运行。比利时政府将[详细]
-
安全团队如何加强最终用户的意识
所属栏目:[安全] 日期:2022-01-04 热度:144
网络安全意识计划通常无法为最终用户提供有意义的体验来帮助他们真正学习更好的做法。员工经常发现他们日常工作中的技术控制障碍,从而产生阻力并使安全从业人员感到沮丧。但是,当安全团队向员工解释他们的工作如何加强网络意识培训时,他们有助于建立植根[详细]
-
安全人员披露iOS漏洞,利用HomeKit让iPhone瘫痪
所属栏目:[安全] 日期:2022-01-04 热度:54
近日安全研究人员披露了存在于 iOS 系统中的漏洞,使用 HomeKit 进行攻击,而且苹果修复该漏洞的速度非常缓慢。 安全研究员 Trevor Spiniolas 称,如果 HomeKit 设备名称被改为一个很长的字符串,在测试中设定为 50 万个字符,加载该字符串的 iOS 和 iPadOS[详细]
-
戳穿五大和七大常见的网络安全神话
所属栏目:[安全] 日期:2022-01-04 热度:161
前段时间,在整理CISA官网内容时,翻译整理过一篇过关于揭穿网络神话的文章,今天我们根据一个安全网站,再讨论一下安全神话。当然,这里讨论的神话一般是一种误区。尽管人们对网络安全的认识不断提高,但关于它的许多神话仍然普遍存在。这些误解可能是阻碍[详细]
-
网络安全知识之了解隐藏的威胁-损坏的软件文件
所属栏目:[安全] 日期:2022-01-04 热度:134
攻击者可以破坏哪些类型的文件? 攻击者可能将恶意代码插入任何文件,包括通常认为安全的常见文件类型。这些文件可能包括使用文字处理软件、电子表格或图像文件创建的文档。文件损坏后,攻击者可能会通过电子邮件分发它或将其发布到网站。根据恶意代码的类型[详细]
-
2021年全球网络空间安全发展态势综述
所属栏目:[安全] 日期:2022-01-04 热度:164
一.全球网络冲突加剧,网络战场愈演愈烈 2021年,全球网络空间局部矛盾冲突接连不断,现实冲突与网络空间冲突相互交织,国家级网络攻击正与私营企业技术融合发展,全球网络对抗在底线试探中正在向新阶段发展。 (一)国家级网络大战或拉开序幕 2021年,全球网[详细]
-
指标可量化,才能更好推进网络安全行业的发展
所属栏目:[安全] 日期:2022-01-04 热度:103
背景 网络安全战略成为国家整体安全战略的重要组成部分,在中央高度重视和牵引下已经取得了长足的发展,但是作为非传统安全代表的网络安全较其他传统安全因有其特殊性,所以并不容易在短时间满足国家的要求。网络安全当下还处于起步阶段《请注意:网络安全[详细]
-
十款优秀API安全测试工具
所属栏目:[安全] 日期:2022-01-04 热度:167
应用编程接口已成为攻击者钟爱的目标。本文所列工具和平台(无论商业还是开源)可帮助企业识别错误、漏洞和权限分配过大等问题。 应用编程接口(API)是大多数现代程序和应用的关键部分。事实上,云部署和移动应用都非常依赖于API,如果不用API管理遍布各处的组[详细]
-
网络安全分析之什么是网络安全?
所属栏目:[安全] 日期:2021-12-28 热度:107
网络安全的概念,有很多不同的定义。在一些场合中,我们最多的考虑的还是网络的技术安全,但是技术延伸出来的安全又会涉及到社会安全、文化安全、国家安全等等。网络安全属于非传统的安全范畴,是一个发展中的安全概念,而今天探讨的则是以美国CISA的定义,[详细]
-
CISA 宣布 Log4j 漏洞的国际联合报告和开源扫描程序
所属栏目:[安全] 日期:2021-12-28 热度:190
日前,美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)联合澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS)、新西兰计算机应急响应小组(CERT NZ)、新西兰国家网络安全中心 (NZ NCSC) 和英国国家网络安全中心 (NCSC-UK)[详细]
-
安全主管2022年工作关键-进步而非彻底变革
所属栏目:[安全] 日期:2021-12-28 热度:75
安全主管纷纷表示,由于近期公司IT环境和业务环境的转变、威胁形势的发展变化和新兴风险的涌现,自身工作重点也随之做出调整,反映出相应的安全需求。 安全主管正在推进面向2022年的整体策略,列出支持企业弹性的各项重点工作。 为编撰年度《安全重点研究》[详细]
-
2022年安全优先事项-发育,而非革命
所属栏目:[安全] 日期:2021-12-28 热度:184
目前,安全领导者正在积极推进2022年的整体战略,列出支持企业弹性的优先事项列表。CSO进行的《年度安全优先级研究报告》指出,受访CISO们表示他们计划在未来几个月内采取一些举措,不过他们既不专注于强化任何单一工具,也不依赖任何一种方法。 相反地,他[详细]
-
低代码开发中常见的七个失误
所属栏目:[安全] 日期:2021-12-28 热度:113
据 Gartner 预测, 2021 年全球低代码开发市场总额将达到 138 亿美元,较 2020 年增长 23% ,该市场包括低代码应用平台(LCAP)、智能业务流程管理套件、多元体验开发平台(MDXP)、机器人流程自动化(RPA)以及公民自动化和开发平台(CADP)等产品或技术。为了最大[详细]
-
网络战,2022 年会发生哪些
所属栏目:[安全] 日期:2021-12-28 热度:52
1. 网站污损 网站篡改是一种低级别的网络犯罪形式,通常针对安全性差且缺乏维护的小型网站。虽然肇事者往往是没有严重恶意的年轻业余黑客,但围绕此类事件的宣传是国际关系的一个令人担忧的趋势。 支持伊朗的青少年黑客声称对 2020 年破坏网站负责,将他们[详细]
-
HTTPS - 怎样抓包并破解 HTTPS 加密数据?
所属栏目:[安全] 日期:2021-12-28 热度:94
HTTPS 是 SSL/TLS 协议之上的 HTTP 协议,现在我们使用的主要是 TLS v1.2、TLS v1.3,如果想深入的了解 TLS 协议的细节,客户端与服务端是如何交互的,最好的学习方法是使用抓包工具,捕获网络数据包,基于这些真实的数据包能够有一些直观的感受。例如:Wir[详细]
-
网络安全知识之分析 ISP
所属栏目:[安全] 日期:2021-12-28 热度:89
什么是ISP? ISP 或 Internet 服务提供商是一家为其客户提供 Internet 和其他 Web 服务访问权限的公司。除了保持与互联网的直接联系外,这些公司通常还维护网络服务器。通过提供必要的软件、受密码保护的用户账户和连接到互联网的方式(例如调制解调器),ISP[详细]
-
Logback 也爆漏洞了,分析下最近log相关的几个漏洞
所属栏目:[安全] 日期:2021-12-28 热度:198
前些天 Apache Log4j2 接连报了几个重大漏洞,好在我们的系统使用的 logback,可当我们正庆幸的时候,logback 也爆出漏洞了。今天我们一起来看一下这几个漏洞。 CVE-2021-42550 先看一下官方的漏洞描述: In logback version 1.2.7 and prior versions, an[详细]
-
利用Inspection机制,对静态代码安全审查
所属栏目:[安全] 日期:2021-12-28 热度:76
一、前言 真能闹,怕喇喇蛄,还不种稻子了? 喇喇蛄,是东北的一种害虫,经常在种水稻的季节,在池埂子上盗洞,导致稻田里的水悄悄的流没了,影响稻苗发育。 后来发现原来写代码,也能碰见蝲蝲蛄,无论你写的是什么功能、哪种技术、作何目的,蝲蝲蛄总能给盗[详细]
-
就五眼联盟推出Log4j漏洞联合公告的一点联想
所属栏目:[安全] 日期:2021-12-28 热度:74
众所周知,以美国为首集合英国、澳大利亚、加拿大、新西兰组建的情报共享联盟,也就是我们常说的五眼联盟。上周三,五眼联盟的网络安全机构发布了一份联合公告,目的是共同应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。 在这里,阴谋论一下。曾[详细]
-
600万台Sky路由器有被攻击的可能
所属栏目:[安全] 日期:2021-12-28 热度:59
英国的一家有600万客户群体的宽带供应商Sky曝出了一个危险的漏洞,在该公司决定修复客户路由器中的DNS重绑漏洞时,该漏洞就已经存在了将近18个月。 渗透测试人员在2020年5月11日向Sky Broadband(英国Sky UK提供的宽带服务)报告了这一问题。 该漏洞可能会影[详细]
-
容器安全扫描工具分享
所属栏目:[安全] 日期:2021-12-28 热度:156
在现代软件开发中, 我们会使用一些公共镜像作为基础镜像来快速构建我们的应用镜像,并将其部署到生产环境中。 随着越来越多的应用程序被容器化,容器安全也随之变得越来越重要。在项目的流水线中, 我们可以使用漏洞扫描器进行扫描并提前获得反馈,实现 安[详细]
-
研究分析,圣诞期间的的撞库攻击将激增
所属栏目:[安全] 日期:2021-12-28 热度:159
Arkose Labs 的一项研究显示,在过去12个月内,发生了超过 20 亿次的撞库攻击 (2,831,028,247),相比去年暴增98%,并预计将在即将来临的圣诞节购物月达到顶峰。 2021 年上半年,Arkose Labs 网络检测并阻止了 2.85 亿次撞库攻击,单周峰值超过 8000 万次,[详细]
-
2022年及以后的五项网络安全分析
所属栏目:[安全] 日期:2021-12-28 热度:99
勒索软件事件将翻倍,甚至翻三倍 事实上,与其在勒索软件备份策略上下功夫,企业不如专注于自身端点检测和响应策略。归根结底,企业不应过度关注症状,而是关注事件根源。 近几年,随着勒索软件攻击增加,越来越多企业选择支付赎金来赎回珍贵数据。在微观层[详细]
-
Log4Shell 漏洞究竟是个啥?
所属栏目:[安全] 日期:2021-12-28 热度:124
2020 年的12月,势必成为各个互联网公司年度最深刻的记忆。 在 12 月初,爆出了一个核弹级的系统漏洞,导致众多互联网公司内部服务器被发现,劫持,甚至植入程序。 尽管目前已经出台了修复补丁,但这个出现在最基础的应用最广泛的模块 log4j 上的漏洞还是让[详细]
-
Log4j一波未平,Logback 一波又起!又有漏洞!!
所属栏目:[安全] 日期:2021-12-28 热度:196
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说就这么一个小漏洞,值得这么大肆的写吗?。看来那[详细]
