文章分类列表 - 网络安全

网络安全

专访沃顿在线履行总裁朱磊：谈谈那些不安全的API

在今年7月底举行的WOT2015挪动互联网开辟者大会上，北京沃顿在线信息技术有限公司执行总裁、安全专家朱磊先生带来了关于《APP中那些不安分的小接口》的精彩演讲，并在会后接受了51CTO记者的采访。在本次采访中，朱磊向咱们介绍了那些不安全的API，并解释API为何会给企业构成重大危险，以及企业应如何确保API在企业情况中的安全性。【受访者简介】朱磊是专注运维安全的北京沃顿在线信息技术有限公司创始人，《暗战：数字世界之战》一书作者。他曾任京东研发系统安全经理，具有多年的互联网信息安全治理经验，丰富的信息安全理念和多个安全系统架构经验。那些不安全的API 2015年1月，Moonpig ...
查看全文
轻松掩护收集十大基于云的安全东西

说到掩护收集，贵企业规模如何并不重要。无论是大企业、小公司还是初创企业，黑客仍想要弄到你的信息，他们仍在偷偷伺机寻找贵企业收集的破绽。你须要落实安全措施，而且要尽快落实。这就是为何“安全即效劳”公司对期望为从文档到整个公司的一切对象落实安全机制的任何人来说变得至关重要。安全即效劳能够笼统地描述为“软件即效劳”安全东西，不须要任何外部安排的硬件或软件发行版。不像老式的安全东西，比方须要安装到收集上每一台计算机上的反病毒软件，这类东西几乎即插即用�D�D你点击一下按钮(可能要填入一些信用卡信息)，主要的安全资源突然之间触手可及。这些安全效劳 ...
查看全文
BlackHat 2015：Linux内核破绽通杀寰球安卓手机

8月5日的Black Hat上，首次登台的Keen Team许文格外引人注目，他创造了史上最年轻华人报告者的记录。 498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”640″ src=”https://s8.51cto.com/wyfs02/M00/71/11/wKioL1XEdw3Sd7oKAABdtjMdf9I431.jpg” width=”550″ height=”413 ...
查看全文
收集军火商泄露惊天内幕：中国才是受害者！(1)

0x00 背景 Hacking Team是一家在意大利米兰注册的软件公司，主要向各国政府及法律机构销售入侵及监视功能的软件。其近程把持体系能够监测互联网用户的通信、解密用户的加密文件及电子邮件，记载Skype及别的VoIP通信，也能够近程激活用户的麦克风及摄像头。其总部在意大利，雇员40多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用。 7月5日晚，Hacking Team服务器被攻打，其掌握的400GB数据泄漏出来，由此引发的动荡，引起了业界一片哗然，里面有Flash 0day, Windows字体0day, iOS enterprise backdoor app, Andr ...
查看全文
看我怎样奇妙设置两款安全东西防备蛮力攻打(1)

蛮力攻打简介咱们都知道这句流行语：“防备胜过治疗。”假如你是个Linux系统管理员，可能知道“蛮力攻打应用程序”如何在你的本地或远程效劳器引发问题。设想一下：假如你的效劳器遭到了身份未知的攻打者的攻打，效劳器上的数据就会落到坏人手里。这肯定会让你和贵公司陷入从未想过的大麻烦。蛮力攻打是应用程序采用的反复实验方法，以破解你的加密数据。加密数据可能是任何暗码或密钥。简单来说，蛮力攻打应用程序会实验全部可能的暗码或密钥组合，反复实验，直到找到正确的暗码或密钥为止。这就需要一段时光，具体取决于暗码的复杂性。假如要花过长的时光才能找到暗码，那么能够说你 ...
查看全文
我是怎样打造一款自动化SQL注入东西的

0×01 前言各位看官看到标题吐槽帝就开始了：已经有了各种各样的注入东西,为什么还要手工打造一个? 事实上,做为一名苦逼乙方测试工程师以及破绽盒子�潘堪酌弊� ,在疲于应对各种死缠滥打的甲方以及成堆的web测试需求时，我经常遇到以下场景: (1)有大批量的网站须要检测的场景乙方工程师工作辛苦劳累从来都不抱怨，有名目一定都是最能抗的，向无数奋斗在一线的乙方工程师致敬! (2)体系内部业务复杂可能会存在众多测注入点很多系内部业务复杂，查询功效较多，此时可能会较多的注入点，手工测试时间紧,容易纰漏，此时须要一个提取burpsuit的history记录的东西，来主动帮你分析问题所在 ...
查看全文
几款零付费东西助你查明能否沾染了Hacking Team歹意软件

你能否百分之百确信本人的设备没有沾染Hacking Team监督歹意软件，无论那意味着你可能是某国当局的目标，还是某个对Hacking Team的歹意软件重新做了手脚的网上卑鄙小人的受害者?当然了，Adobe和微软已宣布了应急补丁，以对付披露的Hacking Team破绽，然而你扫描计算机，确信它没有遭到沾染岂不是明智之举?现在你能够检查本人的计算机能否沾染了Hacking Team的特务软件，因为Rook Security公司已宣布了一款免费的检测东西，这款名为“Milano”的东西旨在帮助个人和企业查明本人的呆板能否遭到了沾染。 Rook Security一直在 ...
查看全文
切记这七点让你的Linux服务器变得更安全

我运转着几台Linux效劳器;家里一台，充当文件效劳器，还有三台活动效劳器，分别用作我的站点效劳器、邮件效劳器和云存储效劳器。虽然我并不担心家里那台效劳器，因为它并不与外界停止联系，可是另外三台效劳器却要精心维护，而且始终要精心维护。有些Linux新手想运转自己的效劳器，必须切记几个事项，这正是本文的重点所在。图1：运转中的效劳。装配所需的效劳假如你打算运转一台效劳器，可能会想“我有来自Linode的40GB固态硬盘(SSD)存储体系，于是我能够装配想要装配的任何效劳。”没错，你的地盘你作主：能够在效劳器上装配任意软件。不外，别犯想当然的毛病。连最固若金汤的效 ...
查看全文
WatchGuard宣布最新一代Firebox M系列防火墙

近日，寰球整合式多功效企业安全处理计划企业WatchGuard在上海发布最新一代Firebox M系列防火墙，该系列产物融会WatchGuard多项业内当先的创新技巧，特别针对中小企业及分支机构所设计。Firebox M系列拥有业内最强的UTM效能优势，其构建的纵深防备系统包括了下一代仿真沙盒(Sandbox)技巧打造的WatchGuard APT Blocker(高级持续性要挟阻断)模块，可辅助用户无效抵御零日要挟、鱼叉式收集钓鱼、水坑攻打，并在防范APT的同时协助中小企业阻止讹诈软件(Ransomware)对中心数字资产造成的伤害。收集要挟一直好转传统防备架构已然生效在收集要挟一直好 ...
查看全文
浅析各种DDoS攻打缩小技巧

之前我们曾报道过，此种攻打方式并非主流，以公然的论文看来后果堪比DNS，而NTP攻打则更胜一筹。 0×00 背景攻打者能够应用BT种子协定(微传输协定[uTP]，分布hash平台[DHT]，消息流加密[MSE]，BT种子同步[BTSync])来反射缩小结点间传输量。实验显示，攻打者能够应用BT结点将一个包缩小50倍，假如是BTsync将达到120倍。另外，我们发明最流行的BT流客户端正是最脆弱的，比如uTorrent、Mainline、Vuze等。公然DNS剖析和NTP协定MONLIST下令攻打，两种攻打方式依靠其协定的广泛应用，影响范畴不言而喻。混合缩小，应用通用协定的 ...
查看全文
让SSL/TLS协定风行起来：深度解读SSL/TLS实现(1)

一前言 SSL/TLS协定是网络安全通讯的重要基石，本系列将简单先容SSL/TLS协定，重要关注SSL/TLS协定的安全性，特别是SSL规范的正确实现。本系列的文章大体分为3个局部： SSL/TLS协定的基本流程典型的针对SSL/TLS协定的攻击 SSL/TLS协定的安全加固措施本文对SSL/TLS协定概况做基本先容，包括SSL/TLS协定的版本变迁，协定的详细流程以及流行的SSL/TLS协定实现。文章的重要内容翻译自波鸿鲁尔大学Christopher Meyer的文章《20 Years of SSL/TLS Research An Analysis of the Internet&r ...
查看全文
针对网页木马（CVE-2011-1260）的剖析与实际(1)

本文假设你对破绽挖掘，破绽分析，汇编这些不太了解，但是对C，C++有一定了解。首先咱们找一个具体的公开的例子——CVE-2011-1260，开释后重用破绽。首先咱们上网找一下这个破绽的POC，得到如下（运转环境XP SP3，IE8，开启DEP（稍后解释什么是DEP））： <html> <body> <script language=;javascript;> document.body.innerHTML+="<object hspace=;1000; &n ...
查看全文

|<<2 3 4 5 6 7 8 ...>>|