-
ATM安全最新的三大威胁
所属栏目:[评论] 日期:2019-01-29 热度:153
自动柜员机(ATM)就是静立的钱箱,而且身在银行保险库重重防卫之外,传统大盗和新兴黑客都认为这是个完美的攻击目标。尤其是在发展中国家,ATM往往缺乏基本的网络安全预防措施,运行着老旧过时的操作系统,身份验证要求也很简单。过去几年里罪犯在从ATM捞钱[详细]
-
十二月份恶意软件之“十恶不赦”排行榜
所属栏目:[评论] 日期:2019-01-29 热度:188
时光荏苒,2018年瞬息而逝,在2018年的最后一个月份里,国外安全公司的研究人员发现, SmokeLoader在12月份跻身十恶不赦恶意软件名单。其作用主要用于加载其他恶意软件,如TrickbotBanker,AZORult Infostealer和PandaBanker,自2011年以来,研究人员已经[详细]
-
我们终将泄露的人脸数据,后果到底有多可怕?
所属栏目:[评论] 日期:2019-01-29 热度:135
人脸识别正在不可阻挡地走向娱乐化。 从朋友圈里的AI面相识别小程序,到走进大街小巷的AI测肤,无一不是热火朝天。 这种情形不禁让人感叹,互联网的记忆果真连金鱼都不如。想当初iPhone X刚刚推出人脸识别解锁时,网民们都在警惕人脸的安全,声称外出行走[详细]
-
增长黑客和程序员沟通指南:避开这8个坑爹瞬间
所属栏目:[评论] 日期:2019-01-27 热度:171
大佬,我先走啦,做好了跟我说一声啊! 增长黑客拍拍程序员的肩膀,转身下班了,没有注意到程序员眼角流露的一丝杀气。 常有人问我们,增长黑客需不需要懂技术? 其实,国内外增长专家认为,增长黑客更多的是一种思维(mindset),而非技术(technical)。写代码[详细]
-
3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案
所属栏目:[评论] 日期:2019-01-27 热度:170
随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cross site[详细]
-
2019年能改善组织网络安全的六项决议
所属栏目:[评论] 日期:2019-01-27 热度:52
新的一年,全面网络安全的需求与以往一样强烈。随着威胁不断发展和扩大,各组织必须为今后做好准备,并制定计划,以解决其威胁检测和响应策略中最脆弱的方面。泄密事件已经成为2019年的头条新闻,各组织越来越多地寻求将权力平衡从攻击者转移出去的方法。[详细]
-
企业网络的心腹大患“ARP欺骗和攻击问题”
所属栏目:[评论] 日期:2019-01-27 热度:116
ARP欺骗和攻击问题,是企业网络的心腹大患。关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的很透彻,各种防范措施也层出不穷。 但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里了解到,虽然尝试过各种方法,但这个问题并没有根本解决。原因就在[详细]
-
Web前端密码加密是否有意义?
所属栏目:[评论] 日期:2019-01-27 热度:116
正文 好多读者认为只要使用了https,加密了http的所有字段,整个通信过程就是安全的了。殊不知,现如今https通信并不是端到端(End to End),而往往是中间夹杂着代理,有客户端的代理,也有服务器端的代理。 而代理的存在使得本来较为严密的、安全的https,[详细]
-
2019年,你会选哪些安全测试工具?
所属栏目:[评论] 日期:2019-01-27 热度:57
虽然说都已经2019年了,安全从业者的日常依旧离不开各种工具的辅助。在 2018 年安全工具盘点的基础上,我们今年再增加一些免费或开源工具,供读者参考。其中有很多都经过专业人士的试用与推荐。 网络安全监控 Argus Argus其实是 Audit Record Generation a[详细]
-
数据集#1暴露了近7亿多条记录带来的警示迫切需要多因素身份验证
所属栏目:[评论] 日期:2019-01-27 热度:82
开篇前,先提醒广大用户朋友们,临近年关属于病毒高发期,是病毒猖獗泛滥的时节,请大家做好安全防范,开开心心过好年! 前几天我在澳大利亚安全专家发现有史以来最大的数据泄漏中描述过有关黑客窃取了近7亿多封电子邮件和2100余万封密码,IBM相关文章认为[详细]
-
2019年软件安全趋势前瞻
所属栏目:[评论] 日期:2019-01-27 热度:154
过去一年,从 Facebook 数据泄露事件、币圈频发的网络攻击,到知名酒店集团的信息泄露,让越来越多的企业意识到他们在防范潜在威胁和新型攻击媒介方面的投资还远远不够。他们也愈加关注安全 方面的趋势,防患于未然,以保护投资回报。 近年来,云计算、人[详细]
-
2018年度全球APT报告显示:79个国家和地区受影响
所属栏目:[评论] 日期:2019-01-25 热度:107
近日,360威胁情报中心发布了《全球高级持续性威胁(APT)2018年报告》(以下简称报告),揭示了过去一年全球APT发展态势。 在所有网络攻击活动中,APT攻击能够对行业、企业和机构造成更严重的影响,并且更加难于发现和防御,APT攻击的背后是APT组织和网络犯罪[详细]
-
2018最酷的黑客手法
所属栏目:[评论] 日期:2019-01-25 热度:127
这是恶意黑客胆大妄为的一年,某些手法此前根本想象不到佯攻、加密货币劫持、社会工程和破坏性恶意软件行动。但即便是在2018年民族国家和网络犯罪攻击日渐猖獗的背景下,安全研究人员还是找到了一些以黑治黑预先制止坏人攻击的创新手法。 2018年,包括青少[详细]
-
盘点恶意病毒的藏身之处,不起眼但是危害大!
所属栏目:[评论] 日期:2019-01-25 热度:54
近来,高级持续性威胁(APT)、勒索病毒和其他复杂犯罪的激增,表明隐藏良好的病毒绝对是值得警惕的。 最新的安全威胁的特征是它们能够在公司的网络上长时间保持不被发现,在某些情况下,罪犯一直都没有被注意到。 IT专业人员需要为新一代的恶意软件和APT的[详细]
-
苹果Face ID能被破解?安全研究员取消技术汇报
所属栏目:[评论] 日期:2019-01-25 热度:65
北京时间1月4日早间消息,一名安全研究员取消了在一场信息安全大会上计划做的简报。他此前表示,找到了办法破解苹果iPhone的面部识别技术,但他的雇主认为这方面工作存在误导性。 苹果Face ID被攻破的可能性令人担忧。这一功能被用于锁定数千万部iPhone,[详细]
-
分析黑客 | 实用技巧之“抢火车票、红包技术”,防止上当受骗
所属栏目:[评论] 日期:2019-01-25 热度:103
一、抢火车票 1、抢火车票软件的技术原理 目前主流的抢票软件是安装在浏览器上的插件,像猎豹、360浏览器等,用于在12306网站上抢票。 常规情况下,使用12306网站订票时,如果刷新页面就需要再次填写个人信息,这就耽误了不少时间。这一耽误,可能需要秒杀[详细]
-
2018加密货币安全大事记
所属栏目:[评论] 日期:2019-01-25 热度:124
从加密货币交易遭黑客攻击的次数,到被盗资产的数量,再到有史以来最大的一次交易遭黑客攻击,加密技术创造了许多记录。 2018加密货币垃圾邮件、网络攻击等事件层出不穷,下面分月列出相关事件。 1月 BlackWallet.co是一款基于Web的Stellar Lumen币(XLM)钱[详细]
-
2018年网络安全大事记
所属栏目:[评论] 日期:2019-01-25 热度:66
一、信息泄露与网络攻击篇 1. 信息泄露连续五年创历史记录 自2013年斯诺登事件以来,全球信息泄露规模连年加剧。尽管目前还没有信息泄露统计的确切数字,但2018年的数据泄露规模又将创下新的历史记录已是大概率事件。根据Gemalto发布的《数据泄露水平指数([详细]
-
盘点 | 2018年数据泄露事故Top10
所属栏目:[评论] 日期:2019-01-25 热度:64
无法撤回的2018,他们都说有点丧。安全行业同样不让人省心。 全世界的企业可以分为两种:一种数据已经泄露的和一种将要发生数据泄露的企业。 天下熙熙皆为利来,天下攘攘皆为利往。没有破不了的盾,数据永远不会安全。 2018年虽然没有出现像2017年那样造成[详细]
-
扒一扒恶意病毒和勒索软件最易藏身的地方
所属栏目:[评论] 日期:2019-01-25 热度:72
近来,高级持续性威胁(APT)、勒索病毒和其他复杂犯罪的激增,表明隐藏良好的病毒绝对是值得警惕的。 最新的安全威胁的特征是它们能够在公司的网络上长时间保持不被发现,在某些情况下,罪犯一直都没有被注意到。 IT专业人员需要为新一代的恶意软件和勒索软[详细]
-
2018年全球十大APT攻击事件盘点
所属栏目:[评论] 日期:2019-01-25 热度:130
前言 APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件,以及近几年来披露的高级持续性威胁[详细]
-
作为白帽的你应该拥有的10个小工具
所属栏目:[评论] 日期:2018-12-24 热度:99
本文我将为大家列举10个作为黑客的你最值得拥有的小工具。这些工具非常适合作为你无聊时的调剂品,或是作为生日圣诞礼物送给你的白帽朋友。当然,文中提及的某些项目可能并不适合所有的渗透测试人员。譬如无线爱好者可能会对下面的天线感兴趣,因为它能够[详细]
-
在零信任世界中建立真正的信任
所属栏目:[评论] 日期:2018-12-24 热度:158
我们的目标不应该仅仅是接受零信任,还要获得建立真正的信任所需的可见性。 零信任这个词是佛瑞斯特研究所在2010年提出的,其概念也是谷歌在同时期设计的BeyondCorp架构的核心理念。公司企业历来假设自己的内部网络是安全的,谷歌挑战这一传统认知,声称公[详细]
-
SQL注入常规Fuzz全记录
所属栏目:[评论] 日期:2018-12-24 热度:182
前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。 进入主题 1.访问题目,是个典型的登录框 2.尝试输入admin/123456,提示密码错误[详细]
-
5250万用户信息恐遭泄漏,Google+将被提前关闭
所属栏目:[评论] 日期:2018-12-24 热度:122
今年10月份,我们曾报道因 API 设计缺陷问题 Google 泄露了近 50 万 Google+ 用户的隐私数据,但却选择不报告该失误,部分原因是担心披露后会引发监管审查和声誉受损。在被华尔街日报曝光后,Google 回应称将持续改进第三方 API,并将在2019年8月永久关闭[详细]
