2022年04月09日
2020 年,技术和市场变化的步伐将加快,影响安全技术、创新、投资以及整个行业。
随着 2019 年的结束,安全分析师们往往会编制一份行业预测清单。这份清单将列出企业安全技术领域前所未有的变化。这些变化已经开始发生,但会在 2020 年及以后更加明显。
正在发生什么?
网络安全已成为一门业务关键、极具动态性、高度可扩展和专业化学科,但我们仍然会使用辅助工具、手工流程,而且往往人手还不够充足。
在接下来的几年里,这些传统策略将会过时。相反,大型组织机构依赖的网络安全技术基础设施将具备以下特征:
2022年04月09日
这是一篇很长的文章,因为就网络安全新闻来说,2019 年就是一场灾难,每周都会有一个或多个重大事件发生。
以下是按月组织的过去 10 个月安全灾难的摘要。
一月
Apple FaceTime 中的严重漏洞:Apple FaceTime 应用程序中的一个错误使攻击者可以在不与被呼叫者进行任何用户交互的情况下呼叫并自行应答 FaceTime 呼叫,从而为进行秘密监视打开了大门。
在通过 Skype 面试后,朝鲜黑客渗透到智利的 ATM 网络:该文章的标题不言而喻,值得你花时间阅读该故事。
黑客破
2022年04月09日
在数据库的安全问题已跃至CSO的工作内容象限榜首的今天,对数据库安全的防御是艰苦的旅程,如何让针对业务安全和数据安全的攻击成为一场废鞋底的马拉松,防止恶意行为者利用漏洞威胁这个“线头”并最终扯下数据这条“线裤”的全部,让我们一起来关注在数据库安全能力建设中识别数据库的安全威胁。
安全威胁简介
数据泄露对每个企业都构成威胁,其损失不仅超出了敏感数据、机密数据和品牌损害带来的实际损失或披露范围,公司还承担了与补救和多年法律责任索赔相关的重大财务成本。
2022年04月09日
若建立在可满足所有利益相关者信息需求的成熟基本目标之上,若其输出能够绑定企业目标,若能够减少企业的总体风险,那么企业的漏洞管理项目就能发挥出其全部潜力。
此类漏洞管理技术能够检测风险,但需要人与过程的基础以确保项目成功。
漏洞管理项目有四个阶段:
确定资产关键性、资产拥有者、扫描频率,以及确立修复时间线;
发现网络上的资产,并建立清单;
识别已发现资产中的漏洞;
报告并修复已识别漏洞。
第一阶段关注可衡量、可重复过程的建立。第二阶段就第一阶段的四个重点执行该
2022年04月09日
做渗透测试有一段时间了,发现登录方面的问题特别多,想做个比较全面点的总结,我尽量写的全面点又适合新人,这篇文章可能需要点想象力,因为问题比较多我不可能去海找各种例子举出来,不过好在会上网就遇到过各种登录框,所以大家都比较了解
web登录认证方面,从子功能上可以划分为登录框登录、忘记密码(密码重置)、修改密码、验证码、发送手机验证码、发送邮箱验证码、注册账号、登录信息错误提示、账号锁定等等小功能组成(单点登录还要讲原理,本文暂不涉及),每个web站点的登录大约由上面小功能的全部或者一部分组成(这
2022年04月09日
未修复漏洞依然是很多公司的主要安全问题。
公司企业承受着不断增长的有效漏洞与补丁管理实现压力:近期多起数据泄露事件中,攻击者展现出利用未修复软件缺陷获取关键企业应用及系统访问权的趋势。甚至相对较老和很久以前修复的漏洞都还在被利用。
永恒之蓝 (EternalBlue) 就是其中一个例子。这是针对微软服务器消息块 (SMB) 协议漏洞的一个漏洞利用程序,由美国国家安全局 (NSA) 开发,后遭泄露。尽管微软早在 2017 年初就修复了此远程代码执行漏洞,直到今年 6 月仍有近 100 万系统未
2022年04月09日
一系列崭露头角的安全厂商,正在寻求在从身份保护和控制、到遵守新隐私法规、再到保护云平台和物联网设备的方方面面打上自己的烙印。
我们梳理出了从2017年开始创立的10家网络安全初创公司,这些公司因为融到新的资金、推出合作伙伴计划、发布关键产品增强或者更新脱颖而出,其中有4家初创公司位于美国加利福尼亚州,3家位于以色列,2家位于美国东北部,另1家位于英国。
这些公司正致力于解决安全挑战,例如对铁路网络的网络威胁、对关键资产实施问责制以及监控互联网以在违规事件发生之前及时发现。下面,就让我们来看看今
2022年04月09日
我们大多数人都应该开始更加仔细地考虑我们在线存储的数据。越来越明显的是,我们在线存储的任何数据都不可能100%安全,并且2019年存在一些最严重的数据保护漏洞。
WhatsApp Hack用于安装间谍软件
任何公司的网络安全漏洞都会使受影响的企业感到尴尬,而当该企业的交易如此频繁地关注隐私问题时,更是如此,并且为了保持客户安全,采取了各种安全预防措施(例如使用VPN或代理)网络)。当5月有消息传出骇客利用WhatsApp在用户手机上安装以色列间谍软件时,对于WhatsApp来说似乎是个坏消息。
2022年04月09日
本文章适合正在学习提权的朋友,或者准备学习提权的朋友,大佬就可以绕过了,写的比较基础。我也是一个小白,总结一下提权的姿势和利用,也分享一些自己觉得好用的方法给大家,欢迎大家帮我补充,有什么好用的提权的方法也可以分享一下,大家共同进步。本篇有自己的理解,如果有什么不对的或者不好的地方希望大家不要喷我,但是欢迎帮我指正。
提权的含义
提权,顾名思义就是提升权限,当我们getshell一个网站之后,大部分情况下我们的权限是非常低的(一般只是一个apache权限)。这时候为了“扩大战果&r
2022年04月09日
勒索软件攻击并没有假期,攻击者无时无刻不在尝试突破目标防护。勒索软件的威胁不断增加,在2019年第一季度,研究人员注意到勒索软件种类增加了118%。在这些不断上升的数字背后,是网络犯罪集团持续将勒索软件植入到企业网络中去。
其中Emotet木马在沉寂了三个月之后再次出现活动迹象。该木马在起初2014年时只是一款银行木马,但后来改变了组织思路,变为了僵尸网络。而且通过僵尸网络传播其他黑客组织的各种恶意软件。这使得emote成为网络犯罪领域最大的威胁之一,它已经影响到北美和欧洲的公共行政机构、医疗