哥们的网站流量突然下降的很厉害,从原先一天500左右的IP,直接下降到80左右的IP,让我帮忙看看,网站到底哪里出了问题,首先我用百度的site:下网站的收录量以及快照更新的时间,发现百度快照收录的网站标题和实际标题不一样,网站在百度的快照内容里出现一些菠菜,彩票的内容,从百度点进去后直接跳转到菠菜网站上去了,立即查看了下网站目录文件内容发现被上传了一些可疑的文件内容内容为图2:
顺丰宝存在支付逻辑漏洞,可以允许用户1元变1亿元。这个漏洞在其他网站很难存在,原因是页面交互都使用了对字段做签名。但是顺丰宝没做签名,导致支付金额可以被修改为任意数值。猜测成因是开发人员为了快速实现功能,而忽略了其中数据签名的步骤。可以想象,如果我充值1个亿,然后再使用取款功能,会产生神马效果。
Docker和Snyk最近建立了合作伙伴关系,以提供容器漏洞扫描。这对您意味着什么?Snyk现在与Docker Hub集成在一起,可以扫描官方镜像。此外,Docker已将Snyk扫描直接集成到Docker Desktop客户端中。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵检测、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。现支持用户腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
黑客控制你的车!不信?其实很简单。 汽车和电脑之间的友谊日益密切且复杂。专业软件可实现车辆各部件的互联,从刹车到方向盘再到到门锁乃至收音机,所有部件均能实现网络连接。许多较新车型还能实现车辆与互联网的连接。 那么,您爱车被黑客攻击的机率有多大呢?黑客所造成破坏究竟有多大呢?车企正在做打造自动驾驶汽车,面对黑客发起的网络攻击,其防黑客能力有多强呢?今天我们就让全球权威大咖给咱们详细介绍一下。 斯蒂芬·萨维奇是2017年麦克阿瑟基金会的“天才”奖学金获得者兼加州大学圣地亚哥分校教授,负责专门研究
在运维工作中,为了保证业务的正常运行,对系统进行安全加固,配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞,软件漏洞对服务器远程渗透,从而造成业务中断,更为严重可能会影响整个公司的运营。
汽车和电脑之间的友谊日益密切且复杂。专业软件可实现车辆各部件的互联,从刹车到方向盘再到到门锁乃至收音机,所有部件均能实现网络连接。许多较新车型还能实现车辆与互联网的连接。 那么,您爱车被黑客攻击的机率有多大呢?黑客所造成破坏究竟有多大呢?车企正在做打造自动驾驶汽车,面对黑客发起的网络攻击,其防黑客能力有多强呢?今天我们就让全球权威大咖给咱们详细介绍一下。 斯蒂芬·萨维奇是2017年麦克阿瑟基金会的“天才”奖学金获得者兼加州大学圣地亚哥分校教授,负责专门研究汽车黑客。他表示:“相较于从前,车企
在服务器硬件中,内存是一种至关重要的组件,它对服务器的性能和稳定性起着决定性的作用。特别是在处理大量数据和复杂任务时,高质量的内存可以带来显著的性能提升。然而,在选择内存时,有两种主要类型的内存需要考虑:ECC 内存和非 ECC 内存。这两种内存类型有各自的优点和缺点,选择哪种类型的内存取决于特定的应用需求。
在刘新铭长达 36 年的职业生涯中,他有一半的时间都在写代码。据刘新铭估计,他写的代码有百万行到 150 万行了。如今,作为鉴释联合创始人兼首席架构师,66 岁的他依然会写代码,不过主要专注在核心算法层面。在国内,这个年纪仍坚持编写代码的情况非常少见。
现在游戏已经成为了大家日常生活中的常见娱乐活动之一。为了能让自己有很多的游戏体验,很多小伙伴都喜欢自己购买云游戏服务器承载游戏运行,让游戏变得更加顺畅,网络变得更加平稳快速。那么自己建云游戏服务器的方法是什么,下面就给大家简单说一说。
近几年,白帽子私曝漏洞的事件频发,在业界引起了不小的波澜,在告知白帽子私曝漏洞的行为会有触犯法律的风险,呼吁白帽子加强法律意识之际,好像没有人去深究白帽子选择私曝漏洞的原因,也没有人问过他们,“为什么你要违规披露漏洞?”。
企业和开放源码是世界发展的两大关键元素。开放源码使得企业可以免费、自由使用最新的技术。另一方面,企业可以轻易地影响我们所使用的技术。 企业和开放源码这层关系已经不是什么新鲜事。许多企业采用开放源码作为它们主要的平台驱动程序,并从中获益。经调查,78%的企业采用开放源码这一解决方案。 与此同时,企业也倾向于为开源社区出力。这将有利于维护它们的投资组合,也改善了开源社区。 我们先不考虑数据,就“为什么企业使用开源”这一问题开始。解释这一问题的最佳例子是开源ERP系统的利用率。毫无疑问,大多数中小企业选择采用开源
得益于三年来一系列的已知Bug,马自达汽车的MZD信息娱乐系统可以通过将U盘插入仪表板进行黑客入侵。 这些Bug早在在2014年5月就被Mazda 3 Revolution论坛用户发现了。自此,马自
安全认证和所需的测试和验证在软件开发预算中占了很大的比重。将软件的测试转移到左边(即在软件开发生命周期的早期),同时利用自动化技术,在成本、风险和进度方面都有很大的好处。下图1显示了商业航空公司软件开发每千行代码的成本(以百万美元为单位)(波音和空客的数据),它清楚地显示了指数级的增长。
今天,我要给大家分享关于云储币(Siacoin)开源挖矿系统Siaberry相关的几个漏洞。奇葩的是,在我上报漏洞之后,Siaberry系统官方开发人员却不打算修复其中的一些漏洞,还反复公开声称,这些漏洞对用户没用任何影响,我真的也是醉了!
个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。
作者 Taskiller 像电影中那样hacking 可能很多读者已经看过电影《虎胆龙威4:虚拟危机》,里面的“黑客恐怖分子”只需要在键盘上按几个按键就可以控制交通信号灯。是不是很酷!我也想过这么试试
罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击。
27号,B站拥有500万粉丝的UP主“党妹”发视频说被勒索病毒攻击了,存储在NAS里的数百G视频素材被加密,造成损失。大家在声讨黑客的同时,也表示对NAS不太熟悉,为什么安装第一天,就被莫名的加密勒索了?
随着网络安全形势的愈加严峻,如今企业也越来越重视网络安全建设,定期开展渗透测试正在成为一种趋势。
近日,免费图像网站Freepik公布了一起重大的数据泄露事件,一名黑客(或多名黑客)利用SQL注入漏洞访问其一个存储用户数据的数据库之后,并获取了Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。Freepik经调查后表示,并不是所有用户的账户都有相关的密码,黑客只取走了部分用户的信息。现在正在根据被采取的措施,用定制的电子邮件通知所有受影响的用户。
昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等信息。不过密码经过了MD5加密。一本财经在报道中提到: 一些地下渠道,开始对数据进行明码标价,价格从“10万到70万”不等。 这真可谓重磅炸弹了。不过京东今天已经正式给出回应,确认这部分数据泄露是缘于2013年的Struts 2安全漏洞,并表示京东很早就已经修复了此漏洞,而且当时已经提示存在风险的账户进行安全升级。 这份声明一定程度确认了一本财
应用程序安全性并不新鲜,但它在需求、复杂性和深度方面正迅速增长。随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序。即使那些运行最新端点保护的系统也面临重大漏洞。
互联网普及后,企业由于发展和宣传需要,都会建设自己企业的网站,但是建设一个网站费用问题是很模糊的概念。因为需求决定了价格。今天,小熊优化的小编就为大家说一说建设一个网站需要多少钱。
作者介绍:《漏洞战争:软件漏洞分析精要》作者,2011年毕业于福建中医药大学中西医骨伤专业,在腾讯安全平台部主要从事安全应急响应工作,涉及终端安全、Web安全、移动安全等方向。 “只有具备犯罪能力的人才能洞察他人的犯罪行为!” —— 题记 引言:戏里戏外 【图1《窃听风云》场景】如果有看过电影《窃听风云》的朋友,不知道是否还记得【图1】的片段,故事背景是这样的:男主角为了进入警察局的档案室偷取资料,通过黑客技术黑入警察局的监控系统,将监控视频替换为无人状态,以隐藏潜入者的行踪,防止被警察发
刚刚落下帷幕的BlackHat和DEFCON大会显然是这几天安全圈关注的焦点。除了之前我们介绍的精彩议题,各路英雄豪杰还带来了各种各样的硬件破解技巧,今天就大家介绍一些那些在安全“两会”中的精彩破解。 两种方法破解苹果支付 在各种移动支付解决方案中,苹果支付往往被公认为是最安全的方案之一,苹果芯片中分配了专门的区域(Secure Enclave)用来处理支付,银行卡数据也并非存储在设备中,支付过程中的交易数据也进行了加密传输。但尽管如此,来自Positive Technologies研究人员还是在Black
罗超为网易科技专栏供稿,2013年7月1日发表。 6月28日晚上,迅雷副总裁Paul黄芃在官方认证微博上透露:“迅雷会员今天活动的支付页面出现bug,1分钱可以买180元的白金年卡,在发现之前,500
Ajax 即” Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。
一个8岁的女孩在无人的房间里听到了这样的一句招呼。声音从摄像头传来,在摄像头的背后,是一个不知其面孔的黑客。这是在圣诞来临之际,发生在美国的真实的一个摄像头入侵事件。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的,了解情况后我们SINE安全立即安全技术对客户网站进行排查和溯源。
2024 年 3 月 4 号,Google 官方博客[1]发文,宣布《安全设计 - Google 对内存安全的洞察》白皮书[2]。
由国家互联网信息办公室会同相关部门研究起草的《网络数据安全管理条例(征求意见稿)》对外公布。这是国家加强网络数据法治化的又一重要举措,对数据处理企业、数字化转型企业而言,将在搭建数据架构、完善数据合规体系等方面具有促进作用。
据CryptoNinjas消息,当地时间3月14日,Coinbase宣布其用户现在可以将XRP直接存储在Coinbase Wallet钱包应用程序中。目前,Coinbase Wallet已支持BTC、ETH、BCH、ETC及基于以太坊的超过10万种不同的ERC20代币和ERC721收藏品。
两次成功破解特斯拉自动驾驶系统,甚至可以在远程无物理接触的前提下操控汽车,将特斯拉的中控大屏和液晶仪表盘更换为自己实验室的Logo,并收到马斯克亲笔签名的致谢信;远程破解宝马多款车型;连续五年参加国际顶级黑客大赛Pwn2Own并获得十六个单项冠军,斩获三个Master of Pwn称号,创造了世界最好成绩,这到底是一个怎样的团队?
在选择美国虚拟主机时,安全性应该是您首要关注的问题。虚拟主机通常是网站托管的最便宜和最方便的方式之一,但也存在安全问题。在本文中,我们将讨论一些您应该注意的安全问题,并提供一些解决方案来保护您的网站。
五年前,当本杰明·德尔皮(Benjamin Delpy)走进莫斯科总统酒店的房间时,发现一名身穿深色西装的可疑男子在使用他的笔记本。就在几分钟前,这名 25 岁的法国程序员匆匆跑到前台去投诉房间的网络状况。为了一场在附近主办的安全会议,他提前两天就到达了这里,结果发现酒店没有 Wi-Fi,网口也坏了。酒店的工作人员让德尔皮在前台等着维修人员过来,但他想回房间里等着所以拒绝了。 当德尔皮回来时,他就震惊地看到那个陌生人站在自己的办公桌旁,身旁还有一个黑色手提箱,在听到声响之后,快速缩回了键盘上的手。笔记本上
Alex 发自 凹非寺 量子位 | 公众号 QbitAI 有个小游戏,今年风靡全网,堪称现象级,但很快又遭群嘲。 在它刚火的日子里,有人玩着玩着手机突然卡住;有人费了好大劲也没通关,一问才发现身边人早就闯关成功了…… ——没错,说的就是《羊了个羊》。 且不论游戏模式本身。造成此番混乱场景的原因,除了“羊”火得太出人意料,还有就是其服务器和API受到海量CC攻击和bot攻击,市面上还出现了一堆针对API的外挂软件。 怎么应对? 等等,“API”、“服务器”……这些不正是云的关键词吗? 事实上,“羊”的开发者
作为一个将整个职业生涯都花在开源软件(OSS)上的人,Log4Shell 的混乱(整个行业范围内的四级警报,以解决 Apache Log4j 包中的一个严重漏洞)是一个谦卑的提醒,我们还有很长的路要走。OSS 现在是现代社会运作的中心,就像公路桥、银行支付平台和手机网络一样重要,是时候 OSS 基金会开始像现代社会运作的中心一样行动了。 像 Apache 软件基金会、Linux 基金会、Python 基金会等组织,为他们的 OSS 开发人员社区提供法律、基础设施、营销和其他服务。在许多情况下,这些组织的安全工作资源不足,并且由于害怕吓跑新的贡献者,在设置标准和需求以减少重大漏洞的机会方面受到限制。太多的组织没有申请筹集到的资金,也没有设置过程标准来改进他们的安全实践,并且不明智地偏向于代码的数量而不是质量。 “像现代社会运作的中心一样行动”是什么样子的?以下是一些开源软件基金会可以做的事情来降低安全风险:
Linux 多年来取得的成绩毋庸多言。但最近,reddit 上有人发起了一个话题,想知道 Linux 的内核设计是否已经过时,并得到了一些有趣的答案。 这位 Ronis_BR 的用户提问大致如下: Linux 是在 1992 年启动的,一些特性到现在都没有改变。我猜想最新的操作系统内核设计技术(如果存在…)应该较之前有很大的进步。那 Linux 内核是否已经过时? 与 Windows、macOS、FreeBSD 内核的设计相比,Linux 内核的设计有没有在哪些方面比较先进?(注意,重点是设计的先进,
你可能知道,智能合约是所有可编程区块链(如以太坊上)的一个重要组成部分。通过确保事情按照预定的规则运行,智能合约强制执行秩序。没有智能合约,就没有加密代币、NFT,也没有DApps。但是,什么是可升级的智能合约?嗯,首先,你需要注意,在这种情况下,"可升级 "这个词并不意味着可变异。EVM的基本规则之一是,一旦合同被部署,它就不能被改变。相反,可升级的智能合约使用特殊的代理模式。后者涉及部署代理合同和执行合同(逻辑合同)。
对于企业内部的安全工程师来说,对漏洞一直又爱又怕,爱在,漏洞的发现与验证实现的过程,充满满满的成就感;怕在,不断的新系统上线,老系统版本更新迭代,造就一批批的漏洞如雨后春笋般争相露头,一段时间下来,好像漏洞无穷无尽,怎么都修不完。甚至部分开发人员,谈漏洞色变,让人颇为无奈。等到汇报的时候,不出事就是应该的,出了事就是安全工作没做到位。但殊不知,在企业安全建设前期阶段,安全漏洞管理是复杂繁琐、让人头痛的事情,漏洞录入、跟进、处理、验证、修复完成整个循坏下来,需要好的方法与技巧,不然着实让人充满疲惫与无力感。
本文探讨了个人信息安全防护的具体方法,旨在提高个人信息安全日常防护意识,应对个人信息安全面临的严峻挑战。
利用传统方法做漏洞修复提效,只适用于比较简单的场景,比如根据版本号判断使用的开源组件是否存在漏洞,更多高危险的如导致数据泄露的注入类漏洞/账密类等,该方案难以通用。主要原因总结如下:
漏洞披露是安全服务工作的日常内容之一,常见漏洞扫描和渗透测试两种方式,完整的工作流程还包括了后续的复核以及提供漏洞整改建议,这篇文章给大家分享一下up在漏洞修复上的一些经验和容易遇到的问题,希望能对师傅们有所帮助。
原文标题《一洞观全球,从“心脏出血”漏洞修复看各国网络战防御能力》 作者:ZoomEye http://www.zoomeye.org 新浪微博:ZoomEye 微信公号:wangzhan_anquan Twitter:zoomeye_team 1引言 在真正的网络战打响之前,去评估各国的网络战能力是困难的。真实战争可以通过武器、作战人数、战略资源等去评估国家的作战能力,而网络战是无形且隐蔽的,我们很难去评
近日在看到安全牛发布的《漏洞管理的八大趋势》,其中提到了“大量数据和案例表明,虽然漏洞评估和管理工具不断丰富,但是漏洞管理重在“管理”,企业的漏洞管理或脆弱性风险相关管理依然存在很大的改进空间,例如,人才资金匮乏、缺乏对漏洞风险和受影响资产的感知能力、企业孤岛和部门战争、漏洞修复效率低下等。”这里仅仅谈谈“漏洞修复”这一个小的环节,就有很多的发散点。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
