漏洞管理双11活动_漏洞管理双11促销活动_漏洞管理双11优惠活动 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

多部委加强整治，腾讯安全帮助企业抵御“挖矿”木马

11月16日，国家发改委举行新闻发布会，重点提及了虚拟货币“挖矿”治理。会上，新闻发言人孟玮明确阐述了虚拟货币“挖矿”的危害，并表示将持续做好虚拟货币“挖矿”全链条治理工作，建立长效机制，严防“死灰复燃”。

03

迎战“双11”，企业如何以供应链赋能借势提升业绩？

今年的“双11”如期而至。早在10月底，京东、天猫便已经先后宣布启动“双11”活动，唯品会、拼多多、快手、小红书也不甘落后。现如今，“双11”早不仅是电商平台扩大销售的风口，也是考验供应链、凝聚商家资源的关口。

02

您找到你想要的搜索结果了吗？

是的

没有找到

奔驰、宝马等汽车品牌存在 API 漏洞，可能暴露车主个人信息

Bleeping Computer 网站披露，近 20 家汽车制造商和服务机构存在 API 安全漏洞，这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息的恶意攻击活动。

02

网络托管巨头百万数据外泄、超900万安卓设备感染木马｜11月24日全球网络安全热点

网络托管巨头GoDaddy周一披露了一起数据泄露事件，导致共有120万活跃和非活跃客户的数据遭到未经授权的访问，这是自2018年以来曝光的第三起安全事件。

02

【5期】Timeline精选之安全大杂烩

https://grafana.com/blog/2021/11/03/grafana-8.2.3-released-with-medium-severity-security-fix-cve-2021-41174-grafana-xss/

02

所到之处，寸草不生！深扒黑产工具和羊毛党操作流程

导读：随着“互联网+”的兴起，越来越多的公司开始上线互联网业务，为了吸引客户或引来更多的流量，企业就需要进行各种促销与补贴活动，但这些原本应该给真实用户带来优惠的活动，却被互联网上的另一群团体——黄牛、羊毛党盯上。

02

2022年最常被利用的12个漏洞

利用已知和未修补的漏洞仍然是威胁行为者惯用的一种策略。从安全绕过、凭据暴露到远程代码执行，软件漏洞始终是网络攻击者入侵系统的有力武器。

01

揭晓丨这三支队伍夺得了T-Star高校挑战赛最终大奖

“你参加T-Star了吗？” 2019年10月14日- 11月30日首届腾讯网络安全T-Star高校挑战赛如火如荼进行 40多个院校的高校白帽子经过了一个半月激烈的角逐，最终三个优秀团队凭借着在TSRC平台上优秀的漏洞数量及质量，和出色的线上下运营宣传占据了积分榜前三席位夺得最终的团队奖！为他们鼓掌！ T-Star团队排名TOP6 根据T-Star活动机制，除漏洞奖励、专业课程辅导等福利外，积分排名前三团队将分别获得：白帽帮扶基金——8000元、6000元、4000元。相关奖

07

Git安全实践：保护你的代码仓库

概要：在软件开发领域，代码仓库的安全性至关重要。本文深入探讨了Git的安全实践，包括访问控制、加密传输、审计与监控、漏洞管理和安全意识提升等方面，旨在帮助读者构建一个安全可靠的代码仓库环境。

00

AD域不靠谱了吗；LDAP验证如何保证应用安全 | FB甲方群话题讨论

1. 某集团企业生产网（私有云或机房数据中心）、办公网终端均使用同一个AD域，那么其生产服务器是否需要脱域或其它方式整改？

01

【晓头条】双 11 天猫京东交易额皆超千亿 / 腾讯大会首发微信大数据 / 武汉推首个无人警局小程序

在此次会议上，微信为我们展示了有关微信、公众号、小程序生态的大数据。这些数据究竟说明了什么？答案就在本期的晓头条中。

03

防御abdullkarem Wordpress PHP Scanner及类似攻击的技术措施

abdullkarem Wordpress PHP Scanner是一种扫描工具，通过检测WordPress网站中的PHP代码漏洞来发起攻击。

01

攻击者利用7号信令（SS7）中的漏洞从德国银行偷取钱财

近日，位于德国的O2-Telefonica公司通过《南德意志报》证实，其公司的部分客户遭受到利用SS7漏洞的网络劫持者攻击。 SS7（7）信号系统协议 —— 缺陷到底是什么？ —— SS7系统算是一个系统的维护通道，运营商的一个内部服务，可以理解成飞机在飞行时地面管制员的作用，主要被用来跨运营商网络跟踪和固话对连接，所以SS7常被用作设置漫游。全世界的电信公司和政府情报机构都可以登入SS7，只不过这个服务的接口有时会被人恶意利用。譬如，有些犯罪团伙去收买电信员工，或者有些黑客破解了有漏洞的SS7设备。一

07

用户账户被劫持，微软披露价值50000美金的新漏洞

微软近期在其漏洞赏金计划中向一名安全人员颁发了高达50000美元的奖金。如此“高贵”的漏洞不免让人感到好奇。

02

黑客入侵微软邮件服务器部署勒索软件、惠普更新打印机漏洞｜12月2日全球网络安全热点

美国司法部(DoJ)表示，与名为The Community的国际黑客组织有关联的第六名成员因涉及数百万美元的SIM交换阴谋而被判刑。

03

钉钉的开工利是，会成为企业级市场的双11吗？

利是又称利事，即红包，是中国文化传统的一种社交行为。现在，新年开工第一天，很多中国公司也形成了派开工利是的风俗，比如马化腾携高管亲自给员工发红包已成为腾讯的传统，今年元宵节李彦宏也系上了围裙，在公司饭堂给百度员工乘起了汤圆…… 企业主如此重视开工日，不难理解：不只是可以起到激励士气的目的，更重要的是要自上而下地传达出一种新年新气象的氛围。今年钉钉也抓住了开工日，从元宵节后的第一个工作日开始，一直到本月底期间，举办“酷公司开工季——20万元开工特权”系列开工利是活动，面向钉钉500万家中小企业客户中已获得钉

04

数据泄露、平台“崩瘫”……2022企业如何安全布局私域电商？

近两年由疫情带来的突如其来的黑天鹅事件打乱了许多企业的发展节奏。面对消费观念的转变和消费结构的转型，如何抓紧布局企业数字化能力，更新营销逻辑，驱动业务增长，成为品牌们在当下需要攻略的重要课题之一。越来越多的企业开始重视布局私域，开始搭建属于自己的小程序商城。

04

Ceph集群的安全性和权限控制

通过以上措施的实施，可以提高Ceph集群的安全性，保护数据免受未经授权的访问和攻击。

02

超三十万台设备感染银行木马、远程代码漏洞可攻击云主机｜12月7日全球网络安全热点

Volkskrant周一报道，一家为荷兰警察、紧急服务和安全部门处理敏感文件的技术公司已成为黑客的目标。在公司Abiom拒绝遵守勒索软件组织LockBit的要求后，共有39,000份文件（包括身份证件和发票）在网上泄露。

03

针对MOXA的串口服务器的一次渗透测试

Moxa NPort W2150A 是一款专为工业应用而设计的以太网转串行服务器。它充当以太网和串行通信之间的桥梁，允许传统串行设备连接到现代以太网。串口服务器的使用寿命长达 20 年，通常在过时的固件和软件上运行，使其容易受到网络安全漏洞的攻击。此外，不断变化的威胁形势加剧了风险，因为这些系统的设计没有像现代 IT 系统那样强大的网络安全性。

01

文档管理软件的安全挑战：版本控制算法的应用策略

版本控制算法是一种不可或缺的工具，这个家伙不仅能帮你记录文档的点点滴滴，还能在需要时穿越时空，让你回到过去的版本。这可是文档管理的大杀器，不仅让你不怕数据丢失，还能保证文档历史清清楚楚。接下来，就让我们来聊聊怎么样才能用版本控制算法来加强文档管理软件的安全性和权限管理吧：

05

BUF大事件丨StrandHogg 2.0漏洞影响10亿设备；泰国移动运营商泄露83亿记录

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，三星手机因锁屏APP闰月bug无限重启；StrandHogg 2.0安卓漏洞影响超过10亿台设备；泰国移动运营商泄露83亿互联网记录；360百度联合行动，追踪打击“双枪”恶意木马。想要了解详情，来看本周的BUF大事件吧！

01

开源意味着不问责，我们准备好应对比 Log4Shell 更大的安全危机了吗？｜Log4j 一周年特别报道

采访嘉宾｜ Brian Behlendorf、董国伟编辑｜ Tina 开源安全正在经历一个加速变革的时期。 Log4Shell 爆发后，负责 Log4j 的三位没有酬劳的维护人员一边忍受抨击，一边不眠不休地工作了一个多星期，为这份影响世界的代码打上了补丁。 Log4Shell 再次凸显了在 SolarWinds 攻击后备受关注的供应链安全问题。2022 年本应是“供应链安全元年”，不幸的是，一年后的现在这个漏洞仍然普遍存在，修复版本采用率没有想象中的高，而且数据显示，软件供应链攻击频次反而呈

02

企业必须关注的IPv6网络安全25问

在万物互联迈进的时代趋势下，以IPv6为代表的下一代互联网技术应运而生。然而，IPv4向IPv6网络的升级演进是一个长期、持续的过程，IPv6部署应用过程中的网络安全风险尚未完全显现。

05

产业安全专家谈｜如何为直播电商企业构建全面的风控防护？

微赞是一家专注微信生态的企业级直播营销服务提供商，其核心产品“微赞直播”集引流获客、交易变现、数据分析为综合一体，能够帮助客户开展在线内容营销。为提供客户更好的直播服务，微赞与腾讯安全展开合作，凭借微赞在私域营销领域的多年经验，腾讯安全在风控领域的强大技术能力，共同打造全场景、全行业直播解决方案，助力企业安全营销。

04

《云安全最佳实践-创作者计划》火热征文中，发布文章赢千元好礼！

腾讯云开发者社区联合腾讯云安全中心团队发起【云安全最佳实践-创作者计划】有奖征文活动，想听听你玩转的独门秘籍，发布文章赢千元好礼！

FreeBuf周报 | DNS漏洞影响数百万物联网设备；攻击者劫持英国家卫生系统电子邮件帐户

各位FreeBufer周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

03

AnyDesk白工具黑利用：RMM软件与“兜圈子”的网络钓鱼活动

远程监控和管理（RMM）软件，包括AnyDesk、Atera和Splashtop等流行工具在内，对当今的IT管理员来说是非常宝贵的，因为它们可以简化IT任务并确保网络的完整性。然而，这些工具也引起了威胁行为者的注意，而他们会利用这些工具渗透目标组织的网络系统并窃取敏感数据。

01

备战双十一，腾讯WeTest有高招——小程序质量优化必读

原文链接：https://wetest.qq.com/lab/view/470.html

01

Zoom 妥协！对免费用户开放端到端加密服务

内容概要：2020 年伊始，世界范围内多国爆发新冠疫情，企业在家办公情加速了视频会议软件的发展，Zoom 无疑是其中发展势头最猛，也最具争议性的一个。

01

美国国家安全局发布零信任安全模型指南

2021年2月25日，美国国家安全局（NSA）发布关于零信任安全模型的指南《拥抱零信任安全模型》（Embracing a Zero Trust Security Model）。

01

正在被黑客利用，Foxit PDF 阅读器存在设计「缺陷」

然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行「有害」命令。目前，该安全漏洞的变体在野外正被积极利用。

01

9月重点关注这些API漏洞

漏洞详情：Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

01

SRE 究竟是如何保障上亿级别的大促活动

这一天，如何应对运营的各类指标压力，保障业务系统关键时候不挂，又成了研发和运维同学的梦魇。

02

APT攻击盘点及实战(上)

我相信很多人在发文章的时候，都写了关于APT攻击相关的文章！在这里我也发一篇该文章！哈！但是我比较喜欢实战，不太喜欢理论上的东西。相信大家也跟我一样喜欢实战，恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击（APT攻击之一）做一次实战模拟。

01

Red Team 工具集之网络钓鱼和水坑攻击

上图是一个 Red Team 攻击的生命周期，整个生命周期包括：信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析（在这个基础上再做持久化控制）、在所有攻击结束之后清理并退出战场。

00

「企业合规」开发符合GDPR标准的应用程序的15个步骤

引入欧洲在线数据隐私法将对组织如何处理和管理其用户的个人数据产生重大影响。该法律于1月份通过，将于2018年全面颁布。对于定期处理为欧洲公民提供服务的客户或个人数据的组织，会出现与其在线Web应用程序和操作的技术影响相关的问题。

02

每个开发人员都应该知道的 10 大安全编码实践

根据开放 Web 应用程序安全项目(OWASP)，大约三分之二的 Web 应用程序安全漏洞是由不安全的编码实践造成的。这意味着，如果你是一名开发人员，你编写的代码中至少包含一个安全漏洞的可能性很高。

01

企业如何破解数据合规压力；公有云边界设备能选择第三方厂商吗 | FB甲方群话题讨论

3.业务在公有云上，像防火墙WAF这种边界设备，能不用公有云厂商产品，而采购其他安全厂商的安全设备吗？架构上有可能吗？

02

全网首篇！深度解读「关基评测要求」&「关基保护要求」

关键信息基础设施安全一直是我国重点关注对象，也是网络安全市场的重要组成部分。近年来，我国陆续出台多部关基保护的法律法规，进一步细化、落实了关基保护各项政策和要求。

03

每周云安全资讯-2023年第31周

本文介绍了一种云存储的渗透测试思路：在渗透测试中发现一个OSS，而且默认无法进行读取数据(即桶ACL为"私有")，但是通过查询ACL发现桶ACL可写，那么此时可以通过写ACL来更新桶ACL并获取到对象数据信息。

04

第十一期 | 你抢不到的优惠券

第十一期 | 你抢不到的优惠券，背后“元凶”竟是垃圾注册？顶象防御云业务安全情报中心发现，某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号，为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。顶象防御云业务安全情报中心BSL-2022-a3c22号显示，黑产通过非法手段窃取、购买公民个人信息及手机黑卡等，并采用作弊设备模拟设备指纹高频切换IP等方式，对电商平台发起大批量的注册攻击，从而获得大量平台账号，以用于后续在平台大促期间进行一系列的薅羊毛行为，不仅使普通顾客因此失去了获得优惠的机会，而且给平台带来了大额的资产损失和大量的无价值的虚假用户。电商平台为何会被黑灰产盯上？电商平台的每一次大促都是黑灰产“捞金”的最佳时机。近几年，各大电商平台为了拉拢客户尤其是新客户，开展了一系列营销活动：新人折扣券，满减优惠券，拉新返现、砍价助力等等，花费的营销成本高达数亿元。以双十一为例。不久前，顶象在业务安全大讲堂系列直播课《双十一电商行业业务安全解析》中就具体提到双十一电商平台的业务安全风险。就双十一促销活动，电商平台们营销周期从10月中下旬就会开始相应的营销投入。整个双11电商大促活动会持续将近一个月，这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究，为后续的营销欺诈活动做好充分准备。此外，在营销玩法方面，都呈现出了优惠力度加码，玩法多元化的趋势。比如天猫聚焦高质量发展，构建“低碳双11”，首次设立绿色会场，发放1亿元绿色购物券；关注银发群体，上线淘宝长辈版，设置首个长辈会场；京东则设立了首个“不熬夜”的双11，提升消费者体验；升级多种价格保护政策及放心换服务，保障消费者权益；出台绿色低碳、扶贫助农计划等。营销投入的加大意味着黑灰产有更大的动力去进行攻击，因为一旦成功，收益更大。而丰富的营销手段则意味着黑灰产有更多的途径、更多的场景实现攻击，因为一条攻击路径走不通，便可以选择另一条攻击路径。且新的营销手段往往会因为防控经验不成熟，更容易出现业务规则的漏洞，成为黑灰产攻击的突破口。也正是各平台之间的相互竞争，导致这种营销活动愈演愈烈，继而催生了垃圾注册这个行业，并与黄牛、羊毛党、打码平台等团伙形成了完整的产业链。上游：卡商与接码平台所谓垃圾注册就是通过购买大量手机号和用户个人信息，在了解平台的规则后，借助作弊设备（如：代理IP、群控软件等）自动化的进行批量注册。在整个互联网黑色产业链中，批量注册处在产业的中上游位置。其主要目的是为下游进行一些列黑产活动提供账号。因此，批量注册的账号被视为滋生助长网络犯罪的核心利益链条之一。同时，批量注册的账号多数利用不记名的网络黑卡进行注册，为相关的账号使用者提供了便捷的真实身份隐蔽及账号控制主体溯源规避的功能，亦成为了网络诈骗、赌博等相关犯罪所必须的工具。上游为信息和技术的支持方，即为批量注册提供大量身份信息或资料及其所需的技术支持，卡商和接码平台便处于上游位置。中游为账号获取方即号商，即行为人通过从卡商和接码平台处获取的手机号与验证码，使用自动访问平台注册程序的软件或程序，获得大量注册平台账号。下游为账号使用方，行为人通常向号商购买账号，以供网络刷单炒信、发布违禁信息、进行网络攻击等多种用途。顶象防御云业务安全情报中心监测到，其上游端的卡商手握数以万计的电话卡，其黑卡的主要来源有：实名卡、物联网卡、海外卡以及虚拟卡。实名卡：实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份信息，并通过黑卡运营商批量验证得到的。境外手机卡：黑卡运营商直接从海外购得的手机卡，这些卡无需实名认证，花费低，切合黑产利益。物联网卡：运营商基于物联网公共服务网络，面向物联网用户提供的移动通信接入业务。三大运营商采用各自物联网专用号段，通过专用网元设备支持包括短信、无线数据及语音等基础通信服务，提供用户自主的通信连接管理和终端管理等智能连接服务。虚拟卡：由虚拟运营商提供的电话卡。虚拟运营商与传统三大运营商在某项或业务上达成合作关系。他们就像是代理商，从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权，然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。像我们常能看到的170开头的号码，多为虚拟号码。卡商获取黑卡的主要渠道大致分为两个来源：一是从运营商“内鬼”处拿卡。运营商的工作人员每个月都有开卡任务，通过平分利益，运营商“内鬼”月均给卡商供卡上千张，二者达成默契合作，形成“双赢”。二是通过找中介进村“拉人头”。当卡商有需求时，一些所谓的地推团队就会集体“下乡进村”，打着三大运营商的名号，搞免费办手机卡送礼的活动，以50到60元的成本获得一张可以正常使用的实名手机卡。中游：利用多种作弊手段养号卡商在获取到黑卡后，下一步就是要利用作弊手段进行养号。其作弊工具主要有三种：猫池猫池是一种可同时支持多张手机卡的设备，根据机

03

备战双十一，腾讯WeTest有高招——小程序质量优化必读

WeTest 导读 2018年双十一战场小程序购物通道表现不俗，已逐渐成为各大品牌方角逐的新战场。数据显示，截止目前95%的电商平台都已经上线了小程序。除了电商企业外，许多传统线下商家也开始重视小程序的作用，正在充分利用小程序链接线上线下场景和流量的优势，实现新零售升级。根据腾讯2018年双十一数据显示，2018年双十一期间，从11月2日至11日，品牌自营类小程序今年DAU增长七倍，交易金额增长22倍。众多电商平台和品牌商在双十一分别在微信和支付宝上开通小程序。零售电商小程序质量现状在小程序商

02

新闻数读 | 30余家；55亿；88%；15部门；3000万；20/100

今日数字 1、30余家——中国广播电视网络有限公司、北京歌华有线电视网络股份有限公司拟联合全国三十余家省市有线电视网络公司，共同成立“中国广电大数据联盟”。 2、55亿—— 英特尔将投资55亿美元升级大连工厂 3、88%——微软当地时间周四发布第一财季财报，微软商业云计算业务营收增长88%。 4、15部门——公安部等15部门将从即日起至明年3月开展专项行动清理整顿危爆品寄递物流。快递包裹即日起开始要实名登记 5、3000万——李彦宏将个人捐赠3000万元，支持百度与北京协和医学院共同发起的针对食管癌基因检测

07

漏洞危机爆发时，企业该做什么？

2021年，相关法律法规的完善极大促进了中国网络安全行业的发展，基于企业稳定运营、安全运营的原则，越来越多的领域投入到企业安全合规的建设中来。但现状是，随着安全建设的不断深入，各项出台的法规、政策并不一定能充分执行到位，这往往为企业和行业的安全发展埋下了隐患。

04

SaaS的阴暗面：网络攻击武器化、平民化

你不一定懂编程，甚至都看不懂几行代码，但依然能成为杀伤力十足的黑客，这就是现阶段不少网络攻击的特点：不需要掌握娴熟的技术或代码，仅仅利用成熟的武器化工具，就能通过简单的“一键操作”，对目标输出成吨伤害。显而易见，这其中暗藏了巨大的商业市场，吸引了无数黑客组织团体前来分一杯羹。为了能够做到可持续化运作，他们开始借助SaaS（软件即服务）平台的优势：价格便宜、灵活性强、易于拓展，进而衍生出网络钓鱼即服务（PhaaS）、勒索软件即服务（RaaS）等模式。在这些模式下，由黑客组织负责勒索软件出售、订阅给用户，

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭