Linus Torvalds不重视 Linux kernel 安全性,是因为这些安全问题注定存在的吗? 这也是最近一篇刊登在Washington Post关于安全的开源操作系统文章所提出的建议。该报将
事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。 这样看来,Web有八层(如果把浏览器也算进去,就九层啦,九阳神功……)!!!每层都有几十种主流组件!!!这该怎么办? 别急,一法通则万法通,这是横向的层,纵向就是数据流啦!搞定好数据流:从横向的层,从上到下→从下到上,认真看看这些数据在每个层是怎么个处理的。 数据流中,有个关键的是HTTP协议,从上到下→从下到上的头尾两端(即请求响应),搞通!难吗?《HTTP权威指南》720页!!!坑爹,好难!!! 怎么办? 横向那么复杂、纵向数据流的HTTP协议就720页的书!!!放弃好了…… 不,千万别这样。 给你点信心是:《HTTP权威指南》这本书我压根没看过。但是通过百度/Google一些入门的HTTP协议,我做了大概了解,然后Chrome浏览器F12实际看看“Network”标签里的HTTP请求响应,不出几小时,就大概知道HTTP协议这玩意了。(这是快速研究的精髓啊) 搞明白HTTP协议后,你就会明白安全术语的“输入输出”。 黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。 精彩举例:
如预期一样,Linux的核心任务Linux Torvalds周日发布了Linux Kernel 4.6。新版本支持一个新型的分布式文件系统OrangeFS,采用更加稳定的耗尽内存时的处理,支持802.1AE MACsec(MAC-level encryption),支持英特尔的内存保护密钥。 “上周末修复和优化的东西很多,没有非常奇怪的事情发生。”Torvalds在邮件列表中写到。Linux 4.6提高了对控制群组的名字空间的支持,这对容器的安全性来说非常重要。如果没有名字空间,那么/proc/$PID/c
1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞发布时间:2014-06-19漏洞编号:BUGTRAQ ID: 68083 CVE ID: CVE-2014-4157漏洞描述:Linux Kernel是Linux操作系统的内核。 Linux Kernel在实现上存在拒绝服务漏洞,成功利用后可使攻击者造成受影响内核崩溃,导致拒绝服务。安全建议
Linux操作系统是开源的、免费的、高效的操作系统,在信息安全领域中得到了广泛的应用。然而,在选择Linux版本时,我们需要考虑许多因素,如安全性、稳定性、易用性、兼容性等。本文将分析Linux操作系统的版本选择,重点突出Kali Linux版本对信息安全的优势,并分析CentOS停止更新的危害。
从 2015 年起至今,Eclipse 基金会每年会通过 IoT 开发者调查报告(2015、2016)来研究 IoT 开发者社区的发展趋势。近期,Eclipse 正式发布 2017 年 IoT 开发者调查报告,与大家共同探索物联网的解决方案。 该调查组由 Eclipse IoT 工作组、IEEE、Agile-IoT EU 和 IoT 委员会共同组成,此次共有 713 位开发者参加了调查。 ▶主要趋势 1、物联网产业多样化 今年调查参与者来自更加多样化的行业。其中 IoT 平台和家庭自动化行业继续领先,同时诸
Docker十分火热,很多人表示很少见如此能够吸引行业兴趣的新兴技术。然而,当兴奋转化为实际部署时,企业需要注意Docker的安全性。 了解Docker的人都知道,Docker利用容器将资源进行有效隔离。因此容器相当于与Linux OS和hypervisor有着几乎相同的安全运行管理和配置管理级别。但当涉及到安全运营与管理,以及具有保密性、完整性和可用性的通用控件的支持时,Docker可能会让人失望。 当容器运行在本地系统上时,企业可以通过其安全规则确保安全性。但一旦容器运行在云端,事实就不会如此简单了。 当Docker运行在云提供商平台上时,安全性变得更加复杂。需要知道云提供商正在做什么,或许用户正在与别人共享一台机器。 虽然容器没有内置的安全因素,而且像Docker这样的新兴技术很难有比较全面的安全措施,但这并不意味着以后也不会出现。
日前,Linux 内核和 Rust on Linux 的主要开发者 Miguel Ojeda 向 Linux Kernel 邮件列表提交了一个新补丁 (v2),进一步推进了 Rust for Linux 的工作进展。
作为一个安全从业人员,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。
在这周五我们举办了V咖分享会第十六期的分享,现在就由芒果为大家整理这次分享会的知识。本次整理内容包含我们的V咖刘冉老师的分享内容,部分提问及回复。想要提问或者观看完整问题解答的小伙伴,请积极参与到我们分享会中来,我们的分享会每两周就有一次哟~
Rust 作为一种开发语言已经确立让开发人员能够编写快速和安全的代码的声誉现在。像 Mozilla、Microsoft、Dropbox 和 Amazon(仅举几例)这样的大型组织都依赖 Rust 为他们的客户提供一流的性能,同时避免许多影响用 C 或 C++ 编写的程序的安全问题。性能是 Rust 成为大多数人选择语言的一个主要原因。然而,仅仅用 Rust 编写代码并不能保证高性能。Rust 是好的,但它不是魔法。它是一种工具,与任何工具一样,我们必须有效地使用它才能获得最佳结果。在这篇文章中,我们将研究 Rust 代码性能不佳的常见原因,即使是资深开发人员也可能会遇到这种情况。也就是说,默认情况下,不缓冲文件的读取和写入。
前注:Pale Moon 是 Firefox 的一个旧版衍生,采用 Goanna 内核,并使用 XUL 进行界面布局。 标 DiD(Defense-in-Depth)的要点,是预防针式的漏洞修复,避免以后可能出现的问题,参考原文。
众所周知,Linux 是 C 语言的代言人。但是,时代变了,Rust 正在兴起并赢得越来越多人的支持,它开始逐渐扮演 Linux 系统语言的角色。 在 2020 年 Linux Plumbers 峰会上,开发人员认真考虑过将 Rust 语言用于 Linux 内联代码的想法。此外,已经有很多 Linux 中的 Rust 内容被推向市场。比如,AWS 在 2020 年发布了 Bottlerocket,这是一种专为运行容器而打造的基于 Linux 的开源操作系统,其中包含大量的 Rust 代码。 另一个例子则与
来自五个不同国家政府的网络安全机构去年 12 月呼吁开发人员使用内存安全的编程语言。你准备好了吗?
编程很难,难就难在常有 Bug 而不自知。有程序员调侃:「我不是在写代码,我是在写 Bug。」
国家互联网应急中心之前发了一份资料,发现2013年,移动互联网恶意程序数量大幅增长,国家互联网应急中心通过自主监测和交换捕获的 移动互联网恶意程序样本达70.3万个,较2012年增长3.3倍,针对安卓平台恶意程序占99.5%。而另一方面发现,2013年我国境内感染木马僵尸 网络的主机为1135万个,首次出现下降,降幅达22.5%。根据专家的分析来说,一方面PC的安全治理比较有成效,另外新的问题出现了——移动互联网恶 意病毒涨了三倍,根据分析,原来黑客们将注意力转向更能获益的移动互联网领域。 其实,上次携
本文受 CVE-2018-8495 漏洞的启发,以学习的目的,针对 PC 端 url scheme 的安全问题进行了分析研究。
相信有很多站长以及运营网站或APP的技术人员都有一些安全上的困扰,尤其是对网站代码里存在后门文件,以及服务器被植入木马病毒的安全问题很闹心,前段时间我们接到客户的安全咨询,说是找的第三方开发公司做的APP和后台,运营了起来差不多3个月,一开始注册的会员量不是很多,当注册达到成千上万个会员注册量的时候,就相继出现了安全上的问题,数据库总是被篡改,会员信息泄露,以及被提示的云安全中心,安全事件提醒,尊敬的*玉:云盾云安全中心检测到您的服务器:47.180.*.*(主服务器)出现了紧急安全事件:自启动后门,建议您立即进行处理。进程异常行为-反弹Shell和异常网络连接-反弹shell网络外连以及恶意脚本代码执行还有Linux可疑命令序列恶意软件-后门程序等告警,针对这些安全问题,我们来给大家科普一下,如何去除网站后门木马以及代码漏洞检测等问题。
这是「进击的Coder」的第 589 篇分享 整理:叶子 来源:OSC 开源社区(ID:oschina2013) “ 阅读本文大概需要 6 分钟。 ” 今天想跟大家介绍一款曾经影响了无数开发者的操作系统:Minix。 1987 的今天,Minix 诞生了。 Minix 介绍 Minix 是 Mini Unix 的缩写,一个迷你版类 Unix 操作系统 (约 300MB)。 Minix 原来是荷兰阿姆斯特丹 Vrije 大学计算机科学系的安德鲁・塔能鲍姆(Andrew S. Tanenbaum )教授所开发
Minix 是 Mini Unix 的缩写,一个迷你版类 Unix 操作系统(约 300MB)。
首先,不知道你是否还记得 2017 年 9 月美国知名征信公司 Equifax 的数据泄露事件,这事导致了 1.45 亿美国居民个人隐私信息被泄露。受事件影响,Equifax 公司市值瞬间就蒸发了 30 亿美元,最后还赔偿给用户 4.25 亿美元,可谓损失惨重。后来,Equifax 公司复盘了安全事故的原因,发现这个事故的罪魁祸首,居然是一个早已被披露出来的安全漏洞,叫作 Apache Struts,真是让人哭笑不得。
作者 | 凌敏 采访嘉宾 | 陈莉君教授 eBPF 毫⽆疑问是当下最⽕的技术之⼀。2014 年,eBPF 首次出现在 Linux 内核中。经过社区不断迭代,目前,eBPF 在技术上已经成熟,并在故障诊断、⽹络优化、安全控制、性能监控等领域获得⼤量应⽤,项⽬数量呈爆炸式增⻓。在此前的采访中,有不少受访专家对 InfoQ 表示,eBPF 的发展前景广阔,属于 eBPF 的时代已经来临。 那么,eBPF 技术到底为 Linux 带来了哪些改变?为什么近几年突然爆火?国内外发展和落地情况如何?如何预防和处理
作者 | 鲁冬雪 近些年来企业数字化转型进程的加快,软件应用成为了社会的重要组成部分,随着开源主导的开发方式以及云原生的普及,软件供应链越来越趋于复杂化和多样化,安全风险日益增加。使得软件供应链安全愈演愈烈,威胁着全球各行各业的企业用户。比如最近国际上就发生了 Log4j 安全漏洞、开源代码维护者俄乌战争期间因反俄给 node-ipc 库中添加恶意代码等多起安全事故。 2022 年,Synopsys 对市场上 17 个行业的 2400 多个商用产品的代码进行了分析,其中开源软件代码率超过 78%,81%
自从斯诺登事件以后,安全问题再次成为用户关注的重点,特别是在移动互联网时代,在操作系统被国外厂商盘距的当下,安全犹如纸上谈兵,核心问题没有解决,高谈安全问题只能被贻笑大方。 当国母出访国外用苹果手机拍照的时候,有很多业内人士就表示要让信息安全问题上升到国家高度,操作系统在别人手里攥着,自然是不安全的,也有专家呼吁国产化进程可以慢一点,但是为了安全基业这些可以隐忍。 为此,在最近两年就不断传出有国产移动操作系统的消息,阿里云OS就号称国产移动操作系统第一品牌,也因为过度的去Android化,引起了谷歌
时间:1周 环境的搭建 熟悉基本的虚拟机配置, Kali linux,centos,Windows实验虚拟机 自己搭建IIS和apache 部署php或者asp的网站 搭建Nginx反向代理网站 了解LAMP和LNMP的概念 时间:3周 熟悉渗透相关工具 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相关工具的使用。 了解该类工具的用途和使用场景,先用软件名字Google/SecWiki; 下载无后们版的这些软件进行安装; 学习并进行使用,具体教材可
周鸿祎不理解“35 岁被职场抛弃”;马化腾称腾讯只是一家普通公司,随时都可以被替换;拼多多“砍一刀”内部绩效打分被评为最低档;阿里巴巴新一轮组织部晋升:9 人升任副总裁及以上职位;华为搜索引擎面向国内地区短暂上线,现显示“403 禁止访问”;苹果 2021 年总共向开发者支付 600 亿美元,创下新纪录;百亿开源公司 Elastic 换帅;22 岁编程世界冠军加入华为,刚捧得“编程界的奥林匹克”冠军奖杯;白宫与苹果、亚马逊、IBM 讨论开源软件安全问题......
今年2月,韩国政府正式起草战略,计划要全面采用基于Linux的开源操作系统Open OS来取代Windows 7。5月德国慕尼黑又一次抛弃了 Windows,举市“迁向” Linux,拥抱开源。此外,也有传俄罗斯亦有意淘汰Windows让Linux上位,就是为了保护自己的信息安全。
1 云环境利用框架——CF CF 是一个云环境利用框架,主要用来方便红队人员在获得云服务的访问凭证的后续工作 https://github.com/teamssix/cf 2 AWS IAM权限提升 本文将介绍通过访问codestar:CreateProject和codestar:AssociateTeamMember权限,创建新的CodeStar项目并将自己关联为项目的所有者的技术 https://zone.huoxian.cn/d/1325-aws-iam 3 利用SSRF漏洞滥用AWS元数据服务 本文
随着互联网的不断发展,安全问题也越来越受到企业的重视。但安全问题往往需要大量资金的投入,例如聘请安全工程师,产品研发,测试等流程。这对于那些原本就资金紧缺的企业而言,是绝对无法接受的。因此,为了减少在这方面的资金投入,许多安全人员都会选择使用一些开源软件来替代。
1Password Linux版本,后端完全使用Rust重写,并且项目中使用了ring crypto库。使用下面的命令可以在ubuntu上安装1Password。
本篇继续围绕Android安全为核心知识点。将全面介绍google建议在安全开发的全面知识规范介绍,希望对这块有兴趣的朋友开拓知识面,详解请看结尾推荐的几篇文章。
不过先别担心,这次看起来是好事,因为安全问题是指——Zoom收购了一家安全加密公司Keybase。
安全提供商正在利用 eBPF 的可观测性来预防攻击,检测和修复高优先级漏洞(并区分严重和不那么严重的漏洞),检测可疑活动等。
最近发现大家都在讨论一个人的安全部这个话题,两年前在某A轮互联网公司(80人左右的研发团队)做过一段一个人的安全部的经验就简单分享自己的经验。之前也在FreeBuf看到过很多关于这方面的规划设计的方案,私下觉得这样的规划是建立一些标准的信息安全体系之上的比较全面,真正的落地起来往往需要大量的人力物力和财力,很多一个人的安全部往往没有这么多预算只希望以最小的代价做好安全工作。
安全问题一直是 GitHub 的一大热点,因为数据安全问题诞生的各类自托管服务便是。而本周周榜上的 2 个和安全主题相关的项目,有些不同。mimikatz 是个老项目了,很多“黑客”用它从内存中提取明文密码、哈希、PIN 码和 kerberos 凭据(ticket),而同样是“安全主题”的 scorecard 更像是个守护者,它从代码、社区等多个层面帮你检测开源项目的安全健康度。当然,命令行文件共享工具 transfer.sh 的安全点便是支持加密传输数据。
7 月 27 日晚上八点, InfoQ 主办了一场开源直播活动,活动由木兰开源社区运营负责人、NextArch 基金会 TOC 耿航主持,极狐 (GitLab) CEO 陈冉、CNCF 亚太区总监 Keith Chan、腾讯开源联盟主席单致豪以及开放原子开源基金会业务发展部部长朱其罡四位嘉宾围绕中国开源的现状和未来进行了分享。分享的议题主要从中国开源的现状、中国开源对全球开源的影响以及开源软件供应链安全等问题展开。 Sam(陈冉) 极狐 (GitLab) CEO 陈冉认为中国开源的现状需要从不同维度
作者:王翔,架构师、经济学博士,专注业务创新、企业架构、信息安全和贸易经济。 声明:原创投稿,未经许可,禁止任何形式的转载 近日,BBC一篇《Microsoft releases Linux database software》的报道令数据库业界为之热议,一直以来作为微软核心产品的SQL Server始终“深耕”在自己的核心操作系统Windows上,但微软突然宣布将于2017年年中发布Linux版本SQL Server软件的消息确实出乎意料。不过,回顾微软CEO Satya Nadella上任以来
关注云计算的朋友可能会注意到,上周谷歌公布了开源的容器集群管理系统Kubernetes,该系统构建于Docker之上,它能够为用户提供跨平台的处理能力,不但能够在谷歌的基础架构中运行,同时可以访问其他的云计算服务器,如AWS,甚至是内部的数据中心。 这款强大的容器集群管理系统,近日获得了来自微软、IBM、红帽及其他公司的大力支持,这些公司将联手开发这款开源的软件,这将对VMware在云中所引领的虚拟化技术产生不小的威胁。 IBM、红帽、微软、Docker、Mesosphere、CoreOS和SaltStac
前端主要需要考虑的安全问题有npm生态下依赖的安全性、XSS跨站脚本攻击。这个世界上没有绝对的安全,即使CSP这类极其严格的策略都有可能被绕过,前端开发中安全也需要考虑成本,应该选用性价比高的安全策略。安全也不是独立的,应该和服务器、甚至操作系统层面联合考虑。
整理 | 屠敏 出品 | CSDN(ID:CSDNnews) Rust 这两年在大厂的追捧下,凭借着出色的内存效率、速度与安全性,开始爆火。现如今,这把“火”直接烧到了诞生了 40 余载的 Windows 身上! 不久之前,微软企业和操作系统安全副总裁 David Weston 在以色列 Blue Hat IL 2023 安全大会上透露,微软将效仿 Linux,用 Rust 重写部分 Windows 内核。 “我们正处于在 Windows 中用 Rust 爬行、行走、运行的阶段”, David Westo
开发人员可用容器创建微服务,也就是应用的可重用组件。因为可重用,微服务能帮开发人员免掉重新开发的时间。另外,微服务可跨不同平台部署。
本文翻译自两篇文章,第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读,第二篇是普及什么是内存安全,为什么它很重要?
不知不觉,Rust1.0发布已经四周年了。 Rust 1.0是2015年5月15号发布。所以,四年了,大家学会Rust了吗?
容器镜像是编译构建而成、存储在镜像仓库中、由Docker命令或kubectl命令启动运行的软件包。在容器镜像的构建、保存、获取以及启动环节中,有很多的安全隐患。
Go 语言写的代码越来越常见,尤其是在容器、Kubernetes 或云生态相关的开发中。Docker 是最早采用 Golang 的项目之一,随后是 Kubernetes,之后大量的新项目在众多编程语言中选择了 Go。
1 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞发布时间:2014-04-30漏洞编号:BUGTRAQ ID: 67118 CVE(CAN) ID: CVE-2014-0185漏洞描述:PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。安全建议:目前厂商还
打住,我知道列位是被标题骗进来的,但是这个论题并不是我瞎吹牛,世界上最流行的操作系统还真不是Windows。
近几年,在电脑上的软件漏洞分析与利用技术已经发展得相当成熟,很多技术也被黑产所利用,但也正因为如此,它极大地推进软件漏洞领域的发展,比如微软在IE上新增了许多安全机制(延迟释放、隔离堆、控制流防护等),大大地提升了IE浏览器的安全性。外部曝光的各大APT攻击事件也将持续存在,用的不一定是0day,也可能是一些旧漏洞的综合利用,加上社工及其他高级渗透技术进行长期潜伏以收集目标信息。
领取专属 10元无门槛券
手把手带您无忧上云