Rot5pider安全团队

逻辑漏洞挖掘技巧

商户网站接受异部参数的URL对应的程序中,要对支付公司返回的支付结果进行签名验证,成功后进行支付逻辑处理,如验证金额、订单信息是否与发起支付时一致,验证正常则对订单进行状态处理或为用户进行网站内入账等。查看配置文件和一些过滤器,看是否对 URL 有相关的筛选操作。除了cookie之外,在请求中可能会带一些参数,细览下可能存在辨别信息的唯一值,来进行测试。
Rot5pider安全团队
漏洞挖掘 信息安全 cookie 网络安全 漏洞
黑白之道

记一次Facebook上的双因素身份验证绕过

端点请求服务器发送 6 位代码进行验证。因为,/api/v1/bloks/apps/com.bloks 中根本没有速率限制保护。因此,如果电话号码已完全确认并在 Facebook 中启用了 2FA,则 2FA 将被闭或从受害者的帐户中禁用。并且,如果电话号码被部分确认,这意味着仅用于 2FA,它将撤销 2FA,并且该电话号码将从受害者的帐户中删除。
黑白之道
漏洞 身份验证
数世咨询

一种符合工控系统“四高”特性的安全防御体系设计

一种符合工控系统“四高”特性的安全防御体系设计。
数世咨询
信息安全 网络安全
E安全

保时捷陷入混乱局面,被迫暂停 NFT 发布

更糟糕的是,在 OpenSea 建立了一个繁荣的 NFT 转售市场,在那里购买保时捷收藏品比购买原件更便宜,这立即使资产贬值并进一步激怒了投资者和交易员。最终,在 1 月 24 日,保时捷宣布他们将停止铸造过程并切断供应,直到他们想出如何让 NFT 首次亮相。
E安全
加密 网络钓鱼
黑白之道

微软安全去年营收超1300亿元,但霸主地位背后争议难解

微软在日前的财报电话会议上透露,其安全业务收入同比增长33%,相较前年更是提升50%。考虑到当前整体低迷的经济形势,微软安全业务的营收增速已超过集团旗下其他所有主要产品。最近,微软确认旗下服务器配置错误可能导致客户数据遭到未授权访问,这一事件曾在2022年10月引发了微软与威胁情报公司SOCRadar之间关于风险严重性的争论。Turner认为,对整个行业而言,微软安全业务的存在有其积极意义。
黑白之道
网络安全
安全牛

2022年邮件安全威胁态势研究:钓鱼邮件攻击占比近7成

近日,北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)研究发布了《2022年全球邮件威胁报告》。
安全牛
钓鱼邮件 网络安全 病毒邮件
安全牛

10款免费的PC版防火墙软件推荐

本文收集整理了目前较热门的10款PC版防火墙软件。
安全牛
防火墙 软件 软件安全 电脑
安全牛

基于Gost工具的ICMP隐蔽隧道通信分析

近期,观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。
安全牛
攻击 加密
LemonSec

神兵利器 | 分享一款无回显漏洞测试辅助平台

0x02 部署方法1. 手动部署域名解析假设根域名是dnslog.com,服务器IP是10.10.10.10进行以下配置配置A记录,子域名ns,解析到10.10.10.10. 用于访问平台web,dns.dnslog.com?作为测试时payload中设置的域名,每个用户对应 dns.dnslog.com 下的子域名,如 1.dns.dnslog.com登录平台后可以在API信息中看到对应的地址,子域名随意设置,对应上即可数据库配置登录mysql执行以下命令,bridge.sql在程序的根目录下source bridge.sql. maven生成的jar包位置在target目录下,如dns_log-0.0.1-SNAPSHOT.jarjava -jar dns_log-0.0.1-SNAPSHOT.jar dns.dnslog.com dnslog.dnslog.com 10.10.10.10 a1b2c3d4
LemonSec
dns docker-compose 漏洞
LemonSec

Nginx 通过 Lua + Redis 实现动态封禁 IP

对于黑名单之内的 IP ,拒绝提供服务。为了方便管理和共享,我们选择通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能,架构图如下:实现1、安装 Nginx+Lua模块,推荐使用 OpenResty,这是一个集成了各种 Lua 模块的 Nginx 服务器:2、安装并启动 Redis 服务器;3、配置 Nginx 示例:Nginx 配置其中lua_shared_dict ip_blacklist 1m;指定 lua 脚本位置。
LemonSec
redis nginx lua
HACK之道

干货|应急响应日志分析小脚本

能不能利用脚本去完成一些常规的排查过程,来辅助完成日志分析工作。
HACK之道
url
数世咨询

对抗性AI攻击凸显基本安全问题

人工智能(AI)的“世界”里只有训练出自己的数据,所以缺乏上下文环境,也就为网络对手的创新攻击打开了方便之门。
数世咨询
机器学习 网络安全
E安全

英国京东体育披露长达两年,影响 1000 万客户的数据泄露事件

JD Sports Fashion plc,是英国领先的运动鞋和运动服饰零售商。
E安全
数据泄露 网络安全
嘶吼专业版

CVE-2022-42856:iOS 0day漏洞,影响iPhone 5s等老版本iPhone和iPad

iOS 0day漏洞影响老版本iPhone和iPad,苹果已发布安全补丁。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆引发的。实现远程代码执行后,攻击者可以在底层操作系统执行命令,部署恶意软件或监控恶意软件,并执行其他恶意活动。1月23日,苹果再次发布公告称发现该漏洞被利用的迹象。苹果公司建议受影响的用户尽快安装1月23日苹果发布的安全更新以拦截可能的攻击。
嘶吼专业版
网络安全 漏洞
中国网信网

关于全民数字素养与技能培训基地入选名单的公示

现将入选名单予以公示,如有异议,请在公示期内向中央网信办信息化发展局反映。公示时间:2023年2月1日至2023年2月7日(7天) 联系电话:010-55635904 附件:全民数字素养与技能培训基地入选名单 中央网信办信息化发展局 2023年2月1日
中国网信网
全民
嘶吼专业版

攻击者在飞塔(Fortinet)网络安全设备上部署了复杂的Linux植入程序

去年12月知名网络安全厂商飞塔披露,其FortiOS操作系统中的一个严重漏洞正在被外面的攻击者大肆利用。FortiOS运行在该公司的FortiGate网络安全防火墙及其他设备上。飞塔的分析师表示,如果libps.bak命名为data/lib目录中的libips.so,恶意代码将自动执行,因为FortiOS的组件会调用这些导出的函数。
嘶吼专业版
网络安全 linux服务器 信息安全 漏洞
GoUpSec

2023年十大顶级云安全认证

本文整理了目前全球公认的十大云安全认证,供云安全专业人士参考。
GoUpSec
云计算 云安全 信息安全 网络安全
D1Net

2023年的风险管理趋势

ESG和网络安全都是广泛的概念,涵盖了各行业领域的广泛因素。所有迹象表明,未来的劳动力市场中的大多数职位与网络安全和ESG有关。相关立法、国际采纳和社会压力等共同驱动因素表明,考虑到网络安全和ESG问题,对安全和负责任的系统的需求在21世纪不再只是无关紧要的特性。此外,企业文化应努力保持对ESG和网络安全重要性的认识。
D1Net
网络安全
看雪学苑

俄罗斯最大IT公司Yandex源代码被泄露,涵盖几乎所有旗下产品

影响范围波及Yandex的许多顶级产品的技术数据和代码,例如Yandex搜索引擎、地图、邮件、出行、购物、云存储、广告、支付服务等。
看雪学苑
yandex 源代码 隐私泄露 网络安全 科技新闻
E安全

巴勒斯坦黑客喊话以色列化学公司,并威胁雇员生命

威胁行为者针对在“被占领土地上”运营的以色列化学公司发起了大规模黑客攻击活动。这次攻击是对以色列政府及其针对巴勒斯坦人的政策的报复,黑客指责特拉维夫的暴力行为。电子圣城军发出信息:“我们对在化工厂工作的科学家的建议是辞掉他们的工作,寻找一份新工作,并在我们不在的地方找到避难所。我们确认你在化工厂的工作对你的生命构成威胁;下次对巴勒斯坦人实施暴力行为时,我们会毫不犹豫地用化学制品熔化你们的身体。”
E安全
黑客 攻击