网安 – 专业的网络安全产业、社区、知识平台

Rot5pider安全团队

逻辑漏洞挖掘技巧

商户网站接受异部参数的URL对应的程序中，要对支付公司返回的支付结果进行签名验证，成功后进行支付逻辑处理，如验证金额、订单信息是否与发起支付时一致，验证正常则对订单进行状态处理或为用户进行网站内入账等。查看配置文件和一些过滤器，看是否对 URL 有相关的筛选操作。除了cookie之外，在请求中可能会带一些参数，细览下可能存在辨别信息的唯一值，来进行测试。

Rot5pider安全团队 13小时前

漏洞挖掘 信息安全 cookie 网络安全 漏洞

黑白之道

记一次Facebook上的双因素身份验证绕过

端点请求服务器发送 6 位代码进行验证。因为，/api/v1/bloks/apps/com.bloks 中根本没有速率限制保护。因此，如果电话号码已完全确认并在 Facebook 中启用了 2FA，则 2FA 将被闭或从受害者的帐户中禁用。并且，如果电话号码被部分确认，这意味着仅用于 2FA，它将撤销 2FA，并且该电话号码将从受害者的帐户中删除。

黑白之道 14小时前

漏洞 身份验证

数世咨询

一种符合工控系统“四高”特性的安全防御体系设计

一种符合工控系统“四高”特性的安全防御体系设计。

数世咨询 14小时前

信息安全 网络安全

E安全

保时捷陷入混乱局面，被迫暂停 NFT 发布

更糟糕的是，在 OpenSea 建立了一个繁荣的 NFT 转售市场，在那里购买保时捷收藏品比购买原件更便宜，这立即使资产贬值并进一步激怒了投资者和交易员。最终，在 1 月 24 日，保时捷宣布他们将停止铸造过程并切断供应，直到他们想出如何让 NFT 首次亮相。

E安全 14小时前

加密 网络钓鱼

黑白之道

微软安全去年营收超1300亿元，但霸主地位背后争议难解

微软在日前的财报电话会议上透露，其安全业务收入同比增长33%，相较前年更是提升50%。考虑到当前整体低迷的经济形势，微软安全业务的营收增速已超过集团旗下其他所有主要产品。最近，微软确认旗下服务器配置错误可能导致客户数据遭到未授权访问，这一事件曾在2022年10月引发了微软与威胁情报公司SOCRadar之间关于风险严重性的争论。Turner认为，对整个行业而言，微软安全业务的存在有其积极意义。

黑白之道 14小时前

网络安全

安全牛

2022年邮件安全威胁态势研究：钓鱼邮件攻击占比近7成

近日，北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）研究发布了《2022年全球邮件威胁报告》。

安全牛 14小时前

钓鱼邮件 网络安全 病毒邮件

安全牛

10款免费的PC版防火墙软件推荐

本文收集整理了目前较热门的10款PC版防火墙软件。

安全牛 14小时前

防火墙 软件 软件安全 电脑

安全牛

基于Gost工具的ICMP隐蔽隧道通信分析

近期，观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。

安全牛 15小时前

攻击加密

LemonSec

0x02 部署方法1. 手动部署域名解析假设根域名是dnslog.com，服务器IP是10.10.10.10进行以下配置配置A记录，子域名ns，解析到10.10.10.10. 用于访问平台web，dns.dnslog.com?作为测试时payload中设置的域名，每个用户对应 dns.dnslog.com 下的子域名，如 1.dns.dnslog.com登录平台后可以在API信息中看到对应的地址，子域名随意设置，对应上即可数据库配置登录mysql执行以下命令，bridge.sql在程序的根目录下source bridge.sql. maven生成的jar包位置在target目录下，如dns_log-0.0.1-SNAPSHOT.jarjava -jar dns_log-0.0.1-SNAPSHOT.jar dns.dnslog.com dnslog.dnslog.com 10.10.10.10 a1b2c3d4

LemonSec 15小时前

dns docker-compose 漏洞

LemonSec

Nginx 通过 Lua + Redis 实现动态封禁 IP

对于黑名单之内的 IP ，拒绝提供服务。为了方便管理和共享，我们选择通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能，架构图如下：实现1、安装 Nginx+Lua模块，推荐使用 OpenResty，这是一个集成了各种 Lua 模块的 Nginx 服务器：2、安装并启动 Redis 服务器；3、配置 Nginx 示例：Nginx 配置其中lua_shared_dict ip_blacklist 1m;指定 lua 脚本位置。

LemonSec 15小时前

redis nginx lua

HACK之道

干货|应急响应日志分析小脚本

能不能利用脚本去完成一些常规的排查过程，来辅助完成日志分析工作。

HACK之道 15小时前

url

数世咨询

对抗性AI攻击凸显基本安全问题

人工智能（AI）的“世界”里只有训练出自己的数据，所以缺乏上下文环境，也就为网络对手的创新攻击打开了方便之门。

数世咨询 15小时前

机器学习 网络安全

E安全

英国京东体育披露长达两年，影响 1000 万客户的数据泄露事件

JD Sports Fashion plc，是英国领先的运动鞋和运动服饰零售商。

E安全 15小时前

数据泄露 网络安全

嘶吼专业版

CVE-2022-42856：iOS 0day漏洞，影响iPhone 5s等老版本iPhone和iPad

iOS 0day漏洞影响老版本iPhone和iPad，苹果已发布安全补丁。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆引发的。实现远程代码执行后，攻击者可以在底层操作系统执行命令，部署恶意软件或监控恶意软件，并执行其他恶意活动。1月23日，苹果再次发布公告称发现该漏洞被利用的迹象。苹果公司建议受影响的用户尽快安装1月23日苹果发布的安全更新以拦截可能的攻击。

嘶吼专业版 15小时前

网络安全 漏洞

中国网信网

关于全民数字素养与技能培训基地入选名单的公示

现将入选名单予以公示，如有异议，请在公示期内向中央网信办信息化发展局反映。公示时间：2023年2月1日至2023年2月7日（7天）联系电话：010-55635904 附件：全民数字素养与技能培训基地入选名单中央网信办信息化发展局 2023年2月1日

中国网信网 15小时前

全民

嘶吼专业版

攻击者在飞塔（Fortinet）网络安全设备上部署了复杂的Linux植入程序

去年12月知名网络安全厂商飞塔披露，其FortiOS操作系统中的一个严重漏洞正在被外面的攻击者大肆利用。FortiOS运行在该公司的FortiGate网络安全防火墙及其他设备上。飞塔的分析师表示，如果libps.bak命名为data/lib目录中的libips.so，恶意代码将自动执行，因为FortiOS的组件会调用这些导出的函数。

嘶吼专业版 16小时前

网络安全 linux服务器 信息安全 漏洞

GoUpSec

2023年十大顶级云安全认证

本文整理了目前全球公认的十大云安全认证，供云安全专业人士参考。

GoUpSec 16小时前

云计算 云安全 信息安全 网络安全

D1Net

2023年的风险管理趋势

ESG和网络安全都是广泛的概念，涵盖了各行业领域的广泛因素。所有迹象表明，未来的劳动力市场中的大多数职位与网络安全和ESG有关。相关立法、国际采纳和社会压力等共同驱动因素表明，考虑到网络安全和ESG问题，对安全和负责任的系统的需求在21世纪不再只是无关紧要的特性。此外，企业文化应努力保持对ESG和网络安全重要性的认识。

D1Net 16小时前

网络安全

看雪学苑

俄罗斯最大IT公司Yandex源代码被泄露，涵盖几乎所有旗下产品

影响范围波及Yandex的许多顶级产品的技术数据和代码，例如Yandex搜索引擎、地图、邮件、出行、购物、云存储、广告、支付服务等。

看雪学苑 16小时前

yandex 源代码 隐私泄露 网络安全 科技新闻

E安全

巴勒斯坦黑客喊话以色列化学公司，并威胁雇员生命

威胁行为者针对在“被占领土地上”运营的以色列化学公司发起了大规模黑客攻击活动。这次攻击是对以色列政府及其针对巴勒斯坦人的政策的报复，黑客指责特拉维夫的暴力行为。电子圣城军发出信息：“我们对在化工厂工作的科学家的建议是辞掉他们的工作，寻找一份新工作，并在我们不在的地方找到避难所。我们确认你在化工厂的工作对你的生命构成威胁；下次对巴勒斯坦人实施暴力行为时，我们会毫不犹豫地用化学制品熔化你们的身体。”

E安全 17小时前

黑客攻击

安全小白成长记

在下炳尚

一颗小胡椒

安全侠

Simon