最新
中国信息安全

构建数据基础制度体系的有力举措

“数据二十条”既把握数据同其他生产要素的共性,又把握数据要素的特性,提出了有针对性的措施。在这方面,“数据二十条”要求“依法依规予以保密的公共数据不予开放,严格管控未依法依规公开的原始公共数据直接进入市场,保障公共数据供给使用的公共利益”。
中国信息安全
大数据 数据安全
黑白之道

云黑客攻击:为什么API仍是最大威胁?

目前,API是云所面临的主要威胁之一。而且,API安全风险是当今网络安全领域一个令人不安的趋势。在2019年时,API尚未被视作云安全的大威胁。而如今,我们对API的依赖正迅速增长。API会扩大攻击面,方便恶意黑客进行云攻击。
黑白之道
黑客 api 云计算 网络安全
HACK学习呀

实战 | 记一次Facebook上的双因素身份验证绕过

端点请求服务器发送 6 位代码进行验证。因为,/api/v1/bloks/apps/com.bloks 中根本没有速率限制保护。因此,如果电话号码已完全确认并在 Facebook 中启用了 2FA,则 2FA 将被关闭或从受害者的帐户中禁用。并且,如果电话号码被部分确认,这意味着仅用于 2FA,它将撤销 2FA,并且该电话号码将从受害者的帐户中删除。2022 年 9 月 21 日——该功能在取消链接关联的 Facebook 帐户时再次出现,并将这种奇怪的行为告知了团队。2022 年 12 月 15 日——Facebook 根据 2FA 绕过的新支付指南授予额外赏金。
HACK学习呀
脸书
一颗小胡椒

您的密码是如何落入坏人之手的?

窃取密码的特洛伊木马并不是唯一寻找密码的恶意软件。是的,我说的是臭名昭著的 LastPass 密码管理实用程序黑客攻击。是的,这些保险库已正确加密,LastPass 从未存储甚至不知道解密密钥。可以根据有关目标受害者的已知信息为暴力攻击生成字典。主流的密码管理器软件可以帮助您完成所有这些任务并可以实时监控您所有密码的安全性。有些密码管理器甚至提供检查泄漏是否真的发生的服务。
一颗小胡椒
网络攻击 网络犯罪 隐私泄露 信息泄露 网络安全
合天网安实验室

PHP反序列化新手入门学习总结

最近写了点反序列化的题,才疏学浅,希望对CTF新手有所帮助,有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化,什么是反序列化?本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
合天网安实验室
test php序列化 文件属性 php 新手入门
安全圈

泄露 3.5 万用户数据后,微软 GitHub 项目打赏功能不再支持 PayPal 付款

微软 GitHub 官方博客近日发表简短声明,宣布从 2023 年 2 月 23 日起,GitHub Sponsors 项目打赏功能将不再支持 PayPal 支付方式。赞助人将无法再通过 PayPal 打赏开发者或组织,GitHub 建议赞助人更新支付方式,使用信用卡或借记卡。GitHub 官方对此没有给出更多解释。
安全圈
黑客 软件
安全圈

警方称一荷兰黑客获得了几乎所有奥地利人的个人数据

奥地利警方本周披露,一名荷兰黑客于去年 11 月被捕,这名黑客窃取并出售几乎所有奥地利人的个人数据,包括全名、性别、完整地址和出生日期。这名黑客是于 2020 年 5 月在一个黑客论坛上出售这些数据,该数据集已被调查人员确认是真实的。它包含了近 900 万组数据,而奥地利人口为 910 万,因此几乎所有奥地利人都包含在内。该黑客还出售了意大利、荷兰和哥伦比亚等国的类似数据集。
安全圈
黑客
看雪学苑

Linux内核pwn之基础rop提权

能运行的环境包括I/O,权限控制,系统调用,进程管理,内存管理等多项功能都可以归结到上边两点中。需要注意的是,kernel 的crash 通常会引起重启。注意大多数的现代操作系统只使用了 Ring 0 和 Ring 3。
看雪学苑
进程间通信 linux系统 linux服务器 程序调试 printf
安全圈

“我们黑掉了黑客!”FBI 成功“黑入”勒索软件集团 Hive 服务器。

美国司法部本周宣布,联邦调查局特工成功瓦解了一个臭名昭著的勒索软件集团 Hive,并阻止了价值 1.3 亿美元的赎金勒索行为,受害者不再需要支付赎金。联邦调查局声称,通过秘密入侵 Hive 服务器,悄悄地拿到 300 多个解密密钥,并将它们传回给数据被该组织锁住的受害者。
安全圈
黑客 网络安全 勒索
LemonSec

深入理解 RMI 之运行逻辑与漏洞原理

深入理解 RMI 之漏洞原理篇环境是 jdk8u65本文侧重于理解原理,攻击篇会放到后续一篇中讲。0x01 前言RMI 作为后续漏洞中最为基本的利用手段之一,学习的必要性非常之大。RMI 依赖的通信协议为 JRMP,该协议为 Java 定制,要求服务端与客户端都为 Java 编写。这个协议就像 HTTP 协议一样,规定了客户端和服务端通信要满足的规范。
LemonSec
target 远程过程调用 网络攻击 数据封装 网络端口
数世咨询

T-Mobile五年遭遇八起数据泄露

被泄客户数据包括客户姓名、账单地址、电子邮箱、电话号码、出生日期、T-Mobile账户号和账户订阅条目数与套餐功能等信息。
数世咨询
网络安全 信息泄露
关键基础设施安全应急响应中心

供应链攻击造成的数据泄露比恶意软件更多

根据您的舒适程度调整隐私设置对于每个应用程序、帐户或设备,检查隐私和安全设置。将它们设置为您对个人信息共享感到满意的水平;通常,我们认为倾向于共享较少数据而不是更多数据是明智的。除了管理您的数据隐私设置外,请遵循一些简单的网络安全提示以确保其安全。设计设置以默认保护他们的信息。更好的家庭安全和隐私行为将转化为更好的工作安全和隐私实践;提醒员工更新工作和个人帐户的隐私和安全设置。
关键基础设施安全应急响应中心
大数据 数据与信息 隐私泄露 信息泄露 网络安全
系统安全运维

在 Vim 中如何剪切、复制和粘贴

在vim的不同模式中,操作方法也会有不同,本文将会分别进行展示。复制在 vim的术语中,复制也被称为 "yank",所以用于复制文本的快捷键是 y。粘贴要从剪贴板粘贴文本,可以使用标准的键盘快捷键“Ctrl+Shift+v”,但这不是Vim的操作方式。首先,进入视觉模式(有两种方式进入视觉模式,请参见文章:Vim 模式是什么?复制/剪切文本后,Vim将切换回正常模式。
系统安全运维
vim vim命令
GoUpSec

逆风行舟:2023年企业网络安全预算热点解读

根据ESG的调查,53%的企业将在2023年增加IT支出,30%的企业表示IT支出将在2023年保持不变,只有18%的企业预测IT支出将减少。40%的受访者声称,改善网络安全是2023年IT投资的最重要理由,调查结果进一步支持了这一趋势。如果发生裁员,则可能引发招聘冻结,项目延迟和更严格的供应商审查。网络安全行业的兼并整合仍将继续,但速度将放缓。
GoUpSec
网络安全 预算控制 预算 信息安全
中国信息安全

精细化治理深度合成技术应用 体系化维护网络空间良好生态

《互联网信息服务深度合成管理规定》为规范深度合成技术应用提出了科学化、精细化、体系化的治理方案,有效统筹深度合成技术应用的安全与发展,促进深度合成技术的依法合理利用。
中国信息安全
信息安全
安全内参

WiFi“透视”:研究员发现新型隐私监控方式

家里WiFi都能来搞监控了?
安全内参
研究员
天融信

天融信:十六部门发布指导意见,数据安全产业迎来全面高速发展期

天融信在2012年已提出“以数据为中心的安全赋能体系”,长期坚持技术创新,持续引领行业发展,已形成覆盖数据全生命周期产品与服务体系,提前布局全方位融入数据安全产业。
天融信
数据安全 信息安全 网络安全
系统安全运维

SQL注入的注入点找法

总结以下三点1,注入点首先观察搜索框的地址是否是有与数据库交互,例如html这种几乎是不存在注入的所以要先判断是否有交互。2,交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//www.xxx.com/index.php?id=1这种很大程度存在注入当然有些注入点不会这么一眼看出会有些比较复杂例如http://www.xxx.com:50006/index.php?
系统安全运维
sql注入 数据库
系统安全运维

一款快速探测内网可达网段工具

netspy是一款快速探测内网可达网段工具当我们进入内网后想要扩大战果,那我们可能首先想知道当前主机能通哪些内网段。netspy正是一款应用而生的小工具,体积较小,速度极快,支持跨平台,支持多种协议探测,希望能帮到你!?快速使用查看帮助信息netspy -h. 使用icmpspy模块进行探测使用icmpspy模块进行自动探测,自动探测网段为:"192.168.0.0/16", "172.16.0.0/12", "10.0.0.0/8"。使用arpspy模块进行探测指定使用eth0网络接口进行arp协议探测,探测网段为192.168.0.0/16和59.192.0.0/10。netspy -c 192.168.0.0/16 -c 59.192.0.0/10 as -i eth0
系统安全运维
网段
系统安全运维

一款CMS指纹识别工具

由Go语言实现的一款CMS指纹识别工具。
系统安全运维
指纹识别 string hosts