对于网络上的安全来说包括两个方面:一方面包括的是物理安全,指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿等。另一方面还包括我们通常所说的逻辑安全。包含信息完整性、保密性以及可用性等等。

加载中
置顶
发表了资讯
今天 08:16

DuckDuckGo 更新扩展,以阻止 Google FLoC 追踪

此前,我们曾报道过 Google 在其 Chrome 浏览器中开始进行 FLoC(Federated Learning of Cohorts) 测试,以新的方式替代原本的第三方 cookie 来追踪用户,用于形成用户画像进行广告投放。 随着第三方 cookie 在网络广告中的使用越来越受到抨击,Google 正在寻求利用人们的浏览历史将人们分类为群组。之后,广告商可以向相关的群体展示他们的广告。虽然该系统应该是为了提高用户的隐私,但也有很多组织表达了 FLoC 在隐私方面是... 展开更多

收藏 0
置顶
发表了资讯
昨天 08:16

勒索软件攻击飙升,IoT 设备漏洞占比达 96%

Bitdefender 发布的一份《2020 Consumer Threat Landscape Report》显示,与 2019 年相比,2020 年的勒索软件攻击增长了 485%。第一和第二季度的攻击占所有攻击的 64%,比 2019 年前两个季度高出 19%。 报告指出,虽然采用专有操作系统的物联网(IoT)设备只占消费类设备的 34%,但其漏洞占比却已高达 96%。此外,与 2019 年相比,智能电视漏洞增加了 335%,而 NAS 设备中发现的漏洞数量则增加了 189%。 Bitdefender 威胁研究和... 展开更多

收藏 1
置顶
程序员
发表了资讯
前天 16:08

【重要通知】使用 OneBlog(DBlog)的用户,请注意!!!

使用 OneBlog(DBlog)的用户,请注意!!! 各位正在使用 OneBlog[1](DBlog)的用户,请注意,本篇文章非常重要,请一定要认真读完! OneBlog 中使用了 Shiro 权限管理框架,版本为: 1.4.0 该版本针对 CookieRememberMeManager 存在一个反序列化的漏洞: •原文:https://issues.apache.org/jira/browse/SHIRO-550•相关模拟:https://blog.csdn.net/Dothwinds/article/det...... 展开更多

收藏 6
置顶
发表了博客
04/07 16:39

Crypto练习之CRC32应用

CRC全称为Cyclic redundancy check,即循环冗余校验码,是一种根据输入数据产生简短的固定位数校验码的散列函数。CRC主要用来检测或者校验数据经过传输或者保存后可能出现的错误,CRC32产生32位的散列值(即4字节)。CRC32可以用于数据的校验,在WinRAR等压缩软件中也使用了这一技术,压缩包中每个文件都保存有一个对应的CRC32值,这个值是对压缩前的文件数据计算出来的散列值,在进行解压时会再次计算文件的CRC32值来进行对比,... 展开更多

收藏 0
0
置顶
发表了博客
04/07 14:59

Crypto练习之替换密码

今天进行的实验室Crypto种的替换密码。首先介绍一下工具,在解决这类题型的时候,我们不仅要运用到计算机知识,还有一部分密码学知识。 本次实验地址:[《CTF Crypto练习之替换密码》](https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015011915454100001&pk_campaign=kaiyuan-wemedia)。 首先介绍一下工具,在解决这类题型的时候,我们不仅要运用到计算机知识,还有一部分密码学知识。 本实验要求实验者具备如下的相关... 展开更多

收藏 1
0
置顶
程序员
发表了资讯
04/04 08:46

攻击者利用 GitHub Action 在 GitHub 服务器上挖掘加密货币

GitHub Actions 被发现遭到攻击者利用,以在 GitHub 的服务器进行自动攻击挖掘加密货币。 GitHub Actions 是一个CI/CD解决方案,可以实现所有软件工作流程的自动化,并设置定期任务。而本次攻击将恶意的 GitHub Actions 代码添加到从合法仓库分叉出来的仓库中,并进一步创建一个 Pull Request,让原仓库维护者将代码合并回来,以改变原始代码。并且恶意代码会从 GitLab 中加载一个挖矿程序 npm.exe,并使用攻击者的钱包地址运行... 展开更多

收藏 4
置顶
发表了博客
04/01 15:45

Apache Solr最新任意文件读取漏洞

漏洞简介 Apache Solr是一个开源搜索服务引擎,默认安装未授权情况下攻击者可以构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。 本文涉及相关实验:CVE-2019-0192 Apache Solr远程反序列化代码执行漏洞(Apache Solr是一个开源的搜索服务器。具有高度可靠、可伸缩和容错的,提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。) 影响版本 solr任意版本 环境搭建 漏洞环境下载: https://archiv... 展开更多

收藏 1
1
置顶
发表了博客
04/01 16:51

【隐写】开局一张图,啥也看不出

最近遇到一个CTF题目,上面就一张图片是什么?啥都看不出来。今天来看一下CTF图片隐写题目,在图片里面隐藏一些不为人知的flag呢? 本次实验的地址为:《CTF Stegano练习之隐写6》。 首先来看题目。在实验主机上的C:\Stegano\6目录下提供了pic1.jpg以及pic2.jpg两个文件,请对这两文件进行分析,找到一个由两个英文单词组成的字符串Flag。 这两张图看起来都感觉都差不多全是黑白像素点,怎么去找flag呢? 这里有一个神器StegSol... 展开更多

收藏 0
0
置顶
发表了博客
03/31 14:06

关于IoT安全,20位大厂CSO这样说……

智能扫地机器人、联网的咖啡机、可以远程控制的汽车……随着越来越多的物联网(IoT)设备走进消费者身边,万物互联渐成现实。在给消费者带来便利的同时, IoT设备等安全和隐私问题也引发了广泛关切。不止是在消费场景,工业、农业、能源、零售等等众多关系到国计民生的领域,物联网也作为重要的数字化工具,正在加速落地。同样需要关注的是,IoT设备一旦联网,安全风险也将随之而来,企业的生产运营、品牌声誉都将面临更严峻的挑... 展开更多

收藏 1
0
置顶
程序员
发表了资讯
03/30 07:11

黑客入侵 PHP 的 Git 服务器,试图提交后门代码

近日,PHP 团队发现其 git.php.net 服务器被入侵,官方仓库中出现了两个恶意提交,并且这些提交伪造了 PHP 开发者和维护者 Rasmus Lerdorf 和 Nikita Popov 的签名。 事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 “zerodium” 开头,就会从 useragent HTTP 头内执行 PHP 代码。目前,PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供... 展开更多

收藏 5
置顶
发表了资讯
03/30 07:07

新型 Android 恶意软件冒充为"系统更新"窃取用户数据

本周,Zimperium zLabs 的研究人员对外发出警告,提醒 Android 用户注意一款复杂的新型恶意软件。 这个新的恶意软件会将自己伪装成用于系统更新(System Update)的应用程序,诱骗用户下载。一旦用户下载了该恶意软件,该软件就会窃取数据、信息、照片并控制 Android 手机,不仅可以窃取用户设备上已有的数据,黑客还可以偷偷录制音频和通话、拍摄照片和访问用户地理位置等。 经过调查,研究人员发现这个假冒的"System Update"... 展开更多

收藏 1
置顶
发表了资讯
03/28 08:22

PyPl 加入 GitHub 秘密扫描计划

秘密扫描计划(Secret scanning program)是 GitHub 推出的一项服务,GitHub 通过与仓库所有者展开合作,对仓库进行秘密扫描以保护秘密令牌格式的安全,该扫描将搜索意外提交的令牌格式。此举可以防止因欺诈性目的而意外使用了错误的提交。 近日,GitHub 宣布与 Python Package Index(PyPI)展开合作,帮助保护用户免受 PyPI API 令牌的泄露所产生的侵害。 根据公告,从现在开始,GitHub 将扫描公共仓库的每一次提交,以寻找暴... 展开更多

收藏 2
置顶
发表了资讯
03/27 08:11

OpenSSL 修复了严重的 DoS 和证书验证漏洞

OpenSSL 是一个常用的软件库,用于构建需要建立安全通信的网络应用和服务器。近日,OpenSSL 项目针对潜伏在 OpenSSL 产品中的两个高危漏洞 CVE-2021-3449 和 CVE-2021-3450 发布了公告。 这两个漏洞包括: CVE-2021-3449:由于 NULL 指针取消引用而导致的拒绝服务(DoS)漏洞,只影响 OpenSSL 服务器实例,而不影响客户端。 CVE-2021-3450:不正确的 CA 证书验证漏洞,同时影响服务器和客户端实例。 单行代码即可修复 DoS 漏洞 ... 展开更多

收藏 1
置顶
发表了博客
03/25 15:52

Stegano 3个音频隐写

进入实验地址[《CTF Stegano练习之隐写2》](https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECID172.19.104.182014121211154100001&pk_campaign=kaiyuan-wemedia)。 先看第一类题查看频谱图使用Audacity打开sound1.wav文件。 用Audacity这个工具打开就是因为Audacity提供的强大的音频分析功能,包括波形图、频谱图等各种图形可视化效果。 Audacity默认显示的是音频文件左右两个声道的波形图,我们可以尝试切换到频谱图进行分析... 展开更多

收藏 0
0
置顶
发表了资讯
03/25 08:33

IETF 正式弃用 TLS 1.0 和 TLS 1.1

IETF(国际互联网工程任务组)已宣布正式弃用 TLS 1.0 和 TLS 1.1。 公告写道,TLS 1.0 (RFC 2246) 和 TLS 1.1 (RFC 4346) 已被正式弃用。这些版本缺乏对当前和推荐的加密算法以及机制的支持,许多政府和行业对使用 TLS 的应用现在都要求避免使用这些旧 TLS 版本。 TLS 1.2 在2008年成为 IETF 推荐的版本(2018年被 TLS 1.3 淘汰),因此 IETF 认为已预留足够的时间来让使用者摆脱对旧版本 TLS 的依赖。它还表示,移除对旧版本的... 展开更多

收藏 9
置顶
发表了博客
03/24 16:48

CTF Stegano练习之隐写初探

今天要介绍的是CTF练习中的Stegano隐写题型。做隐写题的时候,工具是很重要的,接下来介绍一些工具。 1、TrID TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具。虽然也有类似的文件类型识别工具,但是大多数都是使用硬编码的识别规则,而TrID则没有固定的匹配规则,TrID具有灵活的可扩展性,可以通过训练来进行文件类型的快速识别。 TrID通过附加的文件类型指纹数据库来进行匹配,可用于取证分析、未知文件识别等用... 展开更多

收藏 0
0
置顶
发表了资讯
03/24 08:19

Android 系统的 WebView 错误更新,致使大量应用崩溃

从昨天起,有大量的 Android 用户表示遭遇了包括 Gmail 在内的各种 Google 服务以及许多其他第三方应用程序持续崩溃的情况。而事件的起因则是用户留意到 Android 设备弹出通知称应用已停止运行,并且有很多应用都抛出了同样的错误,在此之后这些应用就都无法打开了。 DownDetector、Reddit 和 Twitter 上都有关于该问题的反馈,Google 的 Workspace Cloud 状态仪表板也证实他们已经意识到 Android 上的 Gmail 应用出现了问题。经... 展开更多

收藏 2
置顶
程序员
发表了资讯
03/23 08:10

Firefox 将采取新的 referrer 策略

Mozilla 宣布,其 Firefox 浏览器从下个版本开始,将引入更加严格的 referrer 策略,以保护 Firefox 用户的隐私。 Referrer(因历史遗留原因代码中写作 Referer)参数是 http 请求头里的一个关键参数, 说明了用户是从哪个页面发起该请求的。 但是,referrer 头经常包含用户的隐私数据,比如用户在引用网站上阅读哪些文章、甚至是用户在网站上的账户信息。因此,W3C官方提出了一些候选策略 Referrer Policy,以规范 referrer 内... 展开更多

收藏 5
置顶
程序员
发表了资讯
03/22 07:16

Miscrosoft Edge 开始修复 DNS-over-HTTPS 的性能问题

微软开始测试修复 Microsoft Edge 的 DNS-over-HTTPS (DoH)功能中的性能问题,并再次启用了内置 DoH 服务器列表。 DNS-over-HTTPS(DoH)允许浏览器通过加密的 HTTPS 连接进行 DNS 解析,而不是通过普通的纯文本 DNS 查询。由于一些政府和 ISP 通过监控 DNS 流量来阻止与网站的连接,DoH 将允许用户绕过审查制度,防止欺骗攻击,并增加隐私性,因为他们的 DNS 请求不那么容易被监控。 微软 Miscrosoft Edge在 86 版本中增加了... 展开更多

收藏 2
置顶
发表了资讯
03/21 07:25

Kodachi 8.0 发布,安全匿名的 Linux 发行版

Linux Kodachi 8.0 已发布,这是一个基于 Xubuntu 18.04.5 的 Linux 发行版,主打安全和隐私(预装 VPN, Tor 和 DNSCrypt 应用),并实现了匿名和反取证功能。 主要特性 匿名访问互联网 所有与互联网的连接都必须先经过 VPN,然后再经过具有 DNS 加密的 Tor 网络 除非明确要求,否则不会在正在使用的计算机上留下任何痕迹 使用最先进的加密和隐私工具对文件、电子邮件和即时消息进行加密 新版本升级了内核,带来了新的主题和仪表... 展开更多

收藏 4
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
返回顶部
顶部