记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

移动互联网应用程序(App)收集使用个人信息自评估指南

评估点一:是否公开收集使用个人信息的规则 1.1 是否公开隐私政策等收集使用规则 a)       隐私政策通过弹窗、文本链接、附件、常见问题(FAQs)等界面或形式展示。 b)      隐私政策中包含收集使用个人信息规则的相关内容。 c)       隐私政策文本链接有效,文本可正常显示。
发布时间:2021-09-26 22:06 | 阅读:281 | 评论:0 | 标签:Android 个人信息自评估指南 移动互联网应用程序 移动 app

谷歌修复今年第11个Chrome零日漏洞:已遭在野利用

谷歌发布适用于 Windows、Mac 和 Linux 系统的Chrome 94.0.4606.61 版本,紧急修复已遭在野利用的高危0day。谷歌在安全公告中指出,“谷歌在野发现 CVE-2021-37973的利用。”该更新版本将在未来几天和几周的时间向全球用户发送桌面稳定版,并在下一次发布时检查新的更新并自动推送。攻击详情未披露CVE-2021-27973 是在谷歌 Chrome 94稳定版发布当天由谷歌威胁分析团队的研究员 Clément Lecigne 在谷歌 Project Zero 团队研究员 Sergei Glazunov 和 Mark Brand 的协助下发布的。
发布时间:2021-09-26 21:45 | 阅读:341 | 评论:0 | 标签:漏洞

微盟、腾讯安全共建私域安全实验室,启动“私域加速计划” 护航增长

9月26日,微盟与腾讯云、腾讯安全正式达成战略合作,并联合成立「私域安全实验室」,携手深耕业务安全、基础安全、信息安全等全栈安全领域的近百项安全能力建设,打造覆盖经营全流程的私域安全一体化解决方案,为企业数字化转型保驾护航。会上,双方联合发布私域安全实验室首个合作成果“营销保”、启动“私域加速计划”,进一步扶持企业的私域安全建设。【左:微盟集团高级副总裁兼CTO黄骏伟,右:腾讯安全副总裁杨光夫】微盟集团首席运营官尹世明、微盟集团高级副总裁兼CTO黄骏伟、腾讯安全副总裁杨光夫、微盟研发中心技术副总裁肖锋、腾讯私域安全负责人姚凌鹏等出席私域安全实验室揭牌仪式,共同见证私域安全新阶段。
发布时间:2021-09-26 19:46 | 阅读:380 | 评论:0 | 标签:安全 腾讯

活动 | 再次携手中国工程院院士 邀您见证信息安全行业年末盛典

robots报名地址:https://onlinereg.insecworld.com/INSEC21/cn/?source=AQK 活动简介年度信息安全行业盛会——INSEC WORLD 世界信息安全大会将于11月23至26日,再次于成都·中国西部国际博览城与大家会面。本届大会以“数字经济 安全为钥”为主题,邀请相关政府及行业协会领导、上下游企业高管、国内外知名IT专家,第三方独立机构等,从技术、应用和管理三方面进行切入,深入探讨政府、通信、金融、医疗、物联网等行业具体应用,深层次挑战与热点问题。
发布时间:2021-09-26 19:45 | 阅读:599 | 评论:0 | 标签:安全 中国

欧洲主要呼叫中心提供商之一的 GSS 遭受了勒索软件攻击

Covisian的西班牙和拉丁美洲子公司GSS受到了一场严重的勒索软件攻击,该公司的大部分IT系统被冻结,其西班牙语客户群的呼叫中心也受到了干扰。 本周,位于西班牙和拉丁美洲的联系中心和为公司和政府机构提供的自助客户帮助电话服务失联。 据知情人士透露,受到影响的机构包括沃达丰西班牙、MasMovil互联网服务商、电视台、马德里供水供应商以及几家私营企业。 GSS高管在一封致受影响客户的信中称,他们已经关闭了所有受此次攻击影响的内部系统,目前正在使用基于谷歌的系统作为备份。 该公司当时表示,“在事故解决之前,所有应用程序都无法工作。”同时,恢复时间尚未公布。
发布时间:2021-09-26 19:02 | 阅读:474 | 评论:0 | 标签:国际动态 数据泄露 网络攻击 Conti GSS 勒索事件 攻击 勒索

安全威胁情报周报(09.20-09.26)

#威胁情报周报 44个内容 一周威胁情报摘要威胁趋势CISA+FBA+NSA联合告警:Conti 勒索软件攻击呈上升趋势金融威胁情报跨链 DeFi 平台 pNetwork 遭到黑客入侵,277个比特币失窃加密货币骗局:围绕“薅羊毛心理”进行的恶意攻击加密货币交易所 SushiSwap 的&a
发布时间:2021-09-26 18:56 | 阅读:406 | 评论:0 | 标签:情报 威胁情报 安全

AISecOps:基于动态图的威胁分析

#数据分析 34个内容 一、概述智能安全运营(AISecOps)[1]涵盖了预防、检测、响应、预测、恢复等网络安全风险控制与攻防对抗技术,将大幅提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率,减少对专家经验的过度依赖,有效降低企业、组织乃至国家级关键信息基础设施、数据资产的整体安全风险。如何利用多种关键技术构建AISecOps,研究任务任重而道远。利用异构数据保护网络安全已成为业内共识,此前公众号发表过的文章《AISecOps:基于异构图的威胁分析技术》介绍了异构图在威胁分析中的应用。在真实的网络环境中,为了实时的威胁分析,需要构建动态图,即图中的节点和边是随着时间变化的。
发布时间:2021-09-26 18:56 | 阅读:433 | 评论:0 | 标签:AI 分析

信息安全建设-搭建mysql数据库审计平台

一、数据库审计的意义 数据库审计是对数据库访问行为进行监管的系统,一般采用旁路部署的方式,通过镜像或探针的方式采集所有数据库的访问流量,并基于SQL语法、语义的解析技术,记录下数据库的所有访问和操作行为,例如访问数据的用户(IP、账号、时间),操作(增、删、改、查)、对象(表、字段)等。数据库审计平台一般用来发现非法操作、数据泄露或篡改、及可疑入侵行为等,二是支持实时告警,及时发现可疑操作,及时处理和阻断可能发生的各类风险。 二、数据库审计的方法 数据库审计需要采集到数据库的流量才可以进行审计,如何才能收集数据库的流量呢。
发布时间:2021-09-26 17:59 | 阅读:755 | 评论:0 | 标签:安全建设 Mysql 信息安全建设 数据库 审计 SQL 安全

腾讯安全云鼎实验室发布云安全攻防矩阵

随着云计算技术和产业的蓬勃发展,企业上云已是数字化转型的必然趋势。但云上千般好,却也给企业带来了全新的安全挑战。云平台不仅要应对传统网络架构中存有的DDoS、入侵、病毒等常态问题,还要高度重视技术架构中虚拟机逃逸、资源滥用、横向穿透等新安全问题。守护云上安全,是数字时代的重中之重。9月26日,2021首届-西部云安全峰会在西安成功举办。会上,腾讯安全云鼎实验室首次披露云端攻防最新成果——云安全攻防矩阵。该矩阵基于MITRE ATT&CK®框架,针对云上安全所面临的威胁以及攻击技术进行整理,从实战角度出发,助力企业知攻知防。
发布时间:2021-09-26 17:12 | 阅读:694 | 评论:0 | 标签: 攻防 安全 腾讯

深入理解APC机制(三)

robots 0x01深入内核​ 我们直接从ReactOS中了解其中的具体实现,比如NtQueueApcThreadEx,其中主要使用了一个KAPC对象: typedef struct _KAPC { UCHAR Type; UCHAR SpareByte0; UCHAR Size; UCHAR SpareByte1; ULONG SpareLong0; struct _KTHREAD *Thre
发布时间:2021-09-26 17:04 | 阅读:588 | 评论:0 | 标签:无

nfc研究——记一次门禁梯控绕过的研究

robots 作者:墨客@涂鸦智能安全实验室前言最近租的公寓风风火火在门禁卡上加梯控,所有的门禁卡都需要去物业增加权限才能使用电梯,并且使用限制非常多。如电梯号的限制、楼层号的限制、时间的限制等。出于好奇,加上最近正在研究各种nfc,我对梯控进行了研究并尝试绕过。(仅作研究使用)基础知识首先我们先了解一下我们平常使用的门禁卡,目前nfc门禁卡大致可分为IC卡与ID卡,ID卡不可写入,且固定编号;IC卡可以擦写,且固定编号。这里笔者的卡可以被物业改写梯控信息,显然是IC卡。既然是IC卡,那么我们就可以复制,改写内容。
发布时间:2021-09-26 17:04 | 阅读:967 | 评论:0 | 标签:无

苹果偷偷修复漏洞后PoC遭漏洞发现者公开

robots第125期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、苹果偷偷修复漏洞后PoC遭漏洞发现者公开近期黑客在Github公布了四个iOS漏洞PoC,其中三个还是0day漏洞。黑客自述他在3月至5月期间提交了这四个漏洞,但苹果却在7月更新iOS 14.7时偷偷修了一个。他询问情况后苹果向他道歉并称是工作失误,并会在之后的版本更新中补上致谢。
发布时间:2021-09-26 17:04 | 阅读:784 | 评论:0 | 标签:漏洞

DARPA启动“强化开发工具链防御突发执行引擎”项目

【据DARPA网站9月22日报道】 DARPA信息创新办公室项目经理谢尔盖·布拉图斯近日表示,当今的程序不会立刻暴露缺陷,但攻击者可从系统功能与设计中发现漏洞,利用内嵌开发执行引擎操纵软件。“强化开发工具链防御突发执行引擎”(HARDEN)项目希望为软件开发者提供理解软件突发行为的方法,限制攻击者利用漏洞的能力。HARDEN项目将探索新理论与方法,开发实用软件以在整个软件开发生命周期中预测、隔离、缓解计算系统的突发行为,其效果远超过补丁对漏洞的缓解效果。作者:寇新宇 北京航天情报与信息研究所编辑:孙琴注:原文来源网络,文中观点不代表本公众号立场,相关建议仅供参考。
发布时间:2021-09-26 16:23 | 阅读:589 | 评论:0 | 标签:防御 执行

漏洞解析——通用异常缺陷及字符串比较缺陷

本期主题为抛出通用异常缺陷漏洞和字符串比较缺陷漏洞的相关介绍,欢迎大家一起探讨! ▲ 抛出通用异常缺陷漏洞 抛出过于宽泛的异常会导致复杂的错误处理代码,这些代码很可能包含安全漏洞。 声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如,Java的异常机制的设置使调用者能够轻松地预测可能出现的错误,并编写代码来处理每个特定的异常情况。 二、抛出通用异常缺陷的构成条件有哪些? 抛出过于宽泛的异常。 三、抛出通用异常缺陷会造成哪些后果? 声明一个方法抛出泛型形式的异常会使系统失败。
发布时间:2021-09-26 16:19 | 阅读:452 | 评论:0 | 标签:漏洞

数据衰减——企业数据安全的新挑战

数据衰减,指数据的老化和过时,由于数据的完整性、一致性和准确性丧失而不再可用。不再容易解读的数据无法被有效利用,因此缺乏价值。在接下来的5年中,全球预计将产生超过180 ZB的数据,这意味着数据衰减肯定会以比现在更快的速度发生。数据衰减的产生数据衰减一般是数据管理不善的症状,多数是因为数据生命周期流程很少或没有到位,通常有几种情况会导致数据衰减。最常见的情况是客户记录(例如销售、营销和 CRM 数据)没有得到维护。一般情况下,任何组织都没有单一的数据源,而是跨多个平台、格式和视图的数据存储库。在不断变化和发展的业务系统中,如果维护不当,数据集的链接和完整性可能很快就会损坏和过时。
发布时间:2021-09-26 16:13 | 阅读:511 | 评论:0 | 标签:数据安全 安全

数据库审计产品的演进与发展

在大众眼里,数据库审计(简称“数审”)系统是数据安全领域的入门级产品,不过,历经近20年的发展,数据库审计技术路线和产品定位不断革新和演变,如今,已经从入门产品,发展为进阶产品,甚至在未来有可能成为终极产品之一。原因有以下几点:首先,无论是国家级的法律或标准,还是等保以及行业级的安全标准都对使用数据库审计有明确要求,是所有网络运营者必须建设的基础能力之一。其次,数据库作为数据资产的存储载体,其重要性无需赘述。如此重要的对象,必须要掌握谁在用、怎么用、何时用、何地用、用了哪些基础信息。这些基础信息几乎是我们判断是否出现泄密事件、是否需要调整安全策略、是否需要追责定责的唯一支撑。
发布时间:2021-09-26 16:13 | 阅读:506 | 评论:0 | 标签:审计

工信部扎实推进车联网卡实名登记管理工作

为贯彻落实《网络安全法》等相关法律规定,扎实推进实名登记管理工作,维护公民在网络空间的合法权益,工业和信息化部近日印发了《关于加强车联网卡实名登记管理的通知》,启动车联网卡实名登记工作。《通知》主要从夯实管理职责、强化实名登记、加强个人信息保护、组织监督检查等方面提出了12项工作举措,进一步规范细化车联网卡实名登记要求。一是工业和信息化部指导省级通信管理局与工业和信息化主管部门组织电信企业、道路机
发布时间:2021-09-26 13:43 | 阅读:863 | 评论:0 | 标签:无

9.8分严重漏洞可能影响数百万海康威视摄像机

近日,视频监控巨头海康威视在其网站上发布了一份安全公告,警告客户存在可能影响全球部署的数百万台摄像机和NVR的网络漏洞。“命令注入漏洞”可以让威胁行为者完全控制受感染的设备,该漏洞(CVE-2021-36260)是由网络安全研究人员Watchful IP在6月份发现的,并于上周一由IPVM首次报道。根据安全公告,该漏洞在通用漏洞评分系统(CVSS)中获得9.8分(满分10分),Watchful IP将其称为“最高级别的关键漏洞”。尽管这家视频监控巨头没有透露有多少产品可能受到影响,只公布了产品名称和固件版本,但IPVM估计可能有超过1亿台设备受到影响。
发布时间:2021-09-26 13:43 | 阅读:789 | 评论:0 | 标签:漏洞

欧洲呼叫中心巨头分部遭勒索软件,多个关基组织客服中断

图片来源:GUVO59/PIXABAY欧洲呼叫中心巨头Covisian的西班牙语分部遭Conti勒索软件袭击,内部系统被迫瘫痪,导致西班牙、南美洲的多个组织客服意外中断服务;受影响的组织包括多个电信运营商、市政供水公司、电视台等;官方回应称,已经使用谷歌的系统作为替代,内部系统恢复时间未知。Covisian是欧洲规模最大的客户服务与呼叫中心供应商之一,GSS则是Covisian的西班牙与南美洲分部。日前,GSS突然遭遇勒索软件攻击,导致大部分IT系统瘫痪,面向西班牙语区客户群体的呼叫中心应声沦陷。
发布时间:2021-09-26 13:43 | 阅读:963 | 评论:0 | 标签:勒索

吉林银行、国信证券2000万网络设备及防火墙、人总行700万安全运营中心、信通院290万SOAR采购等

9月24日网安相关招标项目197个,预算总额6.16亿,采购及投标时间10月中下旬。包括人总行751万安全运营中心采购意向、江苏省通信管理局980万安全设备采购意向、信通院290万SOAR采购意向、吉林银行2260万网络及防火墙设备招标、国信证券2041万路由器防火墙及198万互联网防火墙招标、内蒙古监狱管理局1367万网络安全设备招标等。篇幅有限,仅列出部分精选信息。如您希望获得全部197个项目信息,或者希望按省份、行业、品类精准订阅网络安全产品及服务采购需求及招标信息,文末附微信二维码,欢迎扫码沟通,或者直接加微信联系徐工:13911856279。
发布时间:2021-09-26 13:36 | 阅读:937 | 评论:0 | 标签:防火墙 安全运营 安全 网络 银行

最新报告:15%的“纳斯达克100指数”企业易受勒索软件攻击

根据IT安全公司Black Kite发布的研究数据显示,大约92%的公司由于系统过时而至少存在一个高危漏洞。该公司的勒索软件易感性指数还显示,15%的公司非常容易受到勒索软件事件的影响,财富100强公司中有60%的公司过去曾经历过违规行为。 研究人员计算出,网络攻击的平均年度财务风险可能使“纳斯达克100指数”企业损失4130万美元。 Cyber Security Ventures发布的另一份报告还发现,2020年的勒索软件事件比上一年增加了两倍,预计2021年将达到200亿美元。
发布时间:2021-09-26 13:33 | 阅读:946 | 评论:0 | 标签:攻击 勒索

微软修补被频繁利用的Windows 0 day漏洞

在9月的Patch Tuesday发布的一系列安全补丁中,微软发布了66个CVE的补丁,其中三个被列为微软四级划分系统中的重大(critical)等级,这三个之中一个名为Windows MSHTML的0day漏洞已经受到了近两周的积极攻击。另一个bug被列为公开已知但尚未被利用。Immersive Labs的网络威胁研究主管Kevin Breen观察到,只有一个CVE在野外受到积极攻击。这些漏洞存
发布时间:2021-09-26 11:50 | 阅读:1089 | 评论:0 | 标签:漏洞 windows 微软

研究人员发现3个iOS 0 day漏洞PoC代码

研究人员发现3个iOS 0 day漏洞PoC代码。GitHub用户illusionofchaos在GitHub上发布了4个iOS 安全漏洞的PoC代码,其中包含3个0 day漏洞和1个已修复的安全漏洞。这4个漏洞分别是:· Gamed 0-day· Nehelper Enumerate Installed Apps 0-day· Nehelper Wifi In
发布时间:2021-09-26 11:50 | 阅读:1180 | 评论:0 | 标签:漏洞 iOS ios

【技术原创】ProxyOracle利用分析1——CVE-2021-31195

0x00 前言我和Evi1cg一起复现了ProxyOracle攻击链,本文仅在技术研究的角度记录研究ProxyOracle中的细节,分析利用思路。0x01 简介本文将要介绍以下内容:◼XSS复现◼HttpOnly绕过◼XSS平台搭建◼伪造邮件0x02 XSS复现测试环境:◼Exchange Server IP: 192.168.1.1用户登录后访问如下链接:https://192.168.1.1/
发布时间:2021-09-26 11:50 | 阅读:1094 | 评论:0 | 标签:CVE 分析

XStream反序列化漏洞原理深度分析

一、XStream框架组成分析XStream是java实现对javaBean(实用类)简单快速进行序列化反序列化的框架。目前支持XML或JSON格式数据的序列化或反序列化过程。XStream总体主要由上图所示的五个接口和抽象类组成。其中,AbsractDriver是为XStream提供解析器和编辑器的创建的抽象类。XStream默认使用的解析器是XppDriver(这也就解释为了什么XStream使用默认的构造方法创建XStream对象的时候,需要依赖Xpp类库--如果没有导入对应版本的Xpp类库是会报错的)MarshallingStrategy 是编组和解组策略的核心接口。
发布时间:2021-09-26 11:44 | 阅读:1990 | 评论:0 | 标签:漏洞 序列化 分析

9月26日每日安全热点 - 哥伦比亚中介公司曝光逾10万买家记录

robots漏洞 VulnerabilityApple iOS12多个漏洞安全更新https://support.apple.com/en-us/HT212824CVE-2021-30869: Apple macOS Catalina 权限提升漏洞https://support.apple.com/en-us/HT212825安全事件 Security Incident新APT组织FamousSp
发布时间:2021-09-26 11:42 | 阅读:1081 | 评论:0 | 标签:安全

ARL 灯塔资产管理系统 三

robots 前言接上一期,这次来记录一下对于资产收集模块的二开过程。先说一下大概思路,针对域名收集,主要就是把oneforall给集成到ARL中。如果都预留了接口,当然就不用写一篇文章了,显示情况并非如此。针对IP的资产收集,再进行一些优化,添加一些我知道的其他收集方法,不能说全部吧,这个只能看经验了。 域名收集改动根据第二篇,现在已经知道了ARL域名收集的大致过程。改动就直接添加到domain.py中了。也看过其他类似的资产管理工具,直接把oneforall当作一个类,去实例化调用,从而集成到应用中。总感觉这样不优雅,又说不出来哪里别扭。开始之前,有必要对OneForAll进行简单分析。
发布时间:2021-09-26 11:42 | 阅读:1538 | 评论:0 | 标签:无

欧盟网络安全局供应链攻击威胁全景图(下)

收录于话题 2021年 7月写在前面:附录总结了24种供应链攻击,原文及胶片见网盘。百度网盘: https://pan.baidu.com/s/1iE3HQAk0tIyUM2E7Sgx08Q 提取码: bkl5 附录A 供应链攻击总结       本节总结了报告中确定和分析的24个供应链事件。每个事件都被攻击中涉及到的供应商所确认。使用前述的建议分类方法对案例做了分类。示意图更清楚地描绘了攻击发生过程。总结中包括的信息指本报告书写时可以获得的信息。
发布时间:2021-09-26 11:17 | 阅读:1373 | 评论:0 | 标签:攻击 网络安全 安全 网络

使用机器学习和缓存未命中属性的DNS隧道检测

收录于话题 #论文笔记 105个内容 原文作者:Aastha Chowdhary, Madhuparna Bhowmik and Dr. Bhawana Rudra原文标题:DNS Tunneling Detection using Machine Learning and Cache Miss Properties原文链接:https://ieeexplore.ieee.org/document
发布时间:2021-09-26 11:15 | 阅读:1210 | 评论:0 | 标签:学习 DNS

“韧性网络信息体系”技术框架分析

今日荐文的作者为中山大学专家李鸿旭,孙沁,周丽萍,王毓智,谢宇贤,刘乘昱,张英朝。本篇节选自论文《韧性网络信息体系的技术框架分析》,发表于《中国电子科学研究院学报》第16卷第8期。摘 要:韧性网络信息体系是我国军事智能化发展进程中一种新颖的、更具生命力的作战体系。为了深入探讨韧性网络信息体系未来的研究趋势,提出了韧性网络信息体系的技术框架。该技术框架主要从韧性网络信息体系的需求分析、韧性网络信息体系的建模、韧性网络信息体系的评估、韧性网络信息体系的结构优化、韧性网络信息体系的规划五个方面进行展开式探讨。
发布时间:2021-09-26 11:01 | 阅读:1181 | 评论:0 | 标签:体系 网络 分析

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云