2 天前 / 开发者头条
ElasticSearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。 鉴于使用习惯,以及默认配置原因,Elasticsearch 服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放 9200 或 9300 的服务器进行未授权访问数据。 而 3 月末以来,有黑客入侵了没有设置密码保护并开放在公网的 Elasticsearch 服务器,在进入数据库后,黑客将数据库全部删除,并留一下网络安全公司的名称,试图甩锅。 首次入侵始于 3 月 24 日左右。
6 天前 / xF0rk
Author: 瘦蛟舞 关键字: IoT SSL/TLS 0x01 SSL 收益 安全性提升,有效对抗绝大部分中间人攻击。● 中间人攻击部分场景○HTTP 劫持○DNS 劫持○ARP 欺骗○钓鱼 WIFI○伪基站 TLS 的主要目标是使 SSL 更安全,并使协议的规范更精确和完善,本文统一使用 SSL 泛指。0x02 IoT 分类 设备 ROM 发版相对 app 发版要复杂许多,所以设备的证书验证场景复杂度更高,先将设备抽象成两大类:系统自带证书的通用操作系统比如 AndroidTV 系统没有预制证书的实时操作系统 (RTOS) 如果设备是第一类通用操作系统比较好处理如果证书是 CA 签发的,只需信任系统证书即可...
6 天前 / RavenZZ
全文约 1.3 万字 7 图 阅读约 35 分钟 本篇是《网络安全架构 | 通过安全架构提升安全性》的续集。Gartner 关于网络安全架构的整体方法和详细过程,主要反映在这两篇之中,是 Gartner 关于安全架构方法的集大成之作,不可多得。 实现安全架构能力,需要仔细准备。此指导框架可以帮助网络安全技术专家,熟悉那些有助于创建安全架构过程的关键概念和决策过程。 本文运用了设计安全架构的方法论(Methodology)方法和框架(Framework)方法。方法论方法是一系列关于“如何”做某事的步骤或指南;框架方法一组关于“什么”的项目清单。
7 天前 / 开发者头条
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队刚刚,万豪国际披露称酒店发生数据泄露事件,影响 520 万名常客计划 app 用户。万豪国际在网站指出,它在 2 月底发现一名黑客使用了其中一家特许经营店两名员工的登录凭证,从常客计划 app 的后端系统访问客户信息。万豪国际表示,数据泄露始于 1 月中旬,但除此以外并未提供关于该事件如何发生的详情。万豪国际表示,黑客能够直接访问 Marriot Bonvoy 常客计划数据,如:通讯详情(如姓名、邮寄地址、邮件地址和电话号码) 常客计划账户信息(如账户号码和积分余额...
7 天前 / xF0rk
前言本文观点脱胎于笔者近一年从业的所见所得具有较为强烈的主观色彩,无法保证客观亦无法保证准确。可能会很片面请各位见谅,毕竟我也只是 ToB 安全业务的一个新人,仅代表个人观点与笔者所在公司及业务无关。 安全市场必将向“服务化”转型 抛开安全这个属性 B2B 行业由来自古,以我肤浅的阅历实在无法窥视全貌,但在信息安全这个垂直领域内笔者以一个新人的身份来谈谈看法。在笔者所经历的差不多一年的短暂时间内,从需求方的角度来看客户类型可以分为三大类:计划花光预算型客户、实际需求型客户、战略投入型客户,每种客户的特点有不尽相同。
10 天前 / 云水木石
国密标准对于 SSL 通信定义得不是很清楚,所能依仗的标准只有《GMT 0024-2014 SSL VPN 技术规范》。在文档中提到,国密 TLS 需要有签名证书和加密证书。开发伊始并没有注意到这个细节,以至于在后面的联调中吃了很多苦头。现将双证书的概念以及配置方法总结一下,希望对大家有所帮助。 何为单证书和双证书?通常情况下,服务器会部署一张证书,用于签名和加密,这就是所谓的单证书: 签名时,服务器使用自己的私钥加密信息的摘要(签名),客户端使用服务器的公钥(包含在证书中)进行解密,对比该摘要是否正确,若正确,则客户端就确定了服务器的身份...
13 天前 / xF0rk
本来不准备评论这个事情的,但作为微博用户看到自己的数据泄漏且被如此对待,还是想借这个事情说两句企业安全建设。 (为避免产生误导,以下所叙述事情素材均真实有效,内容未包含攻击手法。因未拿到泄漏数据,无法判断数据真实量级和准确性。另提醒普通用户,微博数据库未泄漏,是攻击者通过接口漏洞撞出来的数据,数据真实量级不确定,此次泄漏的是 userid+phone,因此改微博名和改密码意义不大) 01 — 微博数据泄漏事件背景 事件起因是 3 月 5 号在暗网交易市场里,有一则"5.38 亿微博用户绑定手机号数据,其中 1.72 亿有账号基本信息"的交易帖子...
13 天前 / ye1s
前言 2019 年结束已经几个月了,正好趁着在职最后一天,对上一年的工作做一个完整性质的总结及梳理。 如有不对之处还请各位帮忙扶正,不甚感激。 写这篇文章初衷有三个目的,总结自身工作内容、分享在工作中的经验、及。..找工作。 遭受到袭卷全球的突发事件影响,给现就职的公司主营业务造成了打击。高层在本周不得不宣布整体中国区裁员百分之七十,以此来维持运转。 我不表态公司高层这样的决定是否正确,复工两周期间上班每人都发了口罩,对于被裁员员工均有不同的补偿金额(虽然下周一才轮到我们部门),在这段期间已经算是良心了...
18 天前 / 开发者头条
本文中的所有查询到的敏感结果已经打码,保护当事人隐私本人作者已将所有查询到的信息删除清空本文写作较为草率,如有不准确希望理解,希望对大家的个人保护警惕起到抛砖引玉的作用!3 月 19 日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。” 随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。
18 天前 / MarvinZhang
前言 RPC(Remote Procedure Call),翻译过来为“远程过程调用”,是一种分布式系统中服务或节点之间的有效通信机制。通过 RPC,某个节点(或客户端)可以很轻松的调用远端(或服务端)的方法或服务,就像在本地调用一样简单。现有的很多 RPC 框架都要求暴露服务端地址,也就是需要知道服务器的 IP 和 RPC 端口。而本篇文章将介绍一种不需要暴露 IP 地址和端口的 RPC 通信方式。这种方式是基于 Redis BRPOP/BLPOP 操作实现的延迟队列,以及 Golang 中的 goroutine 协程异步机制,整个框架非常简单和易于理解,同时也很高效、稳定和安全。
18 天前 / 开发者头条
钛媒体 TMTPost.com |科技引领新经济| 有用户在 Telegram 上通过交易,查到了自己微博绑定的主要信息,包括账号身份证号、密码、手机号等等,有的人的个人信息还包括使用过的多个老密码。 钛媒体编辑丨石万佳 “微博个人信息已可在暗网买卖。我都买到我自己的信息了。”3 月 19 日晚间,一位区块链领域资深人士向钛媒体(微信 ID:taimeiti)表示:“在 Telegram 上,已有大量被泄露个人信息可以用 btc 和 eth 交易,目前暗网已经疯了,大家都在疯狂查询,这事已在国际暗网上产生巨大影响。
21 天前 / xF0rk
作者:cheery@QAX-ATEAM && n0thing@QAX-ATEAM 校对:L.N. 同时感谢 n1nty、pr0mise、2 月 30 日对本文提出的宝贵建议。文章内容较多,建议点击文末“阅读全文”,跳转到博客阅读。 0x00 前言 本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点我们可能尝试了无数种方法,最后写入文章的只有成功的一种...