2 天前 / xF0rk
文|腾讯安全平台部数据安全团队 qiye & baz 随着 Web 应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在 2012 年的时候,Gartner 引入了“Runtime application self-protection”一词,简称为 RASP,属于一种新型应用安全保护技术,它将防护功能“ 注入”到应用程序中,与应用程序融为一体,使应用程序具备自我防护能力,当应用程序遭受到实际攻击伤害时,能实时检测和阻断安全攻击,而不需要进行人工干预。
3 天前 / vivo互联网技术
一、概述 ConcurrentHashMap ( 以下简称 C13Map) 是并发编程出场率最高的数据结构之一,大量的并发 CASE 背后都有 C13Map 的支持,同时也是 JUC 包中代码量最大的组件 (6000 多行),自 JDK8 开始 Oracle 对其进行了大量优化工作。 本文从 HashMap 的基础知识开始,尝试逐一分析 C13Map 中各个组件的实现和安全性保证。 二、HashMap 基础知识 分析 C13MAP 前,需要了解以下的 HashMap 知识或者约定: 哈希表的长度永远都是 2 的幂次方,原因是 hashcode%tableSize==hashcode&(tableSize-1),也就是哈希槽位的确定可以用一次与运算来替代取余运算。
5 天前 / ye1s
这是酒仙桥六号部队的第 82篇文章。 全文共计 1737 个字,预计阅读时长 7 分钟。 前段时间看到了关于二维码劫持的几篇文,认真研究了一下,发现大家的观点不太一致的,今天和各位师傅分享一下,一起来认识一下二维码登录认证机制,看看二维码登录劫持到底是怎么回事,如何轮询劫持二维码进行钓鱼操作。(如有不足,欢迎补充) 登陆场景 看了某文后,经验证发现,市面上基本分为下面三种登录场景模式,在我理解下具体区别为关于登陆认证是否严谨。
9 天前 / 我爱计算机视觉
比赛名称: 安全 AI 挑战者计划第五期:伪造图像的对抗攻击 比赛链接: https://tianchi.aliyun.com/competition/entrance/531812/introductio 01 引言 自己真心感谢阿里能够坚持下来长期举办的安全挑战者计划系列比赛,它对于参赛选手是一个非常好的锻炼平台,不仅获取宝贵经验,而且可以进一步钻研算法,把在比赛中的一些经验和技巧转化为学术论文,工程和学术两不误。这次已经是第 5 期了,本期是伪造图像的对抗攻击,这是一个非常具有挑战性的领域。
16 天前 / xiispace
作者简介: 信息安全老骆驼,10 多年网络攻防工作经验,多年金融信息安全服务从业经历。理工直男,不擅文字,一直在信息安全行业默默无闻。 近日,由于家人一部手机被盗,自己经历一场与一伙专业老练的利用窃取个人信息盗取他人银行账户资金的犯罪团伙的持续斗争,把这个比作一场战争,显然自己败了,败得没那么惨而已。但以一己之力对抗一个分工明确、手法专业的团伙,且能在败后分析揭露对手的攻击方法、路径,虽败,犹荣。
20 天前 / 跨界架构师
这里是 Z 哥的个人公众号 每周五 11:45 按时送达 当然了,也会时不时加个餐~ 我的第「158」篇原创敬上 大家好,我是 Z 哥。 不知道大家有没有发现。如今,曝光某些知名公司信息泄露的事件频率越来越高。与之对应的,网络安全问题也越来越受到重视。 从百度指数摘录了两张图给大家分享下。 可以看到,对网络安全相关的信息和关注度在逐渐走高,特别是近几年的几次大型数据泄露等安全事件引起了不小的舆论轰动。 说实话,现在在企业做 CTO 风险还是蛮大的,万一所在的企业出现什么网络安全事件,CTO 也得承担责任。
25 天前 / ye1s
概念 php 中 mt_rand 函数可用于生成伪随机数,但是伪随机数是可被预测的。mt_rand 是通过撒播随机数种子来生成随机数的,随机数种子范围是 unsigned int,即 0 – 4294967295。mt_rand 生产的随机数在同一个句柄中,只播撒一次种子,之后生成的随机数都使用同一个种子进行生成。 所以说只要爆破到了正确的种子,即可预测生产的随机数。种子相同、PHP 版本(确切的说是 PHP 内核中 mt_rand 的代码逻辑)相同,生成的随机数都是一样的。理论上来说只要拿到了生成的随机数,我们就可以在本地进行种子的爆破。
38 天前 / xF0rk
前言网络安全攻防演习在国内已经逐渐常态化,从行业、区域(省份、地市)到部级。.. 2020 年 1 月份开始到现在可以说基本上每个月都有 1-3 场 HW,红与蓝的对抗从未停息。 红队的攻击技巧可以无穷无尽(扫描器、社工、0day、近源。..),但是对于蓝队防守来说除了演习中常规的封 IP、下线业务、看日志分析流量等“纯防守”操作以外,似乎实在是没有什么其他的防御手段了。 笔者在参与的几场攻防演习项目中担任“蓝队防守”角色,就发现了这一缺陷,似乎安全防御基础较弱的厂商再怎么充足的进行演习前准备,都只有乖乖的等待被“收割”。
44 天前 / xF0rk
作者 | 腾讯安全平台部 lake2 在进行安全体系建设工作的时候,人们往往容易看到的成果是新研发了一个安全系统,采用了一个新的技术,似乎做出一个系统采用一种技术就可以一劳永逸地解决某类问题了。可现实告诉我们那是不可能的,因为我们面临的安全威胁总是在变化,安全本身是一个动态的持续的过程,没有任何技术和系统能够覆盖完全一劳永逸,我们既需要有系统有技术,也需要对系统和技术做持续的、长期的、细致的、有效的运营,不断对系统和技术进行迭代优化,最终才能真正解决问题。
60 天前 / lmjben
Web 安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。 本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。 安全世界观安全攻防案例总结与思考安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。
68 天前 / 开发者头条
大家好,我是周刊菌。 以下内容选自第 014 期「码农周刊 VIP 会员专属邮件周报」,每周五发送(节假日顺延),自订购之日算起,全年 52 期。 「码农周刊 VIP 会员」是什么?简介版码农周刊 VIP 会员 = 全年 52 期「VIP 会员专属邮件周报」 + 只限 VIP 会员加入的交流圈子 + 大厂「内推机会」 + N 多福利 详细版 点击「阅读原文」即可查看详细介绍 加入「码农周刊 VIP 会员」,与上市公司 CTO 一起成长! 全年 52 期「VIP 会员专属邮件周报」 + 只限 VIP 会员加入的交流圈子 + 大厂「内推机会」 + N 多福利,你值得拥有!原价365 元 / 年...
68 天前 / ThoughtWorks
Apache Tomcat CVE-2020-1938 以及安全防御 2020 年 7 月 16 日 by 马伟 Leave a Comment 这是个什么漏洞最近(2020 年 2 月 20 日)Apache Tomcat 爆出一个高危的服务器文件包含漏洞(CVE-2020-1938),据国家信息安全漏洞共享平台上的漏洞描述来看,攻击者可以利用这个漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件。 这次的漏洞引起了轩然大波,漏洞被定为高危可能仅仅是因为没有比这更加高的漏洞危害等级了,我仿佛闻到了类似 PM2.5 爆表的味道。
75 天前 / xF0rk
这是酒仙桥六号部队的第36篇文章。 全文共计 3447 个字,预计阅读时长 12 分钟。 1 前言 谈到内网转发,在我们日常的渗透测试过程中经常会用到端口转发,可以利用代理脚本将内网的流量代理到本地进行访问,这样极大的方便了我们对内网进行横向渗透。 那为什么不直接通过登陆服务器来对内网中其他机器进行渗透,而是通过内网转发呢?意义何在呢? 因为。........ 大部分时候拿到权限不够,无法直接登录。 而且如果在内网服务器中进行操作,我们需要上传工具进行很多操作,如果服务器缺少对应的环境变量或者组件,会导致渗透受阻。
75 天前 / u145168
一、背景关于安全领域内漏洞的发现,技术手段非常多,工具也非常多,大致阶段可分为事前、事中、事后来处理。事前大多采用 SDL、白盒扫描等;事中、事后有 NIDS 及漏洞感知,甚至还有 WAF 来拦截恶意流量等。本文作者主要想尝试通过流量扫描的方式,去发现更多的潜在漏洞。 本文将围绕“权限问题”这类漏洞展开讨论,因为权限一旦出问题,很可能导致大规模的敏感信息泄漏,这样的后果可能比一两个跨站要严重的多。权限问题是每个公司非常重要且很难处理好的一种漏洞,这类漏洞是和业务相关性很强的一种漏洞。