6 小时前 / gyreg
感激 InfoQ 的小编约稿,鞭策自己不断写作,郑重感谢黎同学。 InfoQ 文章地址: 离职期的程序员注意了,公司会对你做这些管控措施 全文约 1880 字,阅读约 5 分钟。 随着“互联网 +”逐年深化,各行各业对信息技术依赖日益显著,众多企业的 IT 系统都承载并积累了大量用户数据或个人信息。前些年,企业的信息安全风险主要集中在互联网在线业务攻击导致的数据泄露,而近些年,数据买卖猖獗,利益诱惑巨大,企业内部员工的违法违规导致数据泄露屡增不减,很多大中型企业的信息安全建设,也逐步从攻防对抗的安全防御建设...
8 天前 / 姬野
By:Kong@ 慢雾安全团队 据慢雾区消息,2021 年 07 月 17 日,DeFi 收益聚合器 PancakeBunny 在 Polygon 上的版本遭受闪电贷攻击,慢雾安全团队第一时间介入分析,并将结果分享如下。 值得注意的是本次攻击与 5 月 20 日 PancakeBunny 在币安智能链上的版本遭受的闪电贷攻击类似。此前慢雾安全团队也进行了简要分析,具体可查看:代币闪崩,差点归零 - PancakeBunny 被黑简析。 攻击细节分析 首先攻击者从 AAVE 中闪电贷借出大量的 USDC、USDT、WETH 代币,并将借来的 USDC 与 USDT 代币转入 SushiSwap 中添加流动性以获得 SLP。
10 天前 / xF0rk
文|腾讯研发安全团队 Martinzhou 腾讯蓝军 Neargle、Pass I. 背景 数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到 Chromium 组件上。 其实,早在 Microsoft 2018 年宣布 Windows 的新浏览器 Microsoft Edge 将基于 Chromium 内核进行构建之前,伴随互联网发展至今的浏览器之争其实早就已经有了定论,Chromium 已然成为现代浏览器的事实标准,市场占有率也一骑绝尘。在服务端、桌面还是移动端,甚至据传 SpaceX 火箭亦搭载了基于 Chromium 开发的控制面板。
13 天前 / Thoughtworks
源代码的安全回顾 2021 年 6 月 1 日 by 马伟 Leave a Comment 航空业以血泪换来的经验在地面和空中飞行过程中,飞行员的任务都十分繁重,需要检查很多重要的飞行参数,与此同时还要进行众多重要操作,这些操作的顺序和时机都很重要。如果有其中一项重要参数没有检查到,或者没有实施某个必要的操作,那么将对飞行安全造成严重影响。 比如说,2006 年,N600XL 号航班的飞行员因不熟悉所飞机型,误关应答机而没能发现,结果撞上了迎面飞来的巴西戈尔航空公司的 1907 号航班,前者翼梢小翼折断后成功紧急迫降...
13 天前 / 箜道
背景 近期公司的 APP 收到通信管理局,关于 APP 侵害用户权益整治专项行动中核查整改问题的通知。整改要求是 10 天内完成对有问题 APP 的整改,并提交整改情况报告。 通告中 APP 在个人信息方面主要存在以下问题: 1.未明示收集使用个人信息的目的、方式和范围; 2.未经用户同意收集使用个人信息; 3.未公开收集使用规则; 4.违反必要原则,收集与其提供服务无关的个人信息; 5.未按法律规范提供删除或更正个人信息功能或公布诉讼、举报方式等信息。
16 天前 / leveryd
背景以前挖国内 src 时的一个套路:通过"寻找管理后台 + 寻找 api 接口 + burp 验证 api 接口"来找未授权 api 找到未授权 api 后,根据 api 功能就能造成不同危害: 比如利用"重置密码接口"来重置管理员密码,然后登陆后台比如利用"查数据接口"获取数据个人觉得这个套路比较好用,原因在于: 没有攻击 payload,waf、nids 等安全设备比较难检测(虽然可能按照访问 404 频率和比例等特征封禁)"管理后台对外开放"和"api 接口未授权访问",个人感觉这两个风险在企业里很难靠"技术手段"完全杜绝大部分检测工作可以用工具完成也有不好的地方...
19 天前 / 无籽水稻研发
Go gRPC 系列: 跟我一起学 Go 系列:gRPC 安全认证机制 -SSL/TLS 认证 跟我一起学 Go 系列:gRPC 拦截器使用 跟我一起学 Go 系列:gRPC 入门必备 接上一篇继续讲 gRPC 认证,本篇内容主要是 Token 认证和自定义认证方式的使用。 说 Token 认证就不得不提 Session。做 Web 端开发的同学应该都了解 Session 和 Token 机制。 Token 校验基于 Session 的身份校验机制 Session 一般由服务端存储,用户通过用户名和密码登录之后服务端会在服务器开辟一块 Session 内存空间存入用户信息,同时服务器会在 cookie 信息中写入一个 Session_id 值...
21 天前 / xF0rk
肖力:阿里巴巴集团副总裁、阿里云安全总经理 我从事网络安全工作将近 20 年,处理过各类攻击威胁,经历了云下云上安全的建设。 云计算的安全工作从 10 年前开始,我们摸着石头过河,搭建了阿里云平台的防护体系,帮助各行业用户在云上构建企业安全能力。 云原生的出现进一步加深了我对安全的理解和思考。未来我们要实现的,也许已经不再称之安全防护,而是一套长在云里的原生“免疫系统”。 一 云下 20 年:外挂式安全 2000 年到 2020 年国内诞生了上千家安全公司,提供上百种品类的安全产品,介绍手册里对使用体验从未改变的一句描述是:即插即用。
27 天前 / xF0rk
前言 在日常网络安全运营中,调查服务器主机是否被入侵是绕不开的工作。常见的调查动作就是在主机上执行脚本,批量执行命令将基础数据拉取出来,并做一些简单的规则判断,以便快速确认主机是否已被入侵成功。 在实际工作中,被调查主机通常是生产正在运行的服务器,在调查过程中就会发现存在以下几个问题: 安全运营人员具有主机的权限不高,无法获取全面的基础信息,往往需要主机运维人员介入; 检测规则不能太复杂否则可能会因为性能问题影响正常业务; 固定的检测脚本很难应对不同的调查场景,遇到存疑入侵点而脚本又不能覆盖的...
28 天前 / xF0rk
概述 Java 作为业务建设的主流语言,广泛应用在互联网、金融等企业中,Java 社区和开发者们提供的大量开源程序也帮助提高了开发效率,所以在业务工程中经常可以看到开源程序。但近些年,开源程序陆续爆出安全漏洞,轻则影响用户体验,重则业务应用沦陷。大量的业务应用以及每天数千次的迭代,使得自动检测和治理第三方开源程序成为企业安全建设的必要一环。如何来建设这一环呢?SCA( 软件成分分析),本文将介绍 58 安全平台部在 SCA 建设中检测 Java 依赖安全风险的实践,意在抛砖引玉。
29 天前 / 姬野
By:Kong@ 慢雾安全团队 据慢雾区消息,2021 年 06 月 28 日,Polygon 上算法稳定币项目 SafeDollar 遭受闪电贷攻击,慢雾安全团队第一时间介入分析,并将结果分享如下: 攻击细节分析 Phase 1 首先攻击者提前数小时创建了一个合约,并通过 Polydex 将 MATIC 兑换成 PLX 代币。 随后攻击者通过此合约将获得的 PLX 代币存入 SafeDollar 项目的 SdoRewardPool 合约中,SdoRewardPool 合约架构参考自 SUSHI 的 MasterChef 合约,用户在 SdoRewardPool 合约中抵押指定的代币即可获得 SDO 代币奖励。
30 天前 / Android_开发者
写文章从加密到验证,全方位保障您应用的通讯安全谷歌开发者已认证的官方帐号 2 人赞同了该文章在一个完美的世界上,没有人需要用到密码。每个人都高度自律,心无邪念;每件快递都能不经拦截准确送达收件人;而每个寄件者都是值得信赖的。但是我们并不在这样完美的世界中生存。过去的数十年间,密码学已经发展到不仅可以通过加密来保障机密性,还可以确保消息的完整性、身份验证,以及不可否认性——所有的一切都是为了保证消息私密、真实和可靠。 假如您的系统已经实现了强有效的密码策略,这可能会使您认为不再需要通过生物特征来验证就是用户本人。
34 天前 / 姬野
事件背景 Eleven Finance 是在币安智能链生态系统中为高 APY 金库赋能的平台,专注于快速发展为社区平台提供动态和广泛的保险库,为用户提供优化的收益策略。 零时科技区块链安全情报平台监控到消息,北京时间 2021 年 6 月 23 日,Nerve 官方推文称 Nerve 相关的保险库 Eleven Finance 遭到闪电贷攻击,并表示 $NRV 资金安全,零时科技安全团队及时对该安全事件进行复盘分析。 事件分析 攻击信息通过初步追踪分析,攻击者创建了四个攻击合约,进行了五笔攻击交易,共盗取资金价值超 460 万美元...
36 天前 / leveryd
问题背景 16 年在房多多的时候参与开发 nids,用 bro[1]来做抓包、解包和规则引擎。 当时对 bro 解析 http 的成功率做测试,生产环境中发现差不多有 10%-20% 的 http 请求并没有解析成功。 我当时的测试思路如下: 客户端发送 http 请求,请求中带有特殊标记统计 bro http 日志中有带有标记的数量 10%-20% 的解析失败,意味着有可能有攻击行为没有检测到。因此需要提升 http 流量解析的成功率。 当时在网上也搜到一些提升抓包性能的方案,比如 pf_ring、dpdk 等。不过当时理解不了原理,最近补了一些网络方面的知识,所以就来回顾一下这个案例。