位置:首页 > WEB安全

iPhone关机状态下安装恶意软件
达姆施塔特工业大学安全移动网络实验室(SEEMOO)学术研究人员发现了一种独特方法,能够在手机关机状态下加载恶意软件,感染iPhone。研究人员将在WiseSec 2022:ACM无线移动网络安全 ...

约两成App存在违规收集个人信息风险 影响超两亿用户
“要厘清数据所有权、使用权、运营权、收益权等权利,在保障国家网络和数据安全的基础上激发企业创新活力。”在5月17日召开的“推动数字经济持续健康发展”专题协商会上,数据 ...

赞比亚央行拒绝向勒索软件组织支付赎金
赞比亚央行遭到了勒索软件组织 Hive 的攻击,但它拒绝为此支付赎金。央行信息和通信技术主管 Greg Nsofu 表示核心系统正常运行,没有多少敏感数据被盗走,可能只有部分测试数据泄 ...

【安全头条】黑客采用黑吃黑 利用虚假网站骗取想要骗取钱财的人的钱
1、黑客采用黑吃黑 利用虚假网站骗取想要骗取钱财的人的钱盗亦有道的原则再次被想要黑吃黑的黑客打破,什么盗亦有道,不过是钱不够多。黑客最近开始向“目标用户”即潜在窃贼发 ...

浅析渗透测试之手动和自动的优缺点
手动渗透测试在手动渗透测试中,机器的脆弱性和风险是由渗透测试工程师或安全专家进行测试。通常,执行的方法有:1、数据收集:数据收集在测试中起着关键作用。一个人可以手动收集 ...

干货 | 全网优秀的攻防渗透工具总结
半/全自动化利用工具项目名称 项目地址 项目简介ShuiZe_0x727 https://github.com/0x727/ShuiZe_0x727 一条龙服务,只需要输入根域名即可全方位收集相关资产,并检测漏洞。 ...

分享 | 菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
前言在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面 ...

微软警告“Cryware”信息窃取恶意软件
微软警告称,针对联网加密货币钱包的新威胁正在出现,这标志着在网络攻击中使用数字硬币的情况有所不同。 这家科技巨头将这种新威胁称为“cryware”,这些攻击通过向对手控制的 ...

一网打尽!通过个人征信测试获取上万条个人信息,获利几十万元
“您好,请问需要贷款吗?无需抵押,即刻放款”每当接到这种骚扰电话时,你有没有想过是谁泄露了我们的信息?近期,深圳警方通过分析研判、集中收网,成功斩断一条利用“落地页”非法收 ...

英伟达最后一次升级Kepler GPU,修补12个漏洞
它可能已经很久了,但是Nvidia已经为开普勒架构的GPU用户发布了一个新的驱动程序。该驱动修复了12个漏洞,其中4个被归类为 "高 "严重性。然而,并没有其他值得兴奋的事情,因为没 ...

从零开始复现 DIR-815 栈溢出漏洞
前言官方的漏洞报告:https://www.cnvd.org.cn/flaw/show/CNVD-2013-11625官方的漏洞报告中只提及了DIR-645型号的hedwig.cgi中会存在缓冲区溢出的漏洞,其实D-Link的DIR-815/30 ...

Conti勒索软件团伙威胁要推翻哥斯达黎加政府
一个月前,Conti勒索软件团伙对中美洲国家哥斯达黎加的政府基础设施进行了一次网络攻击,窃取并加密了哥斯达黎加的关键数据。该次攻击影响了哥斯达黎加从财政部到劳工部的多个 ...

金融业物联网平台标准首次研讨会召开
当前,智能物联网技术(AIoT)发展日新月异,在大量行业已形成规模化落地,金融行业也是AIoT应用的重点领域,在动产抵押、融资租赁等金融场景中发挥了重要作用,金融机构也加快了物联网平 ...

中国信通院颁发数据库管理系统代码级高自研测评证书
2022年5月18日,中国信息通信研究院(以下简称“中国信通院”)颁发了首张“数据库管理系统-代码级高自研(卓越级)”测评证书。 数据库管理系统-代码级高自研(卓越级)证书目前,各行业在 ...

ATTCK-st005漏洞之漏洞分析与利用
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修 ...

严重 | VMware Workspace ONE Access等产品中存在多个安全漏洞
0x01漏洞状态漏洞细节漏洞POC漏洞EXP在野利用未知未知未知未知0x02漏洞描述Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ON ...

智能汽车曝出重大漏洞,黑客10秒开走特斯拉
据Bleeping Computer消息,NCC集团的安全研究人员近日已成功攻破特斯拉无钥匙系统,在中继通道建立起来后,整个攻击过程只需要不到10秒钟即可打开车门,并且可以无限重复攻击。研究 ...

2022年网络安全十大攻击媒介
近日,美国、加拿大、新西兰、荷兰和英国等多个国家网络安全政府机构发布联合安全公告,揭示了网络攻击者最常利用的十大攻击媒介。公告还提供了缓解这些经常被利用的弱安全控制 ...

企业加强客户隐私数据保护的12条建议
收集客户数据可以帮助企业改进产品和服务。然而,当消费者发现他们的数据被大量泄漏并被用于非法牟利活动时,就会变得越来越谨慎,不再愿意将个人隐私数据提交给企业。企业只有制 ...

海运网络安全:脆弱的海运供应链对全球经济的威胁
在某个阶段,大约90%到95%的所有运输货物都是通过海上运输的。这使得全球海运业成为世界上最大和最重要的单一供应链。针对海上供应链的成功网络攻击将有可能损害个别公司、 ...

金融机构有效开展API安全建设的需求与实践
随着金融行业数字化转型的深入,三类API漏洞在金融机构的离柜交易、移动支付、线上服务等业务中变得越来越高频多元。API作为驱动开放共享的核心能力,已深度应用于金融行业;与 ...

网络安全超越云计算成最热门IT技能
根据DevOps研究所最新发布的报告《提升IT技能2022》,网络安全在热门IT技能榜中的排名大幅提升至榜首,92%的受访企业IT技术人员认为网络安全技能是他们团队最重要的技术能力,他 ...

浅析xml之xinclude xslt
前言最近依旧在研究xml及其相关安全问题,前一篇文章已经提及了较为大众且CTF中常见的xml攻击方式https://www.anquanke.com/post/id/155328
这里再提两个较为小众的攻击方式( ...

朝鲜黑客冒充自由职业者从内部打入公司
1、朝鲜黑客冒充自由职业者从内部打入公司美国政府警告科技公司,朝鲜正派遣大量黑客冒充自由职业者应聘科技公司,充当内鬼以图谋不轨。美国国务院、美国财政部和联邦调查局联 ...

实践中的越权漏洞总结
前言从狭义上讲越权访问,是攻击者在获得低权限用户的账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。这类漏洞往往很难通过工具进行自动化检测 ...