商用密碼應用安全性評估
- 商用密碼應用安全性評估對規范密碼應用和保障信息系統安全具有重大意義。第十條規定“關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次,測評機構可將商用密碼應用安全性評估與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同步進行”。
CNCERT國家工程研究中心
數字證書
應用層
抓包
網絡安全
通信
OpenAI遭FTC正式調查:生成虛假信息帶來危害
- 莉娜·汗在當地時間周四在國會出席作證時,曾對AI表示擔憂,稱執法者“需要盡早警惕”AI等變革性工具。當地時間周四,他在推特上表示,OpenAI技術的安全性“非常重要”。OpenAI已經面臨國際監管壓力。今年3月,意大利數據保護機構禁止了ChatGPT,稱OpenAI非法收集用戶的個人數據,并且沒有適當的年齡驗證系統來防止未成年人接觸非法信息。OpenAI在4月恢復了對該系統的訪問,并表示已按照意大利監管部門的要求進行了更改。
信息安全與通信保密雜志社
ftc
openai
科技新聞
一種基于格密碼的區塊鏈數據隱私保護方案
- 通過實驗測試了鏈上執行效果,并驗證了該方案在隱私數據保護方面的有效性,以及在密鑰共享方面的安全性。確保隱私數據安全最好的方法就是對隱私數據進行加密處理,而目前大多數的區塊鏈平臺都不具備加密用戶數據的功能 。1985 年塔希爾提出了 ElGamal 加密算法 ,該加密算法基于離散對數難題。2005 年,Regev首次提出了容錯學習問題。此外,Shamir 首次提出了通過門限完整恢復密鑰的方法,但是在該方案中,如果密鑰分發方故意分發
商密君
區塊鏈
隱私保護
信息安全
量子計算
密碼學
windows應急響應常見檢查點
- 2)命令:services.msc3)檢查方法:對windows系統常規服務進行了解,識別病毒經常創建服務的命名規則,例如:“xxxUpdate”帶有這類關鍵字。2)命令:netstat -ano3)檢查方法:輸入命令檢查是否存在外部可疑IP處于“ESTABLISTHED”狀態。組策略提供了操作系統、應用程序和活動目錄中用戶設置的集中化管理和配置。
系統安全運維
命令模式
組策略
審計方法
冰蝎WebShell免殺生成(附下載)
- 本工具僅限授權安全測試使用,禁止非法攻擊未授權站點??免殺測試騰訊電腦管家:開始時間:2022-5-27 23:40:48掃描用時:00:00:06掃描類型:指定位置殺毒掃描引擎:管家云查殺引擎 管家系統反病毒引擎 管家系統修復引擎 Bitdefender本地查殺引擎 掃描狀態:掃描完成
系統安全運維
免殺
webshell
KuCoin用戶信息泄露:一次百萬美元賞金的背后故事
- KuCoin的秘密:揭示百萬美元賞金背后的用戶信息泄露近期,KuCoin加密貨幣交易平臺在一個名為HackenProof的漏洞賞金平臺上,宣布提供高達100萬美元的賞金。黑客小黑在對KuCoin進行探索時,發現了一個重要的問題:KuCoin似乎在使用Zendesk API進行反向代理。在進一步的探索中,黑客小黑發現KuCoin的Zendesk API可以訪問所有Zendesk的API請求,包括敏感的用戶信息。例如,他可以訪問Zendesk的票據端點,列出和搜索支持票據。Zendesk API的分頁功能使得這一切變得更加簡單。已注冊庫幣賬戶。
一顆小胡椒
zendesk
api
https
利用CE的DBK驅動獲取R0權限
- CE的DBK驅動提供了一些很直接的IOCTL接口,包括在分配內核中的非分頁內存、執行內核代碼、讀寫任意內存地址、建立mdl映射等,下面展示了DBK驅動通過IOCTL接口提供功能的部分源碼。
看雪學苑
權限
一款挖掘xss漏洞的工具
- xsshelp閑著沒事隨便寫的一個輔助挖掘xss漏洞的工具xsshelp version: 1.0.0Usage: [-ut] [-u url] [-t thread] [-h help]Options: -h this help -t intthread Num -u string a target url
HACK之道
xss
漏洞挖掘
https
漏洞
vulnhub之CengBox的實踐
- 今天實踐的是vulnhub的CengBox鏡像,下載地址,https://download.vulnhub.com/cengbox/CengBox.ova,無法用workstation導入,用virtualbox導入成功,做地址掃描,sudo netdiscover -r 192.168.0.0/24,獲取到靶機地址192.168.0.185,繼續進行端口掃描,sudo nmap -sS -sV
云計算和網絡安全技術實踐
shell
破解密碼的8種典型手段與防護建議
- 之所以稱之為“字典攻擊”是因為它會自動對已定義的“字典”中的每個單詞進行密碼測試。研究發現,目前惡意郵件附件的數量很高,卡巴斯基僅在2021年就攔截了超過1.48億個惡意附件。此外,卡巴斯基的反網絡釣魚系統還攔截了另外2.53億個網絡釣魚鏈接。同時,還應該避免發布個人信息,以免日后被攻擊者用來欺騙。爬行就是從這些來源收集信息以提供單詞列表,隨后用于執行字典攻擊和暴力破解。
系統安全運維
網絡安全
網絡釣魚
哈希
推薦|一款高級網絡釣魚攻擊框架
- Evilginx2介紹 evilginx2是一個中間人攻擊框架,用于網絡釣魚登錄憑據以及會話cookie,從而允許繞過雙因素身份驗證保護。Evilginx2用途聲明我非常清楚Evilginx2可以用于惡意目的。防御者有責任考慮此類攻擊并找到保護其用戶免受此類網絡釣魚攻擊的方法。Evilginx只能在合法滲透測試任務中使用,并且必須得到被破壞方的書面許可。需要一個外部服務器,在其中托管evilginx2安裝。
系統安全運維
釣魚
戶外運動
Xray 漏洞掃描工具使用方法
- 主動掃描是 xray 通過爬蟲模擬用戶點擊操作進行掃描。????命令# .\xray_windows_amd64.exe webscan --basic-crawler http://192.168.0.8/DVWA-master/ --html-output DVWA.html?打開bp 點擊 測試點進行被動掃描點擊測試點 輸入任意數據 submit xray會自動探測并顯示結果在生成的DVWA2.html文件中也能找到vuln記錄
系統安全運維
漏洞掃描
dvwa
實戰 | 某SaaS平臺的一次滲透測試
- 以上功能點均存在類似的通過修改請求方式的CSRF漏洞。字段來驗證請求的主動性。AddTime參數能控制前臺顯示的時間,但是時間格式有嚴格限制,無法實現存儲型XSS。經測試,該處存在CSRF可以通過此種方式替他人創建文章分類。
系統安全運維
xss
csrf
滲透測試
功能測試
漏洞
一次簡單的支付漏洞挖掘,錢包充值0元購
- XYZ 允許用戶通過借記卡和 Paypal 為錢包充值。用戶還可以選擇將余額提取到他的銀行帳戶或paypal。如果通過請求發送負的金額,則該金額將添加到我們的電子錢包中并可以在平臺上花費。開發人員應用了相同的修復程序。
一顆小胡椒
漏洞挖掘
漏洞
美國發布國家網絡安全戰略實施計劃:69條舉措 明年滾動更新
- 明年滾動更新Kemba Walden表示,計劃中的一些舉措已經完成,包括提交擬議法規正式成立網絡安全審查委員會并授予其法定權限。Kemba Walden將該計劃描述為一份“活的文件”,表示它將隨著威脅形勢的變化和已完成舉措引發的新行動需求而不斷演變。Kemba Walden強調,該計劃將改善政府應對具體事件的能力,例如最近外國黑客利用微軟云郵件服務漏洞獲取美國和歐洲政府工作人員賬戶一事。最近,大西洋理事會發布最新報告,呼吁采取行動更好地保護云基礎設施。
安全內參
網絡安全
因網絡安全事件,中信證券及3名技術高管收警示函
- 深圳證監局進一步指出,中信證券應于3個月內完成上述整改工作,并向我局報送整改報告。深圳證監局進一步指出,“依據相關規定,我局決定對其采取出具警示函的行政監管措施。”證監會和西藏證監局隨后均對該事件表示關注。而招商證券2022年5月16日的網絡安全事件,令招商證券及三名責任人員收到了證監會警示函。
安全內參
中信集團
網絡安全
信息安全
招商證券
深圳證監局
