空白

设置背景图片

置顶 年度盘点 — 安全测试者偏爱的安全测试工具

年度盘点 — 安全测试者偏爱的安全测试工具
国外网站 Concise Courses 总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。 无线类 1.Metasploit(免费) 2003年,美国网络安全研究员兼开发者 Moore 启动了 Metasploit 项目,目的是创建一个开源平台,获取 Exploit 代码...

置顶 2017年网络安全大事件

1
2017年网络安全大事件
一、网络安全事件篇 1. 信息泄露创历史记录 2017年仅上半年泄露或被盗的数据(19亿条),就已经超过了2016年全年被盗数据总量,全年预计将超过50亿条。其中,仅雅虎一家就达到了30亿条。 2017年规模较大的信息泄露事件 1月份: 暗网市场知名供应商双旗(DoubleFlag...

近期更新 用css注入窃取CSRF令牌(无iFrames)

用css注入窃取CSRF令牌(无iFrames)
CSS相信大家不会陌生,在百度百科中它的解释是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。那么,它仅仅只是一种用来表示样式的语言吗?当然不是!其实早在几年前,CSS就已被安全研究人员运用于渗透测试当中。这里有一篇文章就为我们详细介绍了一种,使用属性选择器和iFrame,并通过CSS注入来...

近期更新 跨站请求伪造-CSRF防护方法

跨站请求伪造-CSRF防护方法
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。  CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web...

近期更新 全世界都对HTTPS抛出了橄榄枝,它到底有什么好?

全世界都对HTTPS抛出了橄榄枝,它到底有什么好?
整个互联网世界,正从“裸奔“向HTTPS时代转型。 淘宝、天猫在2015年完成规模巨大的数据“迁徙”,将百万计的页面从HTTP切换到HTTPS;苹果要求所有iOS Apps在2016年底全部使用HTTPS;谷歌从2017年1月开始,对任何没有妥善加密的网站,竖起“不安全”的小红旗……最近两年,越来越多企业加入到HTTPS阵营。...

CSS代码可用于收集敏感用户数据

CSS代码可用于收集敏感用户数据
随着最近对css语言的升级,css代码已经成为一个强大的工具,可以被滥用在网站上跟踪用户、从网页中提取和窃取数据,收集表单字段中输入的数据(包括密码),甚至在某些场景中甚至使用deanonymize用户。 过去一个月里,三个有趣的研究项目已经将css作为攻击载体,展示了一旦良性语言能够与用户相对抗,这就说明了这一点。 使用css跟踪...

如何在2018年的网络世界里保护自己和家人的信息安全

如何在2018年的网络世界里保护自己和家人的信息安全
随着科技的快速发展,2018年的世界可能是一个处处都接入了网络的世界,那我们怎么在这种新时代中保护自己和家人的个人数据安全呢? 在这篇文章中,我们将主要讨论如何在这个互联网无处不在的世界里保护自己和家人的个人隐私安全。我们将对现实生活中可能会泄露个人隐私的方面进行讨论,并告诉大家如何预防潜在的个人隐私泄露风险。 ...

“百度外卖”平台被非法侵入,4900万元额度被篡改

“百度外卖”平台被非法侵入,4900万元额度被篡改
“百度外卖”平台系统被非法侵入,4900余万元额度被篡改,直接消费损失30余万元。北京青年报记者1月29日上午获悉,北京市海淀区人民检察院以涉嫌盗窃罪对犯罪嫌疑人郑某批准逮捕。同时,北京市海淀检察院向新闻媒体通报,该院近日办理了一批犯罪案件,嫌疑人都是利用系统漏洞,为自己刷出天价账户余额,进而消费使用。海淀检方据海淀区检察院杨程检察官介绍,2017年1...

快讯 | 国内白帽子发现两个安卓漏洞,获得谷歌11.25万美元的奖励

快讯 | 国内白帽子发现两个安卓漏洞,获得谷歌11.25万美元的奖励
安全研究员报告了一个漏洞利用链,能够用来黑掉谷歌Pixel智能手机,为此,谷歌提供了112500美元的奖金。 2017年8月,360公司Alpha团队白帽子发现了新的漏洞利用链,上周谷歌披露了该漏洞技术细节。据悉,该白帽子是通过Android安全奖励(ASR)计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。 ...

黑客渗透的艺术—思路图全解析

黑客渗透的艺术—思路图全解析
作为公司的运维人员,特别是中大型企业,网站被攻击,网站打不开是一件再平常不过的事情了。今天我们就来说说黑客是如何入侵你的网站导致用户无法正常访问的。 目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。 个人网站比例还是很大的,这种网站多数采用开源系统。 如博客类:Wordpress、Emlog、Typecho、Z-blog、More.....
00:00 / 00:00
随机播放