2022年04月06日
本文转载自微信公众号“前端先锋”(jingchengyideng)。Web 安全已经是 了Web 开发中一个重要的组成部分,而许多程序猿往往希望专注于程序的实现,而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题,等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全,甚至努力成为白帽黑客。常见 Web 信息安全一般来说 Web 安全需要三个安全要素: &n
2022年04月06日
2020年是特殊的一年。受全球疫情影响,世界已经转变为数字化优先模式,这也要求安全团队跟上潮流,快速调整。同时,不断变化的攻击面和复杂的数字生态系统也给安全团队带来了新的挑战。在过去的一年里,白帽子尽了最大努力帮助医疗服务业,从支持企业完成紧急数字化转型到投入大量时间。全球知名漏洞众测平台HackerOne2020年白帽黑客提供调查报告。报告显示,在疫情流行的背景下,白帽与安全团队形成了友好的共生伙伴关系,专业知识多样强大。报告显示,2020年HackerOne共有100多万白帽黑客发放了400
2022年04月06日
当企业CISO当安全团队在2021年及以后制定防御策略时,高级持续威胁(APT)这是一个重要的讨论部分,因为这种威胁比过去带来了更高的风险。现在有很多APT团伙,例如Cozy Bear或APT29、Dynamite Panda或者说APT18,这些团伙来自俄罗斯、伊朗等国家,旨在实现间谍活动、盗窃知识产权或破坏基础设施等具有国家意义的政治目标。APT共同点是他们有无限的资源。他们可以无限期地获得专业技能、技术、情报和资金,使他们的攻击更加复杂、难以检测和可持续。考虑到这种情况,我们能安全地假
2022年04月06日
本文转载自微信公众号“数世咨询”(dwconcn)。新冠肺炎疫情削减了大量融资交易,但网络安全初创企业的情况比其他许多行业更加乐观。1. DataTribe根据最近的报告,2020年美国各行各业的风险投资交易大幅萎缩。种子阶段(公司只是产品或服务的创意)的交易量急剧下降39.7%,A交易量下降32%(公司首个重要风险投资融资轮)。与整体趋势相反,网络安全行业的风险投资仍相对活跃。DataTribe发现,尽管过去两年来网络安全交易量有所下滑,但这些回落都发生在疫情开始前,2
2022年04月06日
近几周来,微软检测到多个利用0 day利用漏洞攻击微软Exchange 服务器攻击活动。其中,使用微软Exchange服务器中的ProxyLogon漏洞,CVE编号为CVE-2021-26855,攻击者可以绕过认证,冒充其他用户。在攻击活动中,攻击者利用漏洞攻击Exchange 服务器,访问电子邮件账户,安装其他恶意软件,实现对受害者环境的长期访问。ProxyLogon漏洞概述3月2日,Volexity 公开宣布检测多种用途ProxyLogon漏洞来攻击Exchange 服务器的案例可以追
2022年04月06日
僵尸网络TrickBot和Emotet它是网络犯罪分子攻击最常用的初始访问入口,也是大多数勒索软件的主流交付平台。它们与硅谷初创公司相当“创新”速度和技术迭代非常快。多年来,企业安全部门和网络安全公司一直疲惫不堪,束手无策。然而,随着今年1月全球执法部门的一系列强有力的联合行动Emotet恶意软件列表的排名在基础设施之后发生了很大的变化。恶意软件之王根据Check Piont2月份恶意软件之王发布的最新威胁报告——Emotet但在全球范围内被摧毁
2022年04月06日
最近,美国安全摄像头公司Verkada确认被大规模黑客攻击。来自特斯拉和Cloudflare其他机构的实时视频源,以及各种其他机构Verkada受办公室、仓库、工厂监狱、精神病院、银行和学校等影响的地方很多。值得注意的是,在这次事件中,黑客可以通过制造商预留的维护后门,以超级管理员的身份登录用户摄像头并执行任何操作Shell指令。这意味着在过去的几年里,制造商可以在用户不知情的情况下随时通过后门执行任何动作。在IoT如今,设备几乎无处不在,每一个安全问题都可能构成各个方面的威胁。因为设备可能在普
2022年04月06日
本文转载自微信公众号“数世咨询”(dwconcn)。高漏洞赏金引人注目,但并未缓解应用安全缺陷。Zoom最近,众包安全项目发放的漏洞赏金单价提高到最高5万美元。高赏金已成为媒体头条新闻,吸引安全人才投资挖洞和欣赏,但也提出了一个问题:漏洞值多少钱?前渗透测试员和Bugcrowd Top10研究员,CDL现任首席信息安全官Alex Haynes与您分享他对漏洞价值几何的看法。几年前,Zoom当众包安全项目刚刚成立时,我在Zoom在产品中发现了几个漏洞。其之前发现了三个漏
2022年04月06日
攻击者正伪装成Google包含木马程序的报警传播Adobe Flash Player如果用户在不知情的情况下点击更新程序,则将有害程序注入受害者的设备。攻击者用包含热门关键词的标题创建虚假的安全警报,包括Google搜索然后索引流行的关键字。一旦被索引,Google警报会提醒关注这些关键词的用户。如下所示,当使用Google访问伪造的安全警报时,访问者将被重定向攻击者设计的恶意站点。伪造的Google安全警示示例链接但是,如果用户直接访问这些伪造URL,该网站将声明该页面不存在。直接访问URL
2022年04月06日
组织需要很多安全技能,而且还在增加。专家表示,网络攻击的发展正在促进安全技能的需求。Netflix公司DVD业务安全负责人,美国信息系统安全协会(ISSA)旧金山分会会长Jimmy Sanders他说,该公司网络安全方面有很多工作要做,所以他希望领导的安全团队能够处理未来的许多任务,从促进零信任安全战略到保护其云服务部署,再到部署机器学习解决方案。安全团队成员必须能够随着业务需求、技术和安全风险的变化,快速调整和升级技能。实际上,Sanders认为“适应变化”它是202