• Petya勒索蠕虫完全分析报告

     发表于 1 个月 前

    2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、...

  • 从Google白皮书看企业安全最佳实践

     发表于 4 个月 前

    此前Google在安全领域披露的信息一直很少,适逢其大力发展云计算业务,需要展示云安全方面的实力,才有了这份白皮书。它从系统的角度描述了自己安全体系的设计与实现,对广大互联网、云计...

  • 做好BYOD安全 必须保证“7个要务”

     发表于 5 个月 前

    移动性对公司成功非常重要,但挑战在于,能否保证所有数据的安全。...

  • 绝对不应错过的五大开源安全工具

     发表于 5 个月 前

    无论你要防止源代码中的信息泄露,还是要寻找恶意文件、阻止恶意进程、保证端点安全,这几个好用的开源工具都能助你一臂之力。...

  • 如何找到SQL注入中的盐

     发表于 7 个月 前

    很多人说 Web 应用渗透测试是一个应用已有工具和方法的已知区域,但其实每个项目都会遇到一些新的技术和令人感兴趣的新场景,这些挑战令人兴奋。...

  • 国内首个CTFcrack框架开发流程

     发表于 7 个月 前

    集成摩斯电码,凯撒密码,栅栏密码,Rot13密码以及各种编码互换等CTF中常见密码加解 旨在于帮助CTFer攻克CTF中crypto类、Image、zip难关 本程序支持Pyt...

  • 800 万 GitHub 的用户信息是如何从 GeekedIn 的 MongoDB 中泄露的

     发表于 8 个月 前

    首先,我们在文章的开篇对此事做一个清晰的说明:该事件并不代表GitHub的任何安全漏洞,仅仅是由于其他服务对GitHub网站数据的不恰当的抓取,无意中暴露出另一个服务的漏洞。我的数...

  • SpingMVC 核心技术帮助文档

     发表于 9 个月 前

    本篇文档主要是用于参考帮助文档,没有实例,但几乎包含了SpringMVC 4.2版本的所有核心技术...

  • 常见的用户密码加密方式以及破解方法

     发表于 10 个月 前

    作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码...

  • SSL/TLS 协议运行机制的概述

     发表于 11 个月 前

    本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。...

  • 逆向工程分析:摩托罗拉安全摄像头究竟有多不安全?

     发表于 1 年 前

    设计智能设备的,我们还是建议首先要建立起全面的安全准则,比如说输入验证、边界检查、访问控制与认证等。加密通讯的确是有意义的,但如果密钥本身就不安全,那么一切都是白费的。密钥这种东西...

  • Spring Boot中使用Spring Security进行安全控制

     发表于 1 年 前

    我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现...

  • OpenSSL CVE-2016-2107 漏洞分析

     发表于 1 年 前

    by au2o3t @ 360信息安全部-云安全团队(Qihoo360 Cloud Security Team)...

  • Imagetragick(CVE-2016-3714)漏洞分析

     发表于 1 年 前

    对于CVE-2016-3714这个黑魔法漏洞,虽说看着面上也能看明白这个东西怎么回事,有时候还是走进源码会比较清晰一点,所以这稿子的内容大致是笔者的一个调试过程。...

  • 安全专业人士最爱的19个GitHub开源项目

     发表于 1 年 前

    GitHub上有许多开源项目可供安全专业人士选择,而且每天都有新的项目出现。不妨将这些项目添加到你的工具库,让你工作起来更得心应手。 ...

  • 渗透Facebook的思路与发现

     发表于 1 年 前

    身为一位渗透测试人员,比起 Client Side 的弱点我更喜欢 Server Side 的攻击,能够直接的控制服务器、获得权限操作 SHELL 才爽 <( ̄︶ ̄)>...

  • 浅谈三种最常规的HTTPS流量解密方法及原理

     发表于 1 年 前

    Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全壁垒土崩瓦解。拿 HTTPS 来说,它的「内容加密、数据完整性、身份认证」三大安全保证,也会受到 非法根证书 、 服务端配...

  • [译] Martin Fowler - Web 应用安全基础

     发表于 1 年 前

    现代的软件开发者已经有点像瑞士军刀了,首先,你需要来保证完成用户的功能或者业务需求,并且要保证又快又好地完成。其次,你希望你的代码能够拥有充分的可理解性或者可扩展性:能够随着IT需...

  • OWASP Top 10(2013) 第三篇 之 A6 – 敏感信息泄露

     发表于 1 年 前

    Web应用程序一般是搭载在Web服务器,使用Web浏览器通过Internet可以进行远程访问,访问过程中的数据跨越信任边界,一旦保护不当就会被窃取,特别是敏感数据一旦被攻击者获取,...