-
请不要再混淆OAuth 2.0和会话管理了
所属栏目:[安全] 日期:2022-07-22 热度:56
朋友,您是否和周围许多开发人员一样,时常将OAuth 2.0(以下简称OAuth)与Web会话管理相混淆?您是否因为错误地使用协议和技术栈,而导致各种安全问题呢?本文将和您讨论何时该使用常规的会话管理解决方案,以及何时该使用某种OAuth流。 可见,会话管理通常是指[详细]
-
信息泄漏时代 如何使自己的密码更安全
所属栏目:[安全] 日期:2022-07-22 热度:155
密码的重要性,相信大家都不言而喻。而密码泄漏或信息泄漏,经常是层出不穷地出现,令人防不胜防。所以,一个强大而复杂的密码是保证自己账户安全的第一步。 为了防止信息泄漏,我们可以做些什么呢? 密码足够复杂; 每个平台密码都不一样,比如QQ,微信,邮箱[详细]
-
如何用ELK创建TB级的日志监控系统
所属栏目:[安全] 日期:2022-07-22 热度:147
本文主要介绍怎么使用 ELK Stack 帮助我们打造一个支撑起日产 TB 级的日志监控系统。 在企业级的微服务环境中,跑着成百上千个服务都算是比较小的规模了。在生产环境上,日志扮演着很重要的角色,排查异常需要日志,性能优化需要日志,业务排查需要业务等等[详细]
-
云原生安全性怎样保护无形资产
所属栏目:[安全] 日期:2022-07-22 热度:172
传统上,企业拥有许多服务器和资源。如今正在朝着更简单的现实迈进。开发人员将其工作重点放在部署业务逻辑所需的内容上,而无论其部署在何处。这就是企业在不使用服务器以及不增加IT开销的复杂管理的情况下迁移到云平台具有吸引力的原因。 随着网络功能虚拟[详细]
-
恶意软件经过虚构Black Lives Matter活动进一步传播
所属栏目:[安全] 日期:2022-07-22 热度:111
最近,一起网络钓鱼电子邮件活动正在进行。威胁者通过Black Lives Matter(黑人人权运动)匿名投票传播TrickBot恶意软件。 Trickbot.jpg 一般来说,网络安全的威胁者们通常会利用时事来诱骗人们打开他们的恶意电子邮件。 近日,网络安全组织Abuse.ch发现的一个[详细]
-
大数据传输方法说明
所属栏目:[安全] 日期:2022-07-22 热度:183
近年来,随着社会服务信息化的高速发展,在互联网、物联网、金融、物流、电磁等各方面数据都呈现指数级的增长。大数据的传输是大数据处理基本流程的重要一环,高性能的数据传输可以为后续数据分析特别是实时分析提供保障。本文简要介绍了主流的大数据传输方[详细]
-
为什么不能使用自签名SSL证书 自签名证书有哪些不好
所属栏目:[安全] 日期:2022-07-22 热度:79
有一些公司或者个人出于成本的考虑,会选择使用自签名SSL证书,即不受信任的任意机构或个人,使用工具自己签发的SSL证书。这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。一旦使用这种随意签发的、不受监督信任的证书,就[详细]
-
为创建更安全的物联网世界 我们如何面对新兴网络安全挑战
所属栏目:[安全] 日期:2022-07-20 热度:127
最近发生的事件提醒我们所有人,我们在很大程度上依赖智能连接设备来完成日常任务,完成工作并与家人和朋友保持联系。这些经验中的许多很有可能在将来继续作为我们的榜样。 我们只有信任并依靠它们来确保安全,才能充分发挥智能互联设备的全部潜力。这是需要[详细]
-
为什么在云中实现最小权限
所属栏目:[安全] 日期:2022-07-20 热度:90
根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查,云计算资源配置错误是导致组织数据泄露的主要原因。 关注权限 为了减轻与滥用云中身份有关的风险,组织正在尝试实施最小特权原则。在理想情况下,应将每个用户或应用程序限制为所需的确切权限[详细]
-
物联网将如何改变你的威胁模型 几个重要的考虑因素
所属栏目:[安全] 日期:2022-07-20 热度:114
把更多的物联网设备连接到您的网络,将增加您的攻击面,降低对潜在威胁的可见性,并需要在IT和OT(运营技术)之间进行更大规模的协调。 有哪些关于物联网的扩散控制措施? 埃森哲全球网络安全业务北美网络防御主管Robert Boyce表示,企业内部的很多物联网使用都[详细]
-
聚焦网络安全 大佬们带来了什么提案
所属栏目:[安全] 日期:2022-07-20 热度:53
互联网企业家们已然成为两会的话题之一,作为企业群体的代表,他们的发声值得关注。比如马化腾到今年为止的8年内就提出了40多个提案,周鸿祎、李彦宏等人同样是两会的老面孔。 提案分别建言: 1. 尽早构建新基建网络安全防护体系 今年以来,国家层面屡次提及[详细]
-
谈谈美国CNSS标准供应链风险管理
所属栏目:[安全] 日期:2022-07-20 热度:99
为了实现供应链成本效益和创新,美国政府依靠商业信息和通信技术(ICT)部门提供支持关键任务网络、系统和武器的组件和服务。这导致美国政府愈发依靠商业ICT供应链的可信赖性。但是,由于全球化程度的提高以及陌生、未知和不断变化的参与者在供应链中的参与,[详细]
-
三大微隔离架构有何差异
所属栏目:[安全] 日期:2022-07-20 热度:128
尽管在过去几年中企业安全架构进行了一系列改进,但有一个重要转型已经达成共识,那就是企业不能仅依靠外围边界的马其顿防线来阻止网络攻击者。通过将IT环境划分为可控的细分区间即所谓的微隔离,能有效解决未经授权的横向移动的挑战,使企业能够安全地隔离[详细]
-
新的安全漏洞让攻击者仿造出可信的蓝牙外设
所属栏目:[安全] 日期:2022-07-20 热度:128
据外媒,国外某研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。 具体地说,当攻击设备假装是一个只支持单[详细]
-
预防电子邮件钓鱼的各种套路
所属栏目:[安全] 日期:2022-07-20 热度:104
电子邮件会提示用户检查文档是否有误,如果没有回复,这笔钱将被政府用于冠状病毒疫情救灾。 附件文件 该恶意软件是一种新的名为QNodeService的Node.js恶意软件,该恶意软件由MalwareHunterTeam发现,随后由TrendMicro分析。 执行后,此JAR文件将下载Node.js[详细]
-
关于 Python 反爬虫 我有几点想讲的
所属栏目:[安全] 日期:2022-07-20 热度:124
随着大数据时代的来临,无论是个人还是企业,对于数据的需求都越来越大。这种需求也催生了如今异常热门的数据产业,也催生了日益完善的网络数据采集技术。 一、为什么要反爬虫? 在设计反爬虫系统之前,我们先来看看爬虫会给网站带来什么问题? 本质上来说,互[详细]
-
潜入影子物联网的黑暗世界 以及怎样降低风险
所属栏目:[安全] 日期:2022-07-20 热度:106
物联网的快速发展为企业和消费者带来了前所未有的好处。但是,随着新功能通过这种互联技术成为可能,新的问题也随之而来。 自物联网诞生以来,网络安全就一直困扰着它。由于许多物联网开发人员将创新放在首位,因此这一关键因素(网络安全)已经退居次要地位,[详细]
-
一文读明白HTTPS以及SSL单向验证和双向验证
所属栏目:[安全] 日期:2022-07-20 热度:54
本文主要介绍HTTPS以及SSL单向验证和双向验证。 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立安全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的安全性与完整[详细]
-
一张图告诉你为何HTTPS是安全的
所属栏目:[安全] 日期:2022-07-20 热度:76
为什么要有HTTPS 在HTTPS出现之前,所有请求都是以明文方式送出的,那么如果有人在传输途中偷听或者抓包的话,你的所有通信内容都会泄漏。 比较安全的方法是将通信内容加密在发送给对方。加密方法有两种,对称加密和非对称加密。 非对称加密 非对称加密指的[详细]
-
几种危险的密码设置盲区 不需踩雷
所属栏目:[安全] 日期:2022-07-20 热度:200
日常生活中,我们会使密码保持简单易记,便于我们快速登录后处理重要的事情。但是密码作为保护身份的数字,万一遭受泄露,带来的影响将超过它的意义。 创建的密码过于简单 如果您认为现实生活中人们对密码的选择更加谨慎,那么可悲的是您会错的。每年的统计[详细]
-
如何守护你的智能家居设备免受黑客攻击
所属栏目:[安全] 日期:2022-07-20 热度:50
随着跟着智能家居小工具和设备,例如智能灯、智能家电、智能锁、智能安全摄像头等等走进普通家庭,这些连网的智能家居就容易受到一系列的网络攻击。 连接的智能家居设备应受到一套全面的安全解决方案的保护,或者应注意以下事项: 1. 启用两步身份验证 现在[详细]
-
为啥暗网监测不是必需的
所属栏目:[安全] 日期:2022-07-20 热度:53
近年来,暗网已成为主流。过去,暗网市场的论坛、聊天室、工具等只在网络犯罪分子和黑客之间流行,主要被捍卫网络空间安全的网络执法人员、安全专业人员所熟知。 暗网不是由网站所在地定义的。虽然人们普遍认为暗网只存在于TOR网络上,但许多暗网实际都托管[详细]
-
新的安全漏洞使攻击者伪造出可信的蓝牙外设
所属栏目:[安全] 日期:2022-07-20 热度:80
据外媒AppleInsider报道,一个研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。 由于蓝牙连接通常不需要用[详细]
-
构造带有堆栈守护的指令流
所属栏目:[安全] 日期:2022-07-20 热度:84
我们在学ropgadgets与ret2syscall技术原理时,构造指令流时,是没有加堆栈保护的,比如下面的程序: 文件名:7.c 复制 #include stdio.h #include string.h #include sys/types.h #include unistd.h #include sys/syscall.h void exploit() { system(/bin/sh[详细]
-
应付勒索软件的下一个十年 备份策略成重中之重
所属栏目:[安全] 日期:2022-07-20 热度:127
勒索软件在全球范围张开了利爪。 趋势一:公共部门、医疗业及制造业将成勒索软件的头号目标 不同于绿箭 (Ryuk)和想哭 (WannaCry) 等勒索软件借助大规模攻击,以网罗大量受害者的形式坐收回报,未来我们将看到勒索软件变得更具针对性,着重攻击那些可获得最高[详细]