网联车辆 | 英国信息专员办公室(ICO)就个人数据保护的立场和意见 云安全

网联车辆 | 英国信息专员办公室(ICO)就个人数据保护的立场和意见

编者按5月12日,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(以下简称“若干规定”),并向社会公开征求意见。公号君将撰写系列文章对该若干规定做出分析,并尝试提出建议,在此分享供大家参考。本系列已经发表的文章如下:《汽车数据安全管理若干规定(征求意见稿)》 | 规范对象和基本原则《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息和重要数据的细化规范《汽车数据安全管理若干规定(征求意见稿)》 | 数据出境和监管手段《汽车数据安全管理若干规定(征求意见稿)》 | 配套制度《汽车数据安全管理若干规定(征求意见稿)》 | “汽车数据”与EDPB指南中的联网车辆《汽车数据安全管理若干规定(征求意见稿)》 | “车内处理”与EDPB指南中“终端设备”《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息的分类分级规则《汽车数据安全管理若干规定(征求意见稿)》 | 向车外提供数据的规则此外,EDPB发布了《车联网个人数据保护指南》,见:EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)接下来,公号君将围绕着网联车辆(包括自动驾驶车辆)的安全问题不定期撰写分析文章,供大家参考和批评指正,已分享的文章包括:网联车辆 | 网联车辆采集和产生的数据类型概览网联车辆 | 美国联邦贸易委员会(FTC)对数据隐私的原则性观点网联车辆 | 德国官方和行业协会在数据保护方面的联合声明本篇关注英国信息专员办公室(ICO) 对法律委员会和苏格兰法律委员会题为“自动车辆:咨询文件3——自动驾驶车辆的监管框架”的联合咨询的回应。本文译者为智能科技风险法律防控工信部重点实验室(北京理工大学)研究员王磊。导 读ICO是英国为维护公共利益而设立的独立机构,旨在促进公共机构的开放和个人的数据隐私。在其给英国法律委员会和苏格兰法律委员会对于“自动驾驶车辆的监管框架”的咨询的答复意见中,首先对当前自动驾驶车辆的总体立法情况进行了介绍,认为应当参考电子隐私指令(“ePD”)、电子通信条例(PECR)、欧盟委员会提出的电子隐私条例、2018年的数据保护法(“GDPR”)等法律法规;接着指出了对个人数据尤其是特殊类别数据界定的重要性和意义、对匿名化技术的法律合规要求、个人作为个人数据隐私信息所有者所享有的知情权等数据主体的权利、“数据最小化”原则、位置数据的定义及其记录要求、向保险公司披露个人数据的原则与限度、数据保留的期限、数据保护影响评估制度等等对自动驾驶车辆进行监管时应当特别注意的事项,并再次强调了采用设计和默认的数据保护方法对于确保数据处理最小化的重要性,同时建议及时将良好实践纳入行业行为准则。ICO表示,政府在后续进行与个人数据处理相关的法律或政策的制定过程中,还可以正式地咨询ICO。数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)“美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)“108号公约”全文翻译(DPO沙龙出品)美国司法部“云法案”白皮书全文翻译(DPO社群出品)新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)“FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)FTC与Facebook“2019和解令”全文翻译(DPO社群出品)英国ICO《数据共享行为守则》中译文(DPO社群出品)“hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)新版《个人信息安全规范》(35273-2020)正式发布英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之二《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?西班牙数据保护局《默认数据保护指南》全文翻译(DPO社群出品)DPO线下沙龙的实录见:数据保护官(DPO)沙龙第一期纪实第二期数据保护官沙龙纪实:个人信息安全影响评估指南 第三期数据保护官沙龙纪实:数据出境安全评估第四期数据保护官沙龙纪实:网络爬虫的法律规制第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论数据保护官(DPO)沙龙走进燕园系列活动第一期第六期数据保护官沙龙纪实:2018年隐私条款评审工作第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势与欧美一流数据保护专家面对面(DPO沙龙特别活动)第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径第十八期DPO沙龙纪实:生物识别信息的安全保护第十九期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之一第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二美国电信行业涉及外国参与的安全审查系列文美国电信行业涉及外国参与的安全审查(一):基本制度介绍美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令中国的网络安全审查系列文章:网络安全审查制度利刃出鞘对《网络安全审查办法(征求意见稿)》的几点观察网络安全审查制度吹响了向网络安全强国迈进的号角我国网络安全审查制度走向前台网络安全审查的中欧比较:以5G为例网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例自动驾驶系列文章:自动驾驶数据共享:效用与障碍自动驾驶数据共享:效用与障碍(附文字实录)北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)数据安全法系列文章:对《数据安全法》的理解和认识 | 立法思路对《数据安全法》的理解和认识 | 数据分级分类对《数据安全法》的理解和认识 | 中国版的封阻法令对《数据安全法》的理解和认识 | 重要数据如何保护个人数据与域外国家安全审查系列文章个人数据与域外国家安全审查初探(一):美欧概览个人数据与域外国家安全审查初探(二):CFIUS实施条例详解个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)美国司法部“中国计划”的概况介绍突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑《国际紧急经济权力法》(IEEPA)的起源、演变和应用个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议(全文翻译)外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器?围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式外媒编译 | TikTok 零点时间:最后一刻的交易TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复第29条工作组/EDPB关于GDPR的指导意见的翻译:第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)EDPB | 《GDPR下数据控制者及数据处理者概念的指南(07/2020)》全文翻译EDPB | 《针对向社交媒体用户定向服务的指南(第8/2020号)》全文翻译数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引关于美国出口管制制度,本公号发表过系列文章:美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则美国出口管制制度系列文章之二:适用EAR的步骤美国出口管制制度系列文章之三:苏联油气管道的“华为”事件美国出口管制制度 | 允许华为和美国公司共同制定5G标准美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈美国出口管制 | ARM+美国公司收购=更强的出口管制?供应链安全文章:供应链安全 |...
阅读全文
MacBook 个人渗透环境配置 安全闲碎

MacBook 个人渗透环境配置

    因为一些事情及身体原因吧,不再更新公众号了,本篇文章为最后一片文章,手里的其他公众号也会相继断更注销,但是我还是会继续从事信息安全行业。    关于割韭菜一说其实我不是很赞同,我觉得没有韭菜也没有割韭菜这个东西,有的只是一群自己做不到看着别人能做到所以自己心里不平衡的柠檬精们心理安慰罢了。    依稀记得某人在19年的时候喷我说“阿浪自己写了个靶场弄了个公众号搞星球啊?还收费?还搞培训?不过是割韭菜罢了。”然后今年就看到此大佬也搞培训,也搞星球~而且价格还不菲~(真香)其实做自己想做的事情做自己喜欢做的事就好,有缘再会吧。系统基础环境搭建安装常用工具QQ直接在AppStore进行下载安装即可,开车扯犊子用.微信直接在AppStore进行下载安装即可,花钱潜水摸鱼用.微信小助手在终端内使用以下命令即可安装成功!sudo rm -r -f WeChatExtension-ForMac && git clone --depth=1 https://github.com/MustangYM/WeChatExtension-ForMac && cd WeChatExtension-ForMac/WeChatExtension/Rely && ./Install.sh && cd ~回车后输入Mac开机密码,然后会提示让你安装Git(你电脑如果没装的话根据提示安装即可),安装正常来说很快,但是不排除网络很差...比如我!等待安装成功后启动微信即可在菜单看到“微信小助手”网易云音乐直接在AppStore进行下载安装即可,一边渗透一边听歌岂不乐哉?WPS直接在AppStore进行下载安装即可,不建议安装不然你就能看到公司发给你的文档了!TerMius直接在AppStore进行下载安装即可,SSH、SFTP连接工具。自动切换输入法、超级右键直接在AppStore进行下载安装即可,懒人必备。XCODE直接在AppStore进行下载安装即可,必备。Parallels直接在AppStore进行下载安装即可,Mac虚拟机程序,牛逼就完事了!Jump Desktop直接在AppStore进行下载安装即可,RDP连接工具。IpIc直接在AppStore进行下载安装即可,Markdown图床工具。One Markdown直接在AppStore进行下载安装即可,Markdown编辑器。Google Chrome渗透必备浏览器,官网:https://www.google.cn/intl/zh-CN/chrome/Visualstudio看个人喜好吧,我比较喜欢用这个,官网:https://code.visualstudio.com/ClashX机场自己找,这里就不多说了~ 下载地址:https://github.com/yichengchen/clashX/releases 下载下来后安装,然后打开后在菜单栏可以看到这个图标点击后配置订阅地址添加订阅地址然后就Ok啦~终端环境配置终端美化该说不说自带的终端界面真的丑到爆了!在网上找了很多的美化教程但是感觉不如人意,所以把我自己研究的方法写出来。使用终端代理进行安装“zsh”:sh -c "$(curl -fsSL https://raw.githubusercontent.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"安装完成后点击菜单栏左上角 终端-偏好设置,然后根据下图设置:设置完成后重新打开终端就是这个样子的:然后安装powerlevel10k:git clone https://github.com/romkatv/powerlevel10k.git $ZSH_CUSTOM/themes/powerlevel10kset ZSH_THEME=powerlevel10k/powerlevel10k in your ~/.zshrc.完成后重新打开终端发现乱码:这个时候我们去安装字体即可:https://www.nerdfonts.com/font-downloads 找到这个点击Download 下载即可下载后解压出来,然后安装 “Hack Bold Nerd Font Complete Mono” 字体。安装字体完成后设置一下终端的字体即可。重新打开终端我的插件列表,建议百度搜索名字查看使用方法!plugins=( git zsh-autosuggestions extract hitokoto zsh_reload z safe-paste colored-man-pages sudo zsh-syntax-highlighting)渗透测试环境Brew安装 /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"如果无法安装包错的话请挂梯子即可。Python3安装一条命令足以 brew install python3Burp2.1汉化破解版下载链接: https://pan.baidu.com/s/1qmMdjZiixcKRnhJT7KQI7w 密码: 5sij Java Jdk:https://www.oracle.com/java/technologies/javase-jdk16-downloads.html使用教程:windows请直接执行vbs即可使用,不需要下载JDK MAC/linux用户请下载对应系统的jdk安装包进行安装,安装后执行:java--illegal-access=permit-Dfile.encoding=utf-8-javaagent:BurpSuiteCnV2.0.jar-noverify-jar burpsuite_pro_v2021.4.jarSqlMap安装一条命令足以 brew install sqlmapNmap安装一条命令足以 brew install nmapCobaltstrike安装下载链接: https://pan.baidu.com/s/1XGTQAvllcmyAPD6RXotlMA 密码: 3kfgjava-Dfile.encoding=UTF-8-javaagent:CobaltStrikeCN.jar-XX:ParallelGCThreads=4-XX:+AggressiveHeap-XX:+UseParallelGC-jar cobaltstrike.jarVulMap安装git clone https://github.com/zhzyker/vulmap.git && cd vulmap && pip3 install -r requirements.txtGoby安装下载地址:https://gobies.org/ 启动就可以了其他的我也不知道安装点什么了最后附一张摸鱼的时候画的一个壁纸叭~ 本文始发于微信公众号(云剑侠心):MacBook 个人渗透环境配置
阅读全文
个人修炼内功心法之网站渗透(1) 安全文章

个人修炼内功心法之网站渗透(1)

内功心法1:诱惑性试探或者刺激目标站。对于网站(以下简称·站·),我们可以把他假想成一个人(以下简称‘人’),我们可以从他的外观看出这个人的品位,可以通过和他的(试探性)交流去了解这个人。人漂亮,华丽一般会给人近而生畏的感觉,感觉这个人背景强大,谈吐交流中会有所顾忌,同样站也是。当你从小道消息了解一个人品质的瑕疵的时候,你可能会有几分妄自得意,这好比你通过sql注入拿到站的数据库root/sa密码。当你试图要拿捏住一个人把柄或者彻底了解他人性的时候,我有一种思路:拿钱试(现实中这么干过,彻底看透一个相处了好几年舍友的哥们)。当你要测试一个站的时候,拿到root/sa密码,在数据库后台找到admin密码,你可能需要去在浏览器输入一些具有诱惑性的地址,例如http://www.aaa.com/admin/main.asp http://www.bbb.com/manager/left.jsp通常网站他都会对session做了校验,这个时候你以一个非法的session访问后台,就会诱使他给你跳转,一般代码是window.location.href='admin/login.asp',response.sendRedirect("/manager/login.do");如此便达到诱惑程序,自动把后台跳出来给你。当以上无效的时候,你可能有急着试试往网站写shell的冲动,这时候,你可能会手工试验,在浏览器地址后面输入一些无效的url,例如http://www.aaa.com/ajjakdahj.jsp 咔咔咔,突然报错 Apache Tomcat/5.5.17 - Error report,爆出tomcat版本,这时你可以去找相关exp了或者http://www.bbb.com/asdka.ashx这时候突然404爆出源代码路径 c:web 以及Filter之类字样的。当然,以上都爆不出,你就得对他进行轰炸性的压力测试,例如拿出awvs对网站进行刺激。这好比对一个人的承受能力进行压力测试,一个成熟的站好比一个成熟的人,需要很久或者很大强度的刺激测试,才能套出你想要的东西。站也是,这个工具有那么几次帮我爆出路径来,在windows下,成功导出过shell。内功心法2:对人类惰性的利用本人经常听说社工,社工很牛逼。个人感觉想社工学的厉害点,不妨学学卡耐基的人类的优点与人类的缺点,以前别人送给这两本书给我,基本是一个洗脑的书,但是如今回头想一想,自己都知道他是洗脑的书,何不把作者书中的洗脑内容收入囊中作为己用。我的意思就是在看过这些书以后懂得人性的优缺点加以利用。说起人性的缺点,不得不说大家都有惰性,例如上线后,很多测试数据没删除。这些数据通常出现在用户表,或者日志表里面。自己遇到过这样的一个情形,在内网测试后,日志表记录了登录ip,ip地址是172.126.9.30,然后客户需要看这个项目,把它放到外网,于是日志表里多出了一个外网地址2.2.2.2。要知道,程序员在上线前都会在公共环境(一般是外网)测试,这个时候,在172.126.9.30后面出现在日志里的2.2.2.2很可能就是他办公环境或者经常上线的ip,这个ip可能是电信拨号的,也可能是固定ip。但是起码这个ip能反映出某一段时间他出现的地方,当你拿到网站服务器,想进内网,却怎么也找不到线索时,拿到这个ip去分析吧。我曾经用这种思路,找到别人的办公段ip,虽然他只买了这一个ip,他却用作svn服务器,然后你懂的。还有就是用户表,程序员在测试后建出一些帐号,通常在前几十条,或者十来条或者几百条。这些测试帐号在创建时间上一般对于正式的数据具有一些明显的区别。例如一个项目开发阶段2年,期间包括内测。内测帐号要不是断断续续的建立起来,或者一次性开了n个帐号。 上线后一般在一天内出现的注册量(我这里说的都是大站,因为我,,,,嘿嘿)大于前一个帐号建立的时间。通过这些,你把前一些帐号解密,观察是不是有些密码重复,这些重复的密码,很可能就是该公司的默认帐号,因为他们懒的改,所以就留在数据库了。内功心法3:柿子要捡软的捏同站的,找脆弱的下手,c段就找脆弱的下手,拿下c以后嗅探未完待续,敬请期待…… 本文始发于微信公众号(T00ls):个人修炼内功心法之网站渗透(1)
阅读全文
个人常用的POC-GitHub项目地址 安全工具

个人常用的POC-GitHub项目地址

免责声明:本公众号发布的资源和文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表渗透云笔记的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!CVE、CMS、中间件漏洞检测利用合集项目地址;https://github.com/mai-lang-chai/Middleware-Vulnerability-detection免费、自由、人人可编辑的漏洞库网站地址https://www.pwnwiki.org/index.php?title=CnhomPOC&EXP仓库、hvv弹药库、Nday、1day    项目地址https://github.com/DawnFlame/POChousePwnWiki 数据库搜索命令行工具项目地址https://github.com/k4yt3x/pwsearchPeiQi-WIKI-POC项目地址https://github.com/PeiQi0/PeiQi-WIKI-POCexploit网站地址https://www.exploit-db.com/各种漏洞PoC、ExP的收集或编写项目地址https://github.com/coffeehb/Some-PoC-oR-ExP2020的一些漏洞项目地址https://github.com/r0eXpeR/CVE-2020新项目地址https://github.com/EdgeSecurityTeam/Vulnerabilitythinkphp v5.x 远程代码执行漏洞-POC集合    项目地址https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection 本文始发于微信公众号(渗透云笔记):个人常用的POC-GitHub项目地址
阅读全文
RSS: 优秀的个人情报来源 安全闲碎

RSS: 优秀的个人情报来源

早些年,关注了一些技术博客,但不知道它是否更新文章,就只好偶而去翻翻看。关注的博客量少的时候,还应付得来,一旦多了,就觉得甚是费时间。后来才发现有RSS(聚合内容)这款神器,大大地节省时间,不用再不停地翻看别人的博客,一有更新,在自己的订阅网站或app上就可以查看到。以前用Google Reader,现在用Inoreader(https://www.inoreader.com),还提供手机APP,特别适合利用碎片时间查看和学习。我现在基本保持每天翻看,一定要把未读消息消灭掉。由于多年订阅源的收集积累,每天都有不少更新的消息,即使前天刚把失效的订阅源清理掉,也还有700多个。以前曾看到某同事的RSS订阅,上千条未读消息,平时看得少,结果越堆越多,导致未能发挥RSS应有的价值。我觉得RSS应该是每个想保持学习进步的人应该必备的工具。对于我个人而言,RSS有以下作用:应急响应:及时获取外部曝光的漏洞,包括公司产品漏洞,以及可能影响公司产品的第三方通用组件/开源项目漏洞,以便能够及时响应处理;刷CVE:及时获知某些主流软件的攻击面,或者一些漏洞挖掘技巧,然后主动尝试去挖掘。以前有不少人在乌云上曝光某一通用漏洞,就经常有一大堆去刷SRC,或者在乌云上不停地刷别人的漏洞,这种行为我觉得挺无聊的。这里刷CVE主要是指Microsoft、Apple、Adobe等一系列主流厂商的产品的0day,而不是以往乌云上这种相同漏洞在不同平台刷洞的行为。技术与工具的收集:包括技术文章和工具的收集与学习,对于好的工具,会下载学习其源码,并应用实践;对于好的文章,会保存到印象笔记,方便以后查询复习。安全资讯:看看一些发安全界发生哪些安全事件,比如入侵事件、facebook信息泄露事件等等,也学习下别人如何就应对此类事件。除此之外,当然也包括安全界的一些八卦。新书资讯:专门订阅一些出版社的相关博客/官网,以便能够及时获取即将出版的新书。其它:更多的用途靠自己去挖掘,毕竟每个人的期望的目标不一样。对于那些未提供RSS功能,又非常不错的网站,推荐使用Feed43(https://feed43.com/feed.html?action=new)自定义规则来生成RSS,可直接导入到Inoreader,使用教程参考:《利用 Feed43,将任意网页制作成 RSS 订阅源》https://sspai.com/post/34320最后分享一下个人收集的RSS,共731个,Inoreader免费版最多支持500个,不想付费的可以找下其它免费RSS工具,或者选择部分订阅。下载地址(可点击“阅读原文”获取):http://riusksk.me/media/riusksk_RSS_20190330.xml 本文始发于微信公众号(漏洞战争):RSS: 优秀的个人情报来源
阅读全文
个人修炼内功心法之网站渗透(2) 安全文章

个人修炼内功心法之网站渗透(2)

续上篇《个人修炼内功心法之网站渗透(1)》:https://www.t00ls.net/m-articles-25437.html 内功心法4 邮件分析 通过重重努力,拿到公司企业邮箱后。(关于怎么拿到企业邮箱,这个看个人能力,这个话题又可以写一个帖子。不是本帖讨论话题。)拿到邮箱很多账户邮件时,就要开展分析了。 分析应该达到的目标: (1)分析出邮箱帐号aaa在公司的职责 根据邮件内容,通常会有公司同事称aaa为xxx总,在没得到公司人员架构图的情况下,以此类推,分别看完每个帐号,大概得到一个架构图。 技术部 aaa 总监 bbb 经理 ccc 运维 ddd 前端工程师 eee 服务器工程师 .................. 列出以上职务关系。 然后收取技术经理、运维人员的邮箱一般可得到服务器密码以及svn服务器等信息。 (2)导出邮箱联系人,得到更多的账户名作为社工账户名。 这些用户名,可以拿来作为爆破svn的用户名,如果有通用密码, 这些账户拿去破,一般得到1个或者更多权限,一个权限又可以得到更多svn访问权限,得到更多信息。 信息越多越好,多多益善。 (3)分析工作人员/程序 习惯 例如:通常aaa几点发邮件给xxx经理,或者yyy技术工程师,得到这些信息,一般以后如果进一步入侵,哪个环节出差错,把内部的邮件拦截,不让他们知道,自己快速解决 例如在某个月黑风高的晚上你操作某个程序,修改数据发出邮件给xxx人员,立即拦截,进入邮箱删除。然后放上自己的程序,避开发邮件。 例如,在得知人员习惯后,程序服务器程序出问题时aaa人员通常进服务器,这个时候你应该权衡情况决定和他一起在线操作。 (4)内网种马。 胆子大的,或者有把握不会引起内部怀疑的情况下,得知某人工作习惯,用aaa人员的帐号登录内部ftp或者服务器(我从没进过开发人员内网,也不下马,怕被发现),上传含有木马或远控的程序。 例如通过分析,某某人经常浏览草榴什么的,公司的男同事可能彼此知道,弄一个ghost远控,伪装成xxx程序。然后就误以为是某员工浏览网站中毒 内功心法5 公司内部情况推测 通过以上得到ssh服务器,ip信息,svn信息,邮箱软件。 得知该公司机房在哪,得知他们喜欢在svn服务器上放测试程序,以后就可以盯紧那个服务器,会暴率一些敏感的信息。 例如内部测试帐号和默认口令。 总结出帐密,通过账户名得到密码去爆破邮箱或者svn之类基于权限验证的系统。 登录ssh服务器收集信息。 last 命令 得知通常哪个ip登录服务器,几点登录 ps -ef 查进程…… 此处省略n个linux命令全文结O(∩_∩)O 本文始发于微信公众号(T00ls):个人修炼内功心法之网站渗透(2)
阅读全文
毛红亮个人网站管理系统 v1.0.0 被植入后门+注入+后台拿站 lcx

毛红亮个人网站管理系统 v1.0.0 被植入后门+注入+后台拿站

影响版本:毛红亮个人网站管理系统 v1.0.0 下载地址:http://down.chinaz.com/soft/30614.htm 先说说这个系统吧,作者好像很自恋,留言本到处都留的是什么大牛,牛逼之类的话。而且系统上预设的照片什么的都是作者的。 不过装逼总归有报应吧,我发现他的网站系统给留下后门了,不过也不排除是作者自己留下的,不过还是很邪恶啊。 ①后门地址 EditEDITimages2-13.asa 位置放得还是很隐蔽的,居然放在编辑器的图片目录里了 菜刀直接连接吧密码:baojuhua(爆菊花⊙﹏⊙‖∣) ②注入漏洞 漏洞文件:articleindex.asp 漏洞代码: cat_id=request("class_id") dim rs,sql Set rs=server.CreateObject("adodb.recordset") sql="select Article_id,Article_Title,Article_count,Article_date,Article_Red,cat_id from Article" 显而易见,未过滤。包括作者的主站都包含这个漏洞,用穿山甲轻松猜解出管理员帐号密码。只是没找到后台.....who有大字典的可以去试试。 漏洞文件:/soft/index.asp 漏洞代码: "" Then sqlcount=sqlcount&" where cat_id="&cat_id End if set rscount=Server.CreateObject("ADODB.RecordSet") rscount.Open sqlcount,conn,1,1 %> 基本和上面的一致 其他的漏洞文件: /book/index.asp /Jscode/index.asp /Music/index.asp ③编辑器版本 后台登陆地址/Edit/EDIT/login.asp 默认密码admin 貌似没发现有数据库,后来找了一下发现密码直接保存在编辑器配置文件里面了 配置文件地址:Editaspconfig.asp 下面就简单了,添加个样式表,后面的照旧.... 转自:http://www.90sec.org/viewthread.php?tid=3113&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D2592000 留言评论(旧系统): 【匿名者】 @ 2012-07-20 21:22:51 = =看了好几遍才发现是毛红亮 - - 我一直以为是红毛亮.... 本站回复: 囧rz 文章来源于lcx.cc:毛红亮个人网站管理系统 v1.0.0 被植入后门+注入+后台拿站
阅读全文
如何保持理性的思维 lcx

如何保持理性的思维

明天又要放假了,突然有点不适应。可惜这假我也放的不轻松,还有3个PPT要在假期写完。 今天就灌点心灵鸡汤吧,虽然鸡汤教主也开公众号了,不过我偶尔也可以客串干干这事儿 —- 施主请留步。 —— 我是万恶的分割线 —— 讲讲如何保持理性的思维吧。 分享一个小故事,摘录自百度百科。 “有个男人站在华盛顿的一个地铁站里拉小提琴。45分钟的时间里,他演奏了6支巴赫的曲子。这个时候正是上班高峰,人潮很多,但大多数人是在赶去上班的路上。 四分钟后,小提琴家收到了他的第一笔小费:一位女士把钱扔进了琴盒,停都没停就继续走了。几分钟后,有个人靠在墙边听他拉琴,不过那个人看看表,又继续前进。很显然,他上班要迟到了。在45分钟内,只有7个人停住脚步并稍加停留。大约有20个人给了钱,但依然按照他们正常的速度继续前进。 他一共收到了32美元。 当他结束了演奏,周围恢复往日的平静,没有人注意到发生过的变化。 没有人喝彩,也没人发现身边的大师。 没有人知道,这个小提琴家是Joshua Bell,世界上最好的音乐家之一。他用一把价值350万美元的小提琴演奏了难度极高的系列乐曲。在两天前,Joshua在波士顿一座剧场演奏会的票全部售光,平均票价100美元。” 顺带一提的是,Joshua Bell被张艺谋请来给《金陵十三钗》配乐,希望冲击奥斯卡,可惜老谋子最终还是棋差一招。 这个故事告诉了我们什么?至少我们看到了以下事实: 1. 大多数人都不懂音乐,或者不懂装懂。 2. 再好的产品没好好运营也是个渣! 3. 牛人也需要靠包装。 4. 要在正确的时间、正确的地点做正确的事情。 以上扯跑题了,下面才是今天的重点: 5. 不要先入为主:在地铁站里拉小提琴的就一定是混不出什么名堂的寒酸艺人么? 所以,回到今天我要说的主题上来,保持理性的思维,我觉得至少要做到以下几点: 1. 不先入为主。 心中有一个观点,然后看什么是什么,别人一说赞同的话,你就高兴,一说不同见解,你就不高兴。古代的昏君宠信佞臣,都是这么出来的。 同样的技巧还可以应用在面试上。为什么说面试官的第一印象很重要,因为第一印象就给面试官的心中留下了一个种子,在感性的面试官心中这个种子很容易生根发芽。 让面试官“先入为主”的对你产生好感,那么面试过程中即便有什么没答好的地方,面试官也可能会在心里默默的找一些他“愿意相信”的理由为你开脱。所以其实第一印象,可能会影响到面试成功率的50%,这50%在面试官第一眼见到你时,就已经决定了。 有时候第一印象是在面试官第一眼看到你简历的那一瞬间。至少对于我来说是如此,一般看看简历就知道这个人是否靠谱。而面试的最终结果和我第一时间下的那个判断并无太多出入。 “先入为主”会造成认知障碍,而且极其隐蔽,因为人们总是愿意相信那些他们内心所希望看到的事情,而且会为这些事情找到各种支撑的理由来说服自己。如果你在面临一项重大的决策,一定要极度警惕这种认知障碍,它可能会影响到你的判断。 2. 不要被情绪所左右。 今天微博上“独立观察员”针对乌云的报告提出质疑,本来是好好的就事论事,结果乌云的白帽子一上来就骂对方不懂,“独立观察员”随后反击指责所有安全行业的从业人员,上纲上线。最后两边开始互相人身攻击,很明显已经失去理智了 —- 事情的对错已不再重要,在语言和气势上压倒对方那可憎的嘴脸才更重要。 在公司开会时也经常遇到这样的场景:因为有人提反对意见,让人心中不爽,争得面红耳赤。最后事情本身已经不再重要,如何压倒对方让对方屈服才更重要,不然哪能咽下这口气?特别是在公司里做事情,经常会遇到“公说公有理,婆说婆有理”的时候,没法简单的分出对错,如果双方都不让步,那可就有的吵了。 所以理性思考的第二个要注意的地方,就是不要被情绪所左右:我不同意你的观点,但我誓死捍卫你说话的权利。就算你的话让我心中不爽,但只要不是无理取闹,我也应该尝试着站在你的立场去思考,避免情绪化。 3. 不要盲从多数人的观点,不要人云亦云。 老罗在ROM发布会里提了一个很有意思的问题,为什么自iPhone之后,所有的图标都变成了圆角的?所有的设计师都开始采用这样的图标设计方式,这是非常不正常的。 见怪不怪才是最可怕的! 我最恼火的一件事情就是:“我们为什么要做这个事情?因为竞争对手也做了”。 我靠,竞争对手做了我们就要做吗?那不是永远只能追在人家屁股后面跑?最关键的是,竞争对手做这个,人家对自己的东西理解的很透彻,知道弊端在哪里。我们抄过来的话,连弊端也一起抄过来了,自己都不知道弊端在哪里,什么时候要改进。 所以遇事多思考思考,哪怕你是少数派。 有的朋友可能会问了,你说的道理我都懂,但我就是做不到,怎么办? 我也没有什么好办法,提供几个建议吧: 1. 读万卷书不如行万里路。理论再多不如实践有用。老人们经过一生的沉淀,让他们看问题时普遍比较理性。虽然我们还没有老,但也可以增加自己的阅历和见闻,来习惯理性的思考问题。 2. 经验一时半会儿多不到哪里去,那就多读点书吧。读各种书,包括文学。读文学作品其实就是在阅读作者的个人阅历,虽然没有亲身经历,但在虚拟的精神世界里体验一番也是不错的。多读历史和人物传记有同样的效果。 3. 多结交理性的朋友。他们会影响你的思维和做事习惯。 4. 有意识的收敛自己的脾气,克服冲动。比如林则徐在自己的书房挂了两个字:“制怒”。每次想发怒时抬头看看,就没脾气了。 5. 把“道哥的黑板报”推荐给更多的人,转发100次你就学会如何理性的思考了,不信可以试试。 :D 最后,很多朋友问我知乎ID是什么,我在此回答一下。我的知乎ID是aullik5,同样的这也是我在腾讯微博、新浪微博和百度空间的ID。 今天的配图是Joshua Bell。 摘自:http://taosay.net/?p=245 文章来源于lcx.cc:如何保持理性的思维相关推荐: WebEdition CMS (DOCUMENT_ROOT) 本地文件包含缺陷=================================================================== webEdition CMS (DOCUMENT_ROOT) Local File Inclusion vulnerabil…
阅读全文
渗透测试个人总结贴 安全文章

渗透测试个人总结贴

OWASP TOP 101、注入2、失效的身份认证和会话管理3、XSS 4、脆弱的访问控制 5、安全配置错误6、敏感数据暴露7、不充足的攻击检测与预防8、CSRF 9、应用已知脆弱性的组件10、未收保护的API Sql注入原理:通过输入构造域名或页面请求的字符串达到欺骗服务器执行恶意SQL命令。有布尔型注入(构造and条件判断页面返回情况获得信息),报错型注入(构造能够报错的sql命令获得报错信息),联合查询注入(union),多语句查询注入(select;select),基于时间延迟注入(加入判断和时间延迟语句)。 修复方式:1、  过滤输入语句;2、参数化处理  XSS跨站脚本攻击,攻击者将恶意脚本代码注入到网页中,当其他用户浏览这些网页时执行其中的恶意代码。 修复方式:1、  使用xss filter:输入过滤以及输出编码;2、  Web安全编码规范:将能触发XSS的字符使用相应的HTML实体代替(<转成&It);3、  使用浏览器插件:Firefox的NoScript插件,IE8的XSS Filter;4、  使用HTTP-only的cookie;  CSRF跨站请求伪造,源于web的隐式身份验证机制,冒充其他用户在站内的正常操作。 测试方法:1、修改请求包中Referer值,生成CSRF POC测试; 修复方式:1、  代替GET使用POST提交方式;2、  客户端提交表单增加伪随机数的hash值,在服务端验证hash;3、  使用token方式进行身份验证;4、  为表单增加验证码;5、  增加http的Referer验证,判断请求是否同域;  网站劫持主要被黑帽用来做SEO(Search Engine Optimization,搜索引擎优化)。 实现网站劫持的步骤:1、  入侵相关网站2、  在网站中插入Js或修改配置文件,增加相应的劫持代码。一般会加入判断条件,一般会根据IP归属地、refer(是否是爬虫)和user-agent(设备)。3、  大多数判断如果是人工会返回正常的网站;如果是爬虫会返回相关黑客设置的网站。 测试方法:1、  对于前段劫持,可以通过抓包和源码分析来查看相应js代码。2、  对于服务器劫持,对网站的全局脚本文件(例如conn.php)进行完整性测试。生成hash值定期完整性测试可以有效防止网站劫持。相关链接:http://www.freebuf.com/articles/web/153788.html  反序列化漏洞影响weblogic、websphere、Jboss和Jenkins等java应用服务器。 原理:序列换是将对象转换成字节流,便于保存在内存、文件、数据库中;反序列化及逆过程,由字节流还原成对象。ObjectOutputStream类的writeObject()可以实现序列化,类ObjectInputStream类的readObject()可以实现反序列化。反序列化时没有对对象的类型做限制就会造成反序列化漏洞。 修复方式:1、设置对象类型白名单;2、Java9 最新特性JEP 90提供一种机制,在处理对象输入流是过滤传入数据;  XXEXML外部实体注入(XML ExternalEntity),当允许引用外部实体时导致的漏洞,可能导致DOS、内网信息泄露等。 修复方式:1、检查使用的底层xml解析库,默认禁止外部实体解析;2、增强对系统监控 SSRF使用用户指定的URL,web应用可以获取图片、下载文件、读取文件内容等,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器,包括对内网进行扫描、文件读取等; 验证方法:1、  右键图片打开判断图片是来自原始网址,则不存在漏洞;2、  抓包判断加载图片时本地发起了加载图片的请求,则不存在漏洞; 修复方式:1、  过滤返回信息,验证服务器对请求的响应;2、  统一错误页面信息,限制请求端口,黑名单内网ip,禁用不需要的协议,防止内网渗透;  文件上传上传可执行恶意脚本 验证方法:1、上传恶意执行文件,绕过方式包括:抓包绕过前端校验;修改Content-Type;绕过服务器扩展名检测(服务器解析漏洞);利用00截断;构造图片马等 修复方式:1、   检查文件类型,前端和后端校验,对HTTP Header的Content-Type、扩展名、文件头内容来检查文件类型;2、   限制文件行为,尤其是执行权限;3、   白名单;  文件下载查看和下载服务器文件的漏洞 验证方法:构造下载url使可以下载指定位置或名称的文档 修复方式:1、  过滤(.)使不允许回溯上级目录;2、  正则判断用户输入参数;3、  下载区独立,放置在项目路径外,给每个下载资源固定的url;  逻辑绕过通过对业务流程的梳理,实现业务逻辑绕过(用户身份验证绕过等)的漏洞。  重定向漏洞用户可控制的输入导致浏览器访问指定URL会导致重定向漏洞。可以提高攻击者可信度的攻击方式。 修复方式:1、  验证和过滤用户输入;2、  白名单跳转域; 信息泄露查看页面是否显示了敏感数据和内容,以及泄露服务器版本等的配置文件以及错误页面。  Csv注入当应用需要用户输入一些数据并且管理员将这些数据导出到csv文件中。Csv文件中如果有“=”,后面的命令可以执行。转自:http://blog.csdn.net/u010726042/article/details/78604890 本文始发于微信公众号(LemonSec):渗透测试个人总结贴
阅读全文
2元打包70张明星素颜照?健康宝现个人信息安全漏洞 安全新闻

2元打包70张明星素颜照?健康宝现个人信息安全漏洞

文章来源:新浪财经近日,明星“代拍”行业里“明星健康宝照片被泄露”事件引发热议,冲上微博热搜第一,截至目前已有3.8亿阅读,2.7万讨论。截至发稿,北京警方已介入调查。此外,市经信局一位工作人员称,已经知悉此事,正在进行核实,有进一步结果将及时回应和公布。至少七十余明星照片泄露近日,疑似明星北京“健康宝”照片被泄露一事备受关注。有网友通过输入明星姓名加身份证号,无需人脸识别,查询到其在北京“健康宝”上的认证照片,疑似30余位明星的照片被传播、出售。疑似王源、王俊凯、易烊千玺、刘昊然、杨幂、邓伦、蔡徐坤等超50名明星的“健康宝”照片在网上传播,涉及北京、厦门、上海等多地核酸检测机构,这些信息甚至在相关群组内被出售。上述“健康宝”一般指“北京健康宝”,是北京市大数据中心依托北京市防疫相关数据和国家政务服务平台,针对新冠肺炎疫情防控需要推出的小程序。开发者为北京市经济和信息化局。据不完全统计,网络上流传着七十多名明星的核酸检测照片截图。截图中包括:明星的人脸照片、姓名首字母、身份证号码的前后两位,以及做核酸检测的机构及具体检测时间。据红星新闻,在代拍群中,开始是花1元可购买1位明星健康宝照片,后来出现了3元可打包“tnt时代少年团”7人的健康宝照片,随后,又出现了2元打包70多位艺人健康宝照片,1000多位艺人身份证号仅售1元等。在健康宝的“他人核酸检测结果代查”界面中,输入明星的姓名与身份证号,无需再次人脸识别,即可获得他人在录入个人信息时,进行人脸识别的照片,即代拍们所贩卖的“健康宝照片”。据南方都市报报道,北京市经济和信息化局的一名工作人员表示,对于明星核酸检测照片泄露事件,以及为什么人脸识别功能未触发的问题,已向上反映,目前正在核实了解相关情况。后续将会公开相关调查结果。据21世纪经济报道,负责研发北京“健康宝”的中关村(6.690, 0.04, 0.60%)科学城城市大脑股份有限公司(以下简称“中科大脑公司”)一名工作人员12月28日表示,已有很多电话咨询这一问题,相关项目负责同事正在跟进此事。公开资料显示,中科大脑的前身为北京中海纪元数字技术发展股份有限公司(下称“中海纪元”),成立于2003年。中科大脑的大股东为北京中海投资管理有限公司,持21789600股。据企查查股东信息显示,北京中海投资管理有限公司由北京市海淀区国有资本经营管理中心100%持股。此前据经济观察报采访中科大脑CEO李浩浩的报道,李浩浩提到,健康宝的运营掌握在政府手里,中科大脑负责提供技术支持。该项目本身属于和政府联合开发,最终所有隐私数据都由政府掌握,公司对数据没有任何权限。代查功能有问题?为什么能够轻易得到他人在健康宝中登记的信息?记者实测发现,在自己健康宝的“他人核酸检测结果代查”功能中输入同事的姓名和身份证号并点击“确定”,即可显示同事在健康宝中登记的人脸照片。而值得注意的是,尽管本来上述功能显示“需要人脸识别”,实际并未触发。但据媒体报道,并不是所有的查询请求都要求人脸识别才显示结果。今年8月,据北京发布介绍,“健康宝”始终坚持“个人信息最小化采集”的设计理念,仅需进行必要的实名认证,即可登录使用健康宝相关服务,且登录状态长期有效。在登录状态下,每次打开健康宝可直接使用健康状态查询等服务,不需要再次人脸识别。若主动退出登录,为保障信息安全,需重新进行实名认证。也就是说,在明星信息“泄露成灾”的当下,只要掌握了明星的姓名、身份证号,就能查到该明星在健康宝中登记的人脸照片。此前曾对个人信息安全进行回应今年3月,北京市经济和信息化局副局长潘锋在北京市新冠肺炎疫情防控工作新闻发布会上表示,目前北京市累计有900多万人使用“健康宝”查询了3000多万次健康状态,在联防联控、复工复产等方面有效降低了疫情传播风险。考虑到个人隐私保护,“健康宝”从未采集个人位置信息。21世纪经济报道此前曾报道,北京市政府曾于11月1日发文对“健康宝”的个人信息安全问题进行回应。当时,“健康宝”已覆盖北京市民和来京人员,累积查询超过17亿次。北京市政府在上述文章中表示,“健康宝”始终坚持“个人信息最小化采集”的设计理念,仅需进行必要的实名认证,即可登录使用健康宝相关服务,且登录状态长期有效。在登录状态下,每次打开健康宝可直接使用健康状态查询等服务,不需要再次人脸识别。若主动退出登录,为保障信息安全,需重新进行实名认证。“除了个人信息最小化采集之外,本次新增扫码功能页面中,个人信息均以脱敏形式呈现,只保留姓、身份证号前后各2位、手机号前后各3位,有效避免隐私泄露风险。”北京市政府称,所有信息仅保存于北京市政务云,且仅用于防疫追溯及相关工作,充分保障用户的隐私安全。此前,为照顾没有智能手机、不会使用智能手机的人群,北京健康宝上线代查第三人信息的功能。没想到,该功能被不法分子利用。对此,有律师表示,是否需要健康宝中增加额外的验证功能,需要平衡安全与效率及技术成本的问题,并不一定更严格的安全措施更有利于整体社会福祉。律师:出售者要承担刑事责任由于公众人物是一个特殊群体,在某种程度上,不得不让渡一部分自己的隐私权。但这并不代表其个人隐私权就要被无限压缩。河南豫龙律师事务所律师付建认为,公民的身份证号码是其个人信息的一部分,除非其自己主动公布,不然通过其他渠道获取相关身份信息,以谋利为目的出售明星个人信息,相关人员可能涉嫌侵犯公民个人信息罪,要承担刑事责任。根据《民法总则》的相关规定,公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。故相应的权利人在必要时,可以对出售者提起诉讼。对于购买明星健康宝照片的人,付建认为,粉丝购买相关照片只是为了自我欣赏,则其行为就不够成侵权。如果粉丝将照片发到了微博这些公开平台上,要看其主观是否是以经营盈利为目的,是否引用明星照片作为推销商品广告形象,如果是的话,则未经相关权利人授权,其行为涉嫌侵犯肖像权。同时,付建认为法律明确规定了对个人信息的保护,相关软件的运营商有责任在其平台上保护用户的个人信息,在有漏洞出现时,应及时完善,以确保用户个人信息的安全。一位律师称,很多信息都是从不规范的APP那里批量买来的,这比从公安系统盗取成本低很多,一来公安系统有很好的技术保护,二来从国家系统窃取重要信息是要入刑的。《中华人民共和国刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。律师指出,对于“侵犯公民个人信息罪“定罪的难点在于确认出售个人信息的是谁。黄牛们显然不是源头,我们呼吁国家加强对不规范APP等的监管,重重把关,从源头上降低信息泄露的可能。推荐文章++++*工信部:持续开展APP侵害用户权益专项整治,加强个人信息保护工作*App必要个人信息范围征求稿发布,收集使用最小必要评估团体规范(附下载)*某公共平台个人信息查看处存在全局越权修改 本文始发于微信公众号(黑白之道):2元打包70张明星素颜照?健康宝现个人信息安全漏洞
阅读全文
城市生存 | 个人随身验毒指南 安全闲碎

城市生存 | 个人随身验毒指南

篇首语:最近一个关于公司高管被下毒的案子火了,虽然到现在民间都在流传酒里下毒普洱下毒内裤下毒等等几种八卦传闻,不过归根到底就是被下毒了。于是,哭笑不得的,杨叔接到好些朋友的私信,以及几个学员群里的问询:个人如何识别下毒?What?......这个问题虽然也属于个人隐私/人身安全保护的范畴,但其实挺难的,即使是绝大多数职业安保人员恐怕都不能肯定可以100%地解决,所以本篇主要就是抛砖引玉。声明:本文主要为杨叔个人心得分享,仅供交流与参考,谢绝杠精。01 总有刁民想害朕?先引用下“人民网”的文章内容:据不完全统计,每天有20余种新的化学物质进入我们所生活的环境,其中有60多万种化学品实现了成规模的商业生产,其中相当一部分具有各种不同的毒性效应。因此,在各种意外中毒事件中,由于医疗机构毒物检测手段的匮乏,给病因学判定带来极大的困难。但遗憾的是,也有很多中毒事件源自人为:2020年10月曝光的乳山公务员投毒事件,就是因为乳山市统计局一名普通的科员对单位干部任用不满,怀恨在心,网上购买母猪催情剂,用注射器注入大家饮用的大桶水里,造成单位各个办公室都在喝被污染的水。自2017年8月开始,连续两年半,统计局的同志们就像吃了催肥剂,一个个肥嘟嘟、圆滚滚的……慢性毒药给统计局的同志们造成不可挽回的健康损失。2013年4月11日,复旦大学枫林校区2010级硕士研究生黄某自4月1日饮用了寝室内饮水机中的水后出现身体不适,有中毒迹象,送至医院抢救。经警方初步查明,林某因生活琐事与黄某关系不和,心存不满,经预谋,3月31日中午,将实验室的剧毒化合物带至寝室,注入饮水机槽。4月1日上午,黄某饮用饮水机水后出现中毒症状,后经医院救治无效于4月16日去世。2004年,扬州大学也曾发生一起“投毒”事件,毒物为秋水仙碱。受害者名叫武辉,1963年出生,由东南大学博士后被作为人才引进扬州大学,进校即任扬大医学院基础医学部“医学遗传学与医学细胞学”教研室主任。能确认的投毒事件有两次,其中最严重、也是导致整个事件东窗事发的一次发生在2004年的10月9日晚,嫌疑人在受害者的鲜橙多饮料瓶内投毒。武辉回到家中便开始上吐下泻,“开始还只是拉稀,到了后来拉出来的全是水,紧接着消化道开始出血,凌晨时,全身肌肉开始变得僵硬。至于“杀人于无形”的毒物,最为人所熟知的要数著名的清华女生铊中毒案。1994年,清华大学女生朱令在校期间离奇出现铊中毒的症状,导致身体健康遭到极大的伤害。由于朱令没有铊的接触史,警方认定为是投毒事件,但此案经过调查之后,几度沉浮,凶手至今仍逍遥法外,尚无明确结果。......略唉,随便一搜就这么多案例,杨叔不由想起很久以前的一个职业:食物品尝师食物品尝师是指品尝为他人准备的食物以确认是否存在问题的人。但是,显然地,品尝食物并不能有效识别出那种需要较长时间才能起作用的慢效毒物。所以,和古代利用硫化物与银接触会生成黑色的“硫化银”的原理,使用的“银针试毒”方式一样,这些方式都已慢慢退出了历史舞台。什么?“吃河豚让厨师先试吃“”那个不算,那是行规。咳咳,So,现代专业的验毒又是怎么做的呢?02 专业毒物检测服务引用一家私人检测公司的网站内容:毒物和毒素专业测试服务我们可以协助您满足任何毒物测试实验室的需求。我们提供使用头发、指甲,脚趾甲、血液和尿液的毒药、化学药品、毒素和药物测试。我们以应有的尊重对待客户,并提供所需的测试服务。根据您的毒物测试需求,我们发布认证实验室报告的平均处理时间为10-12个工作日。快速服务需额外收费。我们可以检测到的毒药清单包括:氰化物、防冻剂、未知化学品、毒素、安眠药,砷、眼药水、街头/狂欢/消遣性药物(治疗性)处方药、非处方药、家用清洁剂、餐具洗涤剂、制动液、防冻剂、漂白剂、杀鼠剂、杀虫剂/除草剂......还有包含超过850,000个条目的国际光谱数据库。可以为可疑的故意用药过量或毒素中毒导致疾病或死亡情况,提供法庭支持的法医实验室测试。------广告分割线-------呐,你看到了,按照现在的检测水平,基本上这个世界上所有自然及人工合成类毒素都能鉴定出来......除非是高科技实验室提取的某种新型毒素。不过前些年KGB几次暗杀的毒素也已经被分析出来了,所以民间的更不用说。所以主要问题是,需要的时间代价(10~12个工作日)实在太长,显然不适合平日使用。03 便携式食品毒物检测设备市面上还是有一些产品能够用于毒物检测的,杨叔直接推荐下:MyDx智能手持化学分析仪MyDx是一台多功能手持式化学分析仪,可对食物中的农药、饮用水中的化学物质进行测试 ,不同版本的硬件设备还可以对空气中的毒素,以及大麻样品(适用于大麻合法化国家)的安全性和效力进行检测。MyDx支持APP上的实时检测结果显示,这一点非常实用。FoodSniffer智能肉类安全检测器FoodSniffer智能检测器有一个最大的亮点:不用接触到肉类表面,就能知道食物的新鲜程度。内置的传感器还能检测食物的温度、氨气的含量等数据,并通过蓝牙将数据发送到手机上。Foodsniffer也会对食物的处理方式一同提供给客户,比如新鲜可食用的物品,或者是需要加热才能食用,以及无法食用等意见,这样既能避免浪费,还能减少食物中毒的风险。当然,其它的检验类产品还有一些,不过有些是纯粹的高端医疗领域产品,就不太适合随身携带使用了。04 更快捷的检测盒还有一种选择,就是检测试剂盒。WG 06食品中毒检测试剂盒是一种易于使用的快速检测试剂盒,用于检测食品和饮料中的无机中毒。该套件带有一组三个独立的检测器,以及分析食物样品并记录结果,以备将来使用或作为相关证据。显然,这个类似于PH试纸的设计是挺方便携带,不过就是要好好研读下说明书05 高级别要员保护机制看到这儿,你现在觉得,那种所谓的指纹加密水壶之类的东西到底有没有用呢?想想无非是买个自我安慰罢了。时间仓促,杨叔翻查了一些安保资料,暂时没有找到太多关于有毒物质鉴定的描述,更多的是关注整体环境的有害物质存留情况。比如上面提及Workplace Hazardous Materials Information System (WHMIS) ,即工作场所有害物质信息系统,在工作中的应用。但实际上,根据特勤局及要员保护部门的安全要求,饮用水、食材等生活用品的毒素检测是每天都要开展的,这一点在高级别要员保护中是强制执行项。OK,这些我们今天就不再展开了。说点题外话:随着全球疫情局势的快速恶化,对于个人而言,在外华人/留学生等面临的各种生存压力也在不断增长。所谓“技多不压身”,我们在相信祖国强大足以应对的同时,个人多掌握一点城市实用技能、生存知识总是好的。最后,愿世界和平,愿电视上没有疫情,只有天气预报。近期通知★ 春节前最后几场,线下隐私保护认证课程:注:以上时间可能会有调整,一切以正式发布召集和客服通知为主,谢谢。★ 客服小姐姐二维码:----END-----关于RC²RC²反窃密实验室(RC² TSCM LAB)的主要职责,就是在深入分析研究国内外主流的商业窃密手段、国内外安防器材及安保服务的基础上,经过实验室模拟环境检测和真实环境实战考验后,为客户设计及提供专业的检测服务、培训课程及综合解决方案。2017年至今,RC²的TSCU专业反窃密检测团队已经为国内众多大型BAT互联网企业、跨国巨头、金融机构、房地产企业及上市公司等,提供了行业内最全面严格的商业安全检测服务及深度定制内训,感谢大家对RC²的信任和支持。原创软文精选★ 商业反窃密:•  你以为查窃听器就这么So Easy?•  调查经理养成计划 | 2019企业必读•  专业还是外行?剖析下电影里的反窃密场景•  激光窃听 | 是谁,在敲打你窗?•  身边的窃听门 | 生活会欺骗你,录音笔也会•  疑似窃听/密拍器材的鉴定&取证 | 初级篇•  私家车跟踪器自检手册★ 隐私保护/反偷拍:•  谣言粉碎机 | 用热成像就能防针孔偷拍?•  2020,如何在公共场合“消失”•  被偷拍的5个风险等级,你在第几级?•  亚洲拍酒店,欧美洗手间?聊聊出国游下的恶意偷拍•  青岛Airbnb民宿偷拍翻车事件 | 全民反偷拍时代,已经到来•  前男盆友防范指南 | 技术篇•  物理安全强迫症の患者必读•  隐私保护红宝书@反跟踪篇•  高层住户防窥视 | 通用指南•  远距离语音监听 ▪ 来自网店的解决方案•  隔墙有耳 | 专业偷听几十年★ 通信监听:•  跨国定位手机の奥义•  手机定位 | 快速锁定冠状病毒患者轨迹•  通信监听:来自联邦政府的多纲目触手★ 威胁情报:•  海外旅行威胁情报 | 平安回来,比诗和远方更重要•  2018全球偷拍偷窥态势& 威胁情报 | 第01期★ CrimeBreak犯罪防御:•  女孩行走江湖指南 | 防偷拍篇★ 无线安全研究:•  不用猴皮筋做弹弓也能进你家门,物联网时代的物理安全,你真的懂么?•  少年,你可知“WiFi窃密の36般变化”?| 攻伐篇----------------------------------------------------只做有趣的研究,只做原创不限于技术一切无关红包的非授权转载皆是耍流氓----------------------------------------------------长按二维码,关注公众号,翻看更多 本文始发于微信公众号(全频带阻塞干扰):城市生存 | 个人随身验毒指南
阅读全文
李东荣:数字化时代个人金融信息保护的思考 云安全

李东荣:数字化时代个人金融信息保护的思考

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-78612月10日,由中国金融杂志社、中国信息通信研究院共同主办的首届 “中国金融数据治理论坛”在京举行,论坛主题为“银行业金融机构数据治理与价值提升”。中国互联网金融协会会长李东荣在论坛上发表主旨演讲,深入阐述了对数字化时代个人金融信息保护的思考。他指出,近年来我国的金融管理部门、行业协会以及广大的从业机构在个人金融信息保护的制度建设和实践上做了大量的工作,法律规范不断完善,技术标准加速出台,行政监管持续发力,行业实现有序推进。但同时也要清醒地看到,在数字化时代下,个人金融信息保护在立法、监管、自律等方面依然有一些亟待解决的问题。李东荣建议,数字化时代下加强个人金融信息保护需要政府、市场、社会等多个方面协同:一是持续完善制度规范,适应经济金融数字化转型的实际情况;二是增强监管科技能力,进一步完善个人金融信息保护的监管分工和统筹机制;三是发挥行业自律作用,各行业协会要相互沟通,形成合力;四是提升机构的履责水平,完善内部监督和责任追究机制;五是加强社会公众参与度,充分调动社会公众参与个人信息安全的治理。以下为演讲全文:尊敬的各位嘉宾,各位朋友:大家上午好。很高兴出席2020中国金融数据治理论坛。当前,国家正深入推进要素市场化配置改革,数据作为基础性战略资源和关键生产要素的地位更加凸显,金融业作为科技驱动型和数据密集型行业,如何持续提升数据治理能力、更好平衡数据应用与安全保护是一项重要而紧迫的时代课题。今天论坛汇聚政产学各方专家共同探讨金融业特别是银行业数据治理问题,具有重要的现实意义。从理论上讲,数据治理是通过系统化的架构、制度、流程和方法,确保数据统筹管理、有效保护、高效运行,并在经营管理中充分发挥价值的动态过程。数据治理作为一项涉及数据全生命周期的系统工程,其基础是数据质量管理,核心是数据融合应用,目标是发挥数据价值,前提则是数据安全保护。鉴于此,借今天论坛的机会,我想就数字化时代背景下个人金融信息保护谈一些个人的思考意见,供大家参考。根据人民银行2020年2月发布的《个人金融信息保护技术规范》,个人金融信息是金融业机构通过金融产品和服务或者其他渠道获取、加工和保存的个人信息,主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、信贷信息等。加强个人金融信息保护是落实人民至上理念、保护消费者合法权益的应有之义,也是促进个人金融信息安全合规应用、发挥金融数据价值的必要之举。近年来,随着数字技术与经济金融活动的加速融合,我国金融管理部门、行业协会以及广大从业机构在个人金融信息保护的制度建设和业务实践方面做了大量工作,取得了阶段性成效:一是法律规范不断完善。涵盖法律、行政法规、部门规章、规范性文件等在内的多层次、广覆盖的个人金融信息法律规范体系初步形成,个人金融信息保护的理念原则、类别范围、业务规则、工作要求基本明确。二是技术标准加速出台。在金标委的积极组织推动下,《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等相关配套技术规范加速出台,网上银行、金融云、移动金融APP、金融分布式账本等金融科技标准中均对个人金融信息保护和安全管理提出明确要求。三是行政监管持续发力。近年来,金融管理部门通过宣传教育、风险排查、投诉处理、行政处罚、行业通报、监管评级挂钩等多种方式,不断提升个人金融信息保护工作针对性和监管有效性,督促从业机构履行客户个人金融信息保护义务,切实保障金融消费者信息安全权。四是行业实践有序推进。从业机构在金融管理部门的指导和各金融行业协会的组织下,认真贯彻落实有关法律规范、监管要求和自律规则,注重将个人金融信息保护纳入公司治理、消费者保护、数据治理等工作规划,建立健全个人金融信息保护相关内控管理制度。尽管取得了一定进展,我们还应清醒地看到,数字化时代个人金融信息保护在立法、监管、自律等方面依然有一些新老问题相互交织、亟待破解。比如,个人金融信息保护专门法律制度尚未出台,监管统筹、信息共享和工作联动有待持续加强,监管自律有机协调配合的治理机制尚未完全成熟,部分从业机构在个人金融信息保护方面的主体责任意识有待加强,在内部控制、数据治理、消费者保护等方面仍需进一步补短板、强弱项、堵漏洞,一些金融消费者个人信息保护意识和风险识别能力依然薄弱,在数字金融服务、信息安全防护、投诉维权等方面的知识和技能存在欠缺。总之,数字化时代下加强个人金融信息保护任重而道远,需要包括政府、市场、社会多方协同、久久为功。具体来说,建议从以下几个方面着力开展工作:一是持续完善制度规范。立足中国现实国情和经济金融数字化转型实际,科学借鉴欧盟、美国、英国、日本等国家和地区立法经验,合理吸收最小必要、目的限定、隐私安全、权益保护等国际通行原则,探索实现信息可携带权等新型权利形式的可行路径,适时出台《个人信息保护法》《个人金融信息(数据)保护试行办法》及相关配套标准。二是增强监管科技能力。进一步完善个人金融信息保护领域的监管分工和统筹机制,以保护金融消费者合法权益和督促从业机构履行主体责任为切入点,以个人金融信息采集和处理机构为主要对象,探索运用人工智能、大数据、区块链等监管科技手段,持续深入开展个人金融信息保护有关监管执法和检查评估工作。三是发挥行业自律作用。继续发挥中国互联网金融协会等金融行业自律组织在移动金融APP备案、金融云备案、金融科技创新监管工具等领域的配合支撑作用,搭建从业机构信息共享和国际交流平台,深入研究行业在统筹个人金融信息保护和合理应用方面所面临的共性问题,督促引导从业机构落实个人金融信息保护有关法律规范和监管自律要求。四是提升机构履责水平。从业机构应牢固树立以客户为中心、负责任创新的正确理念,切实落实个人金融信息全生命周期的安全防护要求,加强内控制度和数据治理体系建设,完善内部监督和责任追究机制。同时,在依法合规前提下探索应用多方安全计算、联邦学习等技术,加强个人金融信息保护技术支撑,促进信息合理开发利用。五是加强社会公众参与。加强违法违规行为举报奖励、举报人保护等机制建设,充分调动社会公众参与个人金融信息安全治理的积极性。通过司法解释等方式,明确网络环境下个人金融信息侵权形式,丰富和畅通个人金融信息保护的救济渠道。广泛运用线上线下宣传教育渠道,定期发布个人金融信息保护风险提示和典型案例,提高公众对个人金融信息保护的意识和能力。各位嘉宾,加强个人金融信息保护是一项长期复杂的系统工程,意义重大,任务艰巨。中国互联网金融协会将一如既往在金融管理部门的指导下,切实发挥好自律管理职责,完善个人金融信息保护体系,不断提升金融业数据治理水平。最后,预祝会议取得圆满成功。谢谢大家。(来源:中国金融杂志)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):李东荣:数字化时代个人金融信息保护的思考
阅读全文