组件介绍OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。漏洞描述美创安全实验室监测到Op...
论文分享 | 过期域名剩余信任引发的潜在安全风险分析
“域名体系安全”作为行业热点安全问题备受关注,本次DataCon2022大数据安全分析竞赛也将其作为重点考察内容。赛前,为帮助大家了解最新研究成果,我们将定期分享相关优秀论文,助力各位参赛选手取得更好...
JavaScript沙箱vm2修复远程代码执行风险
vm2(一种流行的JavaScript沙盒环境)中的一个错误可能允许恶意行为者绕过沙盒保护并在主机设备上进行远程代码执行(RCE)。Vm2每周的下载量超过400万次,它在Node.js服务器中创建了一...
Spring Security身份认证绕过漏洞(CVE-2022-31692)安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。近日...
OpenSSL项目修复其开源密码库中两个严重的漏洞;Snatch声称已入侵军工企业供应商HENSOLDT France
每日头条1、OpenSSL项目修复其开源密码库中两个严重的漏洞 据媒体11月1日报道,OpenSSL项目修复了其用于加密通信通道和HTTPS...
GitHub高危漏洞可劫持其他用户的库
研究人员发现GitHub存在库劫持漏洞,攻击者利用该漏洞可接管其他用户的库。GitHub库在创建库的用户账号下有唯一的URL。当其他用户想要下载或复制该库时,会使用到该库的完整URL。但是GitHub...
零时科技 || Victor the Fortune攻击事件分析
事件背景零时科技区块链安全情报平台监控到消息,北京时间2022年10月27日,BSC链上Victor the Fortune 合约受到黑客闪电贷攻击,攻击者已获利约5.8万美元,耗尽了流动资金池,攻击...
OpenSSL多个高危漏洞风险提示
漏洞公告近日,安恒信息CERT监测到了OpenSSL发布安全公告修复了2个高危漏洞。其中包括OpenSSL缓冲区溢出漏洞(CVE-2022-3602)和OpenSSL缓冲区溢出漏洞(CVE-2022-...
漏洞之王微软的威胁态势与挑战
近年来经过一连串收购,微软公司已经“内卷”成为一家网络安全巨头,但是这个牵动千万家企业客户的科技巨头自身的安全态势和安全挑战却鲜为人知。 漏洞之王在过去的几年中,与微软有关的漏洞和黑客攻击的...
【论文分享】基于网络流量的应用程序指纹识别技术(网络流量分析领域学术前沿系列之二)
智能手机及平板电脑等移动设备为现代生活带来便利,很大程度上归功于丰富多彩的应用程序。不过,伴随用户数据的收集、传输、存储及共享,应用程序也引入了用户隐私问题。应用程序指纹(AF,App Fingerp...
应用程序安全渗透测试指南
在整理资料过程中,一位朋友发给了一个链接,进去看了一下原来是国外一家安全企业的应用程序安全测试指南,感觉蛮不错就转来和大家一起学习学习。它山之石可以攻玉,但是在开展工作过程中,还是需要遵照咱们自己国家...
分享12种可落地威胁情报场景
风险场景:网站钓鱼欺诈攻击者仿冒企业真实网站的URL 地址以及页面内容,试图骗取各类受害用户的银行卡账户、身份账号、各种密码等私密信息。风险场景:社交媒体钓鱼欺诈社交媒体钓鱼这种手法又被成为灯笼式钓鱼...
261