“登陆”的实现 登陆功能应该是Web项目里见到的比较多的业务模块的,通常会跟session会话结合,完成对应的操作,常见的实现过程如下: session...
4 安全计算环境 - 4.5 应用 - 身份鉴别
为防止非授权用户访问应用系统,应用系统需对登录的用户进行身份鉴别,以确保系统内的用户才可访问应用系统。【安全要求】应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期...
UEBA场景之数据库安全
一、UEBA场景是什么 腾讯御见UEBA(用户实体行为分析)使用一系列分析方法(统计学习、机器学习等)通过分析用户实体相关行为日志,对用户及其实体进行风险监测分析和风险评估,最终识别内部风险...
关于PDD员工发帖溯源联想到的相关技术与实现
序只分析技术不讲对错,也给一些规避方案。写这个文章呢,只是好奇在某职场APP上很多人好像并不知道,PDD是怎么查到的。我个人思考来说有两种方向可以实现:一种是技术+设备一种是社工一、纯技术分析网上其实...
incaseformat 病毒分析
近日,大量用户文件被删除,源于一个叫做incaseformat的病毒,此病毒的主要传播方式是将自身伪装成文件目录,当用户双击时实际上是启动了病毒文件。病毒文件会隐匿在受害者主机中潜伏着,等待指定的时机...
短链接安全
前言想必大家也经常收到各种垃圾短信吧,短信中的链接一般都是短链接,类似于下图这样:为什么这里面的URL为什么这么短?有什么好处?怎么做到的呢?0x01 短链接概述1.1 短链接的好处短。短信和许多社交...
Java代码审计之平行越权
平行越权的业务场景主要是Web 应用程序接收到用户请求,对某条数据进行业务操作时(例如编辑收货地址),没有判断数据的所属人,或判断数据所属人时,从用户提交的request参数(...
安全攻防,从入门到进阶
安全,是程序员容易疏忽,但一出问题就异常棘手的事儿。 不管你有没有注意到,安全事件在互联网行业其实一直屡见不鲜。2017 年,虾米的客户端被曝出一段“嘲讽”未付费用户的注释,本应该是机密的代...
“隔空投送”又没关?黑客破解 iPhone 只需 1 毫秒!
近日,德国达姆施塔特技术大学的研究人员发现,苹果的 " 隔空投送(AirDrop)" 功能会将用户 Apple 账号绑定的电话号码和电子邮箱泄露给附近的苹果设备。研究者指出,苹果已经知道这个问题近两年...
针对会话机制的攻击与防御
学习打卡计划是信安之路知识星球开启的 “每天读书一小时,挑战打卡一百天” 主题活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,学习书籍可以自选,主要目的是养成每日读书...
CVE-2021-3156:Sudo 堆缓冲区溢出漏洞 POC
漏洞详情CVE-2021-3156: 缓冲区溢出漏洞在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需...
Web安全:越权访问漏洞
越权访问漏洞分为平行越权访问漏洞与垂直越权访问漏洞两类。平行越权访问漏洞指的是权限平级的两个用户之间的越权访问。比如一个普通的用户A通常只能够对自己的一些信息进行增、删、改、查,但是由于开发者的一时疏...
103