美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近联合发布了一份网络安全咨询,分享了大型组织中最常见的网络安全配置错误,该结果是由红蓝团队基于实践综合评估得出,咨询鼓励作为网络安全防御...
全球零售商 BuyGoods.com 泄露 198GB 内部和用户 PII、KYC 数据
来自特拉华州威尔明顿的 BuyGoods.com 拥有遍布 17 个国家/地区的 300 万消费者用户群,泄露了惊人的 198.3 GB 错误配置的数据库包含超过 260,000 条记录,包括客户使用...
GTFOBins:对配置错误的功能、sudo 和 suid 二进制文件进行自动权限升级的工具
01 关于 GTFONow是一个通过利用错误配置的 setuid/setgid 二进制文件、功能和 sudo 权限,在 UNIX 系统上自动提权的工具。专为 CTF 设计,但也适用于渗透测试。 特性 ...
因配置错误和安全漏洞,丰田保险公司客户信息遭泄露
关键词数据泄漏一系列配置错误和安全漏洞导致研究人员能够访问存储在丰田通商保险经纪印度公司(TTIBI)电子邮件帐户中的客户信息。美国研究员伊顿·兹维亚尔(Eaton Zveare)解释称,由于TTIB...
攻击者瞄准Apache Hadoop和Flink,用于传送加密货币挖掘器
网络安全公司Aqua的网络安全研究人员发现了一种针对Apache Hadoop和Flink应用程序的新攻击。这些攻击利用Apache Hadoop和Flink中的配置错误来部署加密货币挖掘器。研究人员...
双因素配置错误-账户口令遭暴力破解!威胁情报巨头Mandiant的X账户被接管教训深刻
网络威胁情报巨头Mandiant分享了对其近期X账户劫持事件的调查结果,此前该公司发生了一波与加密货币相关的X账户黑客攻击事件。2024年1月3日,Mandiant的X(以前的Twitter)账户被接...
游戏开发商Ateam因配置错误Google云盘,使百万人敏感数据在6年内可被任意访问
NEWS日本游戏开发商 Ateam 称,自 2017 年 3 月以来,公司错误地将Google Drive 云存储账户设置为“任何有链接的人都可以查看”,这个简单的配置错误或已导致近 100 万人在6...
【翻译】在Firebase中发现的关键性配置错误 - 漏洞赏金(028)
标题:Critical misconfiguration in Firebase — Bug bounty作者:Facundo Fernandez原文地址:https://medium.com/@fa...
OAuth配置错误导致账户劫持
OAuth配置错误导致账户劫持测试流程1.假如你有一个google邮箱: [email protected].在登录目标账户xxx.com的时候通过OAuth的方式用 [email protected]登录,然后退...
【翻译】我的首次经历:发现关键错误(API配置错误)(027)
标题:My debut with a Critical Bug: How I found my first bug (API misconfiguration) 作者:whit3ros3原文...
数据安全|API接口安全性
前言伴随互联网革命快速创新发展,API 需求的日益剧增,针对 API 的攻击几乎遍布各个行业,据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万,游戏、社交、电商、制造等行业依然是...
技术新趋势:SaaS安全配置管理(SSPM)
在当下攻击者和恶意行为横行的网络时代里,大部分企业都需要将云端配置的安全性作为一个重要先决条件。不仅如此,SaaS安全配置管理(SaaS Security Posture Management, SS...
8