对于犯罪分子来说,银行不是一个新的目标。当然,昔日暴力抢劫已升级为线上攻击。日益频繁且高水平的网络攻击给银行安全从业人员带来了巨大挑战。对此,银行业该如何增强自身的安全防御能力呢? 近日,某全国性商业...
以业务为核心的质量保证体系建设实践
信息技术已经深入到人们生产、生活的各个领域,特别是当下已经被广泛应用在电力、交通、能源等这些国家关键基础设施行业,软件产品质量把控的好坏将直接影响到客户生产环境的安全和稳定。任何一个领域的体系建设都需...
盘点:CICD管道安全的六种最佳实践
CI/CD是应用程序开发周期的重要组成部分。然而,犯罪分子正在利用CI(持续集成)/CD(持续交付)管道中的漏洞,窃取敏感信息,挖掘加密货币,并交付恶意代码。最近的网络攻击利用了持续集成/持续交付(C...
浅谈软件供应链安全治理与应用实践
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供...
技术分享 | Java 供应链(依赖)安全检测实践
概述Java 作为业务建设的主流语言,广泛应用在互联网、金融等企业中,Java 社区和开发者们提供的大量开源程序也帮助提高了开发效率,所以在业务工程中经常可以看到开源程序。但近些年,开源程序陆续爆出安...
U盘目录穿越获取车机SHELL(内含模拟环境可上手实践)
利用 U 盘 Getshell 是不是还停留在 Badusb、病毒U盘上,这次就来看一个不一样的。前段时间在浏览 Github 时看到了一个日产车机破解项目,其中有利用 U 盘获取车机 SHELL 的...
Java安全编码实践总结
Java作为企业主流开发语言已流行多年,各种java安全编码规范也层出不穷,本文将从实践角度出发,整合工作中遇到过的多种常见安全漏洞,给出不同场景下的安全编码方式。本文漏洞复现的基础环境信息:jdk版...
内网快速批量化利用实践 [一]
0x01 利用前提已经事先拿到某个管理员的明文密码或密码hash,假设为 user: Administrator [特别注意,此处最好就用win系统内建的administrator用户去跑...
【奇技淫巧】wmic 远程建立可写入共享,一种思路及实践
内网渗透时候,上传木马经常没有默认共享,不可写入的共享文件夹。后面初步接触wmic,认识了wmic远程强大的功能,于是想到了远程主机给主机建立可...
导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求
背景回顾2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。截至发稿前,Colonial称已通报了联邦当局,并雇用了FireEye公司进行...
解码API安全-挑战、威胁和最佳实践
点击蓝字关注我们一、序言API为当今大多数数字体验提供了动力,API安全性仍然是大多数CXO最关心的问题。尽管数字化转型不断推动API在各个行业的应用,但恶意威胁行为比以往任何时候都更加瞄准API。当...
娇弱的 PHP [ php-fpm.conf & php.ini 安全优化实践 ]
此次更多可能还是专注于php解析器和php-fpm进程上下文的安全,并未涉及到具体的代码审计,关于审计方面的内容,后续还会有非常大篇幅的说明,我们今天就暂时先来大致看看,如何从源头上来防...