2020年所有文章 | CN-SEC 中文网

安全文章

eWebeditor 客户端控件任意文件读取漏洞

漏洞分析首先说一下这个“批量上传”功能。随便找一个使用了 ewebeditor 的网站如果已安装并且事先启动过控件进程的话，就会展示出完整功能。如未安装，则会弹出下载安装界面。安装成功再次访问，则会提...

09月24日559 views评论

阅读全文

安全闲碎

译文 | 精通业务的CISO的技能和特质

想要发展自己的职业或获得一份丰厚的职位的CISO必须证明他们确实是佼佼者，这就是招聘人员说的，精通业务的CISO与众不同。“精通业务”是什么意思？作为一个宽泛而有点模糊的术语，精通业务可以涵盖从拥有正...

09月24日236 views评论

阅读全文

安全文章

猎鹰札记：如何改善基于ATT&CK框架的数据源利用情况

随着传统安全边界日益模糊，攻击面不断增大，传统的被动等待警报出现再做出响应的网络防御措施已不能满足组织机构的安全需求。相反，组织机构要转换心态，变被动为主动，主动开展威胁狩猎。在威胁狩猎过程中，威胁狩...

09月24日339 views评论

阅读全文

安全文章

微步在线薛锋：情报是检测的灵魂 | 2020 情报大会“剧透”

10月21日，2020第四届“网络安全分析和情报大会（CTIC）”将在线上开幕。大会开始前，我们将定期公开本次大会嘉宾和演讲简介。本期公开的嘉宾是——微步在线创始人兼CEO，薛锋。薛锋将于10月21日...

09月24日326 views评论

阅读全文

安全新闻

三级等保成标配，互联网医院安全架构报告发布

互联网医院本身处于互联网环境中，随时面临着未知人员的恶意访问与攻击行为，自身的安全性难以保障。2018年7月国家卫生健康委员会、国家中医药管理局印发的《互联网医院管理办法（试行）》提出“互联网医院信息...

09月24日228 views评论

阅读全文

安全闲碎

“蓝色字体”事件背后的隐患警惕这类卡片消息！

这两天，一条“点击蓝色字体有惊喜”的消息在各个QQ群热传。点击“点我”按钮后会自动在当前对话中发出“周末我穿女装给你们爽爽”，引得一众女装大佬的疯狂点击……正当大家玩得不亦乐乎之时，突然有位“大佬”出...

09月24日346 views评论

阅读全文

代码审计

Yii2框架Gii模块 RCE 分析

利用周末时间分析了Yii2框架的一个RCE漏洞，利用了框架可以写PHP模板的功能，控制写入的内容为恶意代码，实现对指定的文件写入php 命令执行语句，调用PHP从而获取系统权限。 ...

09月24日390 views评论

阅读全文

代码审计

Windows操作系统基线核查

一、身份鉴别1.1应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。针对本地登录，使用Win+R组合键打...

09月24日471 views评论

阅读全文

云安全

阿里云又给自己找了个新台阶

「深层数字化」会是下一个 5-10 年的大主题，最终要迭代再造一个全新的真实世界。全文约 3443 字预计阅读 9 分钟前几天和几个企业家朋友聊天，聊到一个话题...

09月24日183 views评论

阅读全文

安全工具

AoiAWD-赛棍福音！针对CTF AWD的原创轻量级防御系统！

Aodzip@海特实验室项目地址关注本微信公众号，回复“AoiAWD”即可获得该项目的访问地址。“AoiAWD”——轻量级EDR系统AoiAWD 是一个由Aodzip（安恒信息海特实验室研究员、HA...

09月24日856 views评论

阅读全文

安全闲碎

技术干货 | 企业信息安全建设实践之路（六）

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！欢迎...

09月24日262 views评论

阅读全文

未分类

HW平安夜 09/23 2020HW总结

01 HW日记—HW日记2020年9月24日周四大雨+雷电黄色预警（这个城市，每天都是一场雨~）嗯，很适合养肤~（因为天气雷同，不得不出现日记的雷同）HW进入倒计时阶段，还...

09月24日36 views评论

阅读全文

在线咨询

微信