密码技术是信息安全领域的重要组成部分,随着人工智能、物联网、5G网络等新兴技术快速发展,服务器在内的终端设备基本处于白盒环境下,攻击者可任意使用调试工具对终端设备发起攻击,在反编译后的程序中寻找加密算...
微星固件映像签名密钥遭泄露,危及上百种产品
上个月,硬件巨头微星(MSI)遭受了勒索软件攻击,攻击者声称窃取了1.5TB的数据(包括源代码、密钥以及BIOS固件等各种敏感信息)。最近,在微星拒绝支付赎金后,该勒索软件团伙开始在其数据泄漏网站上公...
CVE-2020-17526—Apache Airflow 默认密钥导致的权限绕过漏洞复现
原理CVE-2020-17526 是 Apache Airflow 的一个漏洞,根源在于默认密钥的使用。在 Apache Airflow 1.10.13 及更早版本中,默认密钥用于加密和解密连接密码、...
谷歌正在向所有账户推出密码终止技术
谷歌宣布让其个人帐户持有人使用称为“密码”的密码替代登录的一项重大努力。该功能今天面向公司的数十亿帐户推出,用户将能够主动寻找并启用它。谷歌表示,它计划在未来几个月推广密码,并开始推动账户持有人将他们...
云安全案例4:黑客在谷歌云中淘宝
这篇文章介绍了嵌入在 Docker 镜像中的密钥,以包含在公共谷歌云 Docker 镜像 (Apigee) 作为示例,以及如何使用这些示例来利用正在运行的服务。 背景 密钥不应在构建时嵌入到 Dock...
【管理制度】密码设备管理制度
密码设备管理制度第一条 为加强密码设备的管理,特制定本制度。第二条 放置密码设备的数据中心机房支持24小时专人值守运转。第三条 密码设备必须放置在安全、保密的环境中,...
钓鱼场景下微信聊天记录回传
一、使用场景钓鱼攻击(通过钓鱼 / 微信控到的机器通常都是登录状态)渗透到运维机器(有些运维机器会日常登录自己的微信)实战中钓鱼时常在微信聊天记录中找到目标内网系统账号、机器账号密码,尽可能的不触发大...
漏洞分析 |【原创】Nacos历史+最新漏洞详细分析(附利用方法)
0x01 Nacos < 2.2.0默认jwt密钥未授权访问部署Nacos部署通过代理下载nacos-server-2.2.0传到服务器: 解压后进入bin目录启动 bash startup.s...
浅析Vmess流量与强网杯2022谍影重重
前置知识 MAC 在密码学中,Message Authentication Code(消息认证码,有时也被称为tag)是用来认证消息的比较短的信息。换言之,MAC用来保证消息的数据完整性和消息的数据源...
API安全风险与防范措施
API安全 Application Program...
漏洞风险提示| Nacos 身份认证绕过漏洞
长亭漏洞风险提示 Nacos 身份认证绕过漏洞Nacos 是一个便于构建云原生应用的动态服务...
注册表修改测试
本文由孙林轩编译,陈裕铭、Roe校对,转载请注明。 在查看一些关于恶意软件和其他威胁参与者如何“使用”注册表满足他们的需求的各种公开报告后,我想从DFIR的角度,看看这些行为的效果及影响。我想从一种类...
26