2月16日,星期四,您好!中科汇能与您分享信息安全快讯:01印度社交媒体应用Slick泄露儿童用户数据近日,安全专家表示发现了印度的社交应用程序Slick的一个内部数据库,该数据库在没有密码的情况下,...
攻防演练事件研判篇
本文作者:江霁月, 转自FreeBuf.COM分析研判技术网络安全攻击类型暴力破解xss跨站脚本攻击目录遍历恶意通信永恒之蓝勒索病毒权限提升SQL注入文件上传漏洞命令注入挖矿病毒Log4j远...
Web应用安全防护的十大误区
随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞,攻击者可以...
反射型XSS获微软$3000漏洞赏金奖励
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。介绍:在本文中,你将看到 Microsof...
实战 | 云原生渗透实战:综合场景
简介云原生环境下各种各样的攻击方式——从容器到Kubernetes,再到网络。本文中我们将为大家展示一个云原生环境下较为完整的靶机渗透实验,帮助大家更好地感知云原生环境下的渗透实战,以及这种渗透过程与...
黑客创建恶意的Dota 2游戏模式来秘密访问玩家的系统
一个未知的威胁行为者为 Dota 2 多人在线战斗竞技场 (MOBA) 视频游戏创建了恶意游戏模式,这些模式可能已被利用来建立对玩家系统的后门访问。这些模式利用了 V8 JavaScript 引擎中的...
API安全性:不能只是下一代WAF上的附加组件
WAAP(Web应用和API保护平台)是带着“下一代WAF”光环出道的,旨在超越传统WAF基于签名的攻击防护方式,并为用户提供额外的API保护功能。从本质上看,WAAP是一种更高级的WAF方案。那么,...
【漏洞浅谈】redis未授权访问漏洞如何getShell?
点击上方蓝字关注我们 知识干货及时送达漏洞简介redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(...
Apple产品多个漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告WebKit 是一个开源的浏览器引擎,主要用于Safari,Dashboard,Mail和其他一些Mac OS X程序。...
工业无线物联网解决方案中的缺陷可让攻击者深入访问OT网络
运营技术 (OT) 团队通常通过无线和蜂窝解决方案将工业控制系统 (ICS) 连接到远程控制和监控中心,这些解决方案有时带有供应商运行的基于云的管理界面。这些连接解决方案,也称为工业无线物联网设备,增...
Reddit 的源代码和内部数据被盗
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周日晚上,Reddit 公司遭网络攻击,黑客访问了内部业务系统并窃取内部文档和源代码。Reddit 公司指出,黑客通过假冒其内网网站的登...
无线IIoT设备中存在38个漏洞,关键基础设施面临风险
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士四家厂商的无线工业物联网 (IIoT) 设备中存在38个漏洞,可成为利用运营技术 (OT) 环境的攻击者的巨大攻击面。发现这些漏洞的以色列...
261