中国古语有云:“千里之堤,溃于蚁穴。”供应链攻击正是利用这种系统性弱点发起攻势。近年来,随着国内数字化转型加速,供应链安全问题频发。从某盟删库事件到某头部物流企业数据泄露,从某国产工业软件遭恶意代码植...
Linux内核高频攻击面与漏洞类型统计研究
收集整理了自2022年1月1日以来,至2023年2月18日的所有Linux内核漏洞,数据来自NVD,总计漏洞数量314个,从CWE类型、漏洞所在子系统分析Linux内核攻击面。CWE统计按照CVE公...
四分之三的网络安全事件是由于资产管理不善造成的
一项新的研究,揭示了对攻击面风险的识别与使用专门工具管理该风险之间存在令人担忧的脱节。趋势科技在旧金山举行的 RSA 大会上公布了这一研究结果。这项对全球2000多名网络安全领导者进行的研究表明,73...
入侵苹果——SQL注入远程代码执行
介绍在上一篇博文中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,并意识到其潜在的攻击面之广。显然,花时间理解代码是值得的。经过一周的探索,我们偶然发现了...
最新报告:2024 年网络攻击总量达 3110 亿次,AI API 漏洞成罪魁祸首
根据 Akamai 的最新报告,2024 年Web 攻击增加了 33%,其中 API 成为主要攻击目标。这一增长主要是由于人工智能应用的快速普及,导致了攻击面的扩大。新数据显示,2024年Web攻击增...
解读2024年网络攻击趋势
网络安全公司Mandiant发布了《M-Trends 2025》报告,基于其2024年参与的事件响应工作,梳理了全球网络攻击趋势。01核心趋势与洞察2024年,Mandiant处理的金融行业安全事件占...
攻击面管理(ASM)全景解读:从资产发现到风险收敛
在数字化浪潮席卷的当下,企业的网络边界愈发模糊,网络安全面临前所未有的挑战。攻击面管理(Attack Surface Management,简称 ASM)作为应对复杂安全威胁的关键手段,正逐渐成为网络...
赏金猎人 | 利用 Web3 的隐藏攻击面:Netlify Next.js 库上进行XSS攻击
前言随着 Phantom、Metamask 和 Coinbase Wallet 等 Web3 浏览器扩展程序的推出,越来越多的看似“静态”的网站允许用户直接从浏览器与以太坊和 Solana 等区块链网...
工具集: AttackSurfaceMapper 【结合开源情报和主动技术的攻击面侦察工具】
声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】🐉工具介绍AttackSurfaceMapper(ASM)是一款用于信息侦查的工具,结合了开源情报(OSINT)...
HVV Windows【安全加固】手册
安小圈第641期HVV · Windows安全Windows系统安全加固是保障计算机环境稳定的关键步骤,需从系统配置、权限管理、漏洞防护等多维度入手。1. 账户与密码策略强制启用高强度密码策略,密码长...
amass 开源的攻击面和资产发现的工具
工具介绍OWASP Amass 项目开发了一个框架,帮助信息安全专业人员使用开源情报收集和侦察技术执行攻击面网络映射和外部资产发现。 该框架包括用于资产发现的收集引擎、用于存储发现的资产数据库以及各种...
攻防速写|越狱的宇树机器狗
人类驯化灰狼的历程,是一部跨越四万年的文明契约——我们用火把与耐心褪去它们眼中的野性,让獠牙化为守护家园的忠诚。当美国的波士顿动力和中国的宇树科技创造的各式机器狗在聚光灯下灵巧翻跃时,这种古老的共生关...