CSRF英文全称Cross Site Request Forgery,中文为跨站站点请求伪造,简称跨站请求伪造。它是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟XSS相比,...
“太舒服”的事情是危险的,如何有效应对?
上周我做了一个小小的实验。我平时刷知乎,都是默认选择「关注」页,看我关注的用户。但这次,我试着调成了「推荐」页,看算法给我推荐的内容。然后,我大致估算了一下自己在那几天里,刷知乎的时间。结果很有意思:...
【安全事件】精准短信钓鱼频发,已有多个银行用户中招!
通告编号:NS-2021-00102021-03-04TAG:短信钓鱼、网站伪造、业务安全、安全意识事件危害:易造成用户信息泄露与资金损失。版本:1.01事件概述2021年2月至今,绿盟科技应急响应团...
PDF转换器投放木马 将用户终端变为获利工具
【快讯】根据“火绒威胁情报系统”监测,火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块,正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下,利用用户电脑访问大量的...
约1亿用户的隐私数据被这23款安卓应用泄露
5月21日消息,Check Point研究人员在分析报告中表示,约1亿用户的隐私数据遭泄露,原因是多个安卓应用中的错误配置,导致这些数据可能成为恶意行为者眼中的“肥肉”。Check Point在分析报...
浅析非接触式金融欺诈技术——“短信嗅探”
作者 | 中国银行科运中心(上海)湛卢工作室 俞学浩摘要:目前,短信验证码验证用户身份的技术被广泛应用于网上银行、第三方支付等金融交易类场景中,而短信验证码依赖的GSM 通信无任何...
投资诈骗犯以约会软件的用户为目标进行攻击
由于约会应用软件的用户大量增加,网络犯罪分子利用了这一机会,他们使用一种复杂的诈骗手段,说服受害者加入他们的投资,并最终导致受害者身无分文。由于COVID-19的大流行,在隔离的状态下,更多人选择在网...
web 安全核心防御机制
每日学习打卡计划是信安之路知识星球开启的每天读书一小时,挑战打卡一百天的活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,学习书籍可以自选,主要目的是养成每日读书学习的...
初级:在 Linux 中自定义 Cinnamon 桌面的 7 种方法 | Linux 中国
导读:Cinnamon 给人一种传统的桌面体验,很多用户喜欢它的样子。这并不意味着你必须满足于它提供的东西。Cinnamon 提供了几种自定义桌面的方式。本文字数:2001,阅读时长大约:...
阿里云可信计算又一商业化成果落地,发布系统可信解决方案
近日,为了不断提升和优化云环境的安全性及安全体验,对用户业务和数据的云上安全实现更高安全等级保护,阿里云正式发布系统可信解决方案。该产品与和10月份发布的业界首个基于SGX2.0和TPM的虚拟化实例将...
学习笔记-Web安全访问控制及权限提升漏洞
什么是访问控制? 通常应用程序首先验证用户身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问"所请求的资源"(访问控制) 从用户角度访问...
商用密码技术体系和应用方案
请点击上面 一键关注!内容来源:数观天下密码技术描述密码技术是实现内生安全的核心和基础,整体贯穿硬件(芯片)平台、操作系统、应用服务器(中间件平台)、业务应用系统各个层次,密码技术应用需从系统规划设...
103