关键词安全漏洞据Cyber Security News消息,网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 (WAF) 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞,...
【翻译】CORS - 错误配置和绕过
什么是 CORS?跨域资源共享 (CORS) 标准使服务器能够定义谁可以访问其资产以及允许从外部源使用哪些 HTTP 请求方法。同源策略要求请求资源的服务器和托管资源的服务器共享**相同的协议(例如)...
简单的配置修复可以保护服务器免受攻击
2023 年 3 月,超过 56,000 人的数据(包括社会安全号码和其他个人信息)在DC Health Benefit Exchange Authority事件中被盗。在线健康保险市场黑客事件暴露了...
在云中实现零信任
一些组织已经相信云中的工作负载本质上比本地工作负载更安全。云服务提供商 (CSP) 承担安全责任的概念强化了这一想法。然而,虽然安全的云工作负载是可能的,但人们不应自动假设这一点,因为有重要的步骤来确...
1,600$:Auth0 错误配置
前言 Auth0 是一个广泛用于网站和应用程序的身份验证平台,负责管理用户身份并确保其服务的安全访问。该平台提供了多种工作流程,以无缝集成登录和注册流程。 在 Auth0 中创建新应用时...
通过 Facebook OAuth 错误配置进行账户前接管
在我们开始之前,我想告诉你阅读文章、技巧和其他前辈的知识分享。我阅读了很多文章,并在我的发现中使用它们。我们先说吧,前几天,我在测试一个 BBP 时,无意间发现了这个。我的目标有一个注册页面,您可以使...
报告:云安全威胁形势未根本缓解,四大问题凸显
本文6281字 阅读约需 16分钟近日,云安全联盟(CSA)发布的《2024年顶级云计算威胁报告》(简称《报告》)显示,云安全问题严重性并未得到缓解,包括错误配置、IAM问题、不安全的接口和API...
云安全漏洞管理的原则与实践
当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动...
ggshield:查找并修复基础设施即代码错误配置和硬编码密钥
关于ggshield ggshield是一款针对基础设施及代码的安全检测工具,该工具支持查找并修复 400 多种类型的硬编码敏感数据和 70 多种类型的基础设施即代码配置错误。 ggshield是一个...
警惕 Perfctl 恶意软件:Linux 服务器面临的新威胁
近期,Aqua Security 的研究人员发出警报,一种新发现的针对系统的恶意软件家族正在肆虐,其目的是建立持久访问权限并劫持资源用于加密货币挖掘。名为 “perfctl” 的恶意软件似乎利用了超过...
朝鲜 APT 在网络间谍攻击中绕过 DMARC 电子邮件策略
关键词网络攻击随着地缘政治紧张局势的加剧,朝鲜网络间谍组织对美国及其盟友组织的网络攻击激增也就不足为奇了。然而,令人不安的是,一个名为 Kimsuky 的高级持续威胁 (APT) 组织通过将防御优势转...
为什么 Django 的 [ DEBUG=True] 对黑客来说是一座金矿
错误配置通常是安全环境中最薄弱的环节。Django 中最危险但最容易被忽视的错误配置之一是DEBUG=True在生产环境中出现错误配置。从攻击者的角度来看,这是侦察和利用的金矿。本文探讨了攻击者如何利...