可信计算的出发点,其实是基于风险的。 沈昌祥院士认为:安全风险的实质,从科学原理上看,是人们对IT认知逻辑的局限性,由于不能穷尽所有逻辑组合,只能局限于完成计算任务去设计IT系统,必定存在逻辑不全的缺...
情报分析中的偏见
所有的分析师都会有偏见。一个人在哪里出生,支持什么党派,有什么宗教信仰,薪水,国籍,周边环境等等。都会影响一个人认识世界并获取信息的结果。我们需要了解偏见产生的逻辑错误,并以此来消除偏见,避免偏见对我...
命令注入限制绕过
文章前言 命令注入攻击是一种常见而危险的攻击方式,它可以使攻击者通过在目标系统中注入恶意命令来获取系统权限并执行恶意操作,为了应对命令注入攻击,开发人员们通常会采取各种限制措施,例如:输入验证、参数化...
记一次离谱的edu挖掘
闲来无事,网络上寻找目标。想起来前几天挖了一个某学校的洞,上次信息收集没做完,打完就收工了。所以我又回到该学校(很亲切),我想到主站可能没有什么漏洞了,准备去找找子站的时候,突然发现一个链接某某后台,...
前沿 | 关于当前涉人工智能几个法律问题的思考
文 | 中国应用法学研究所互联网司法研究中心主任 宋建宝在数字技术快速迭代和普遍应用的今天,人工智能作为数字技术应用的集大成者,对现有法律制度提出了不少挑战。司法审判不仅面临不易理解的技术发展,还要将...
众测实战技巧
本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 开局一个登陆框 弱口令无果,翻看js接口找未授权也无果,爆破...
Web实战】零基础微信小程序逆向
本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。 什么是小程序? 作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在...
微信客户端PC存在@所有人逻辑bug
0x00 复现思路 必要条件:PC客户端!!! 1、首先需要在一个自己有权限@全体的群里面,先@所有人,然后复制 2、随机找一个群发送,直接发送会显示感叹号 3、正确方法需要进行引用发送,随便引用一条...
建立安全运营中心(SOC)检测及检测方法10
检测 检测、分析和用例是用于描述攻击检测的 SOC 方法的一些术语。这些术语可能会有所不同,所采取的方法也可能有所不同。 在这里,我们将扩展运营模型部分中概述的方法,探索关键差异,同时保持技术不可知论...
技术分享|数据库中间件MyCat的取证分享
01背 景background 目前常见的新型违法犯罪网站大多采用PHP+MySql的单服单库直连的部署方法,也是我们在实战和支撑仿真重构过程中遇到的较多的部署类型。在一次支撑过...
WEB常见漏洞之逻辑漏洞(基础原理篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
如何画技术架构图2
点击上方蓝字谈思实验室获取更多汽车网络安全资讯在我们做系统架构设计时,如何快速的向外界传达我们的设计思路。4+1试图适合我们厘清思路、表达自己的想法。在我们汇报,争取领导层的认同支持更适合用架构图来表...