一些组织已经相信云中的工作负载本质上比本地工作负载更安全。云服务提供商 (CSP) 承担安全责任的概念强化了这一想法。然而,虽然安全的云工作负载是可能的,但人们不应自动假设这一点,因为有重要的步骤来确...
2024年云计算顶级威胁Top11
2024年11项顶级云安全威胁报告指出,由云服务提供商 (CSP) 负责的传统云安全问题在排名中持续下降。此前报告中提到的拒绝服务攻击、共享技术的漏洞以及CSP数据丢失等问题,本次因评级较低而未被纳入...
盲SSRF+CSP绕过实现XSS
目标网站存在该端点:https://site.com/proxy?source=http://imgeurl.com/profile.png?size=20px参数proxy?source=的功能是根...
云安全:保护云中数据的最佳实践
随着组织越来越多地将其应用程序、数据和基础设施迁移到云中,安全性已成为首要问题。虽然云服务提供商 (CSP) 提供了一系列安全功能,但保护数据的责任在于提供商和客户,这通常被称为“责任共担模型”。因此...
同源策略
同源策略 # 同源策略是目前所有浏览器都实行的一种安全政策。 A网页设置的 Cookie,B网页不能打开,除非这两个网页同源。 所谓同源,是指: 两个网页,协议(protocol)、端口(port)、...
绕过CSP实现零点击账户接管
扫码领资料获网安教程来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)介绍在最近的一个项目中,我遇到了一些看似不太严重的漏洞。然而,令人惊讶的是,当这些问...
云渗透测试清单 - 2024
云渗透测试是一种通过模拟恶意代码的攻击来主动检查和检验云系统的方法。云计算是云提供商和从提供商处获得服务的客户共同的责任。由于基础设施的影响,不允许在 SaaS 环境进行渗透测试。在需要一些协调的情况...
NIST 建议制定密码安全新规则
2024年全球50家最佳网络安全公司2024年15款最佳补丁管理工具网络安全知识:网络安全中的EDR是什么?一个技术交流群,非诚勿扰!谢绝卖课、病毒式加人入群!入群链接美国国家标准与技术研究所 (NI...
NIST提议禁止一些最荒谬的密码规则
NIST提议禁止一些最荒谬的密码规则 提议的准则旨在为密码卫生注入迫切需要的常识。美国国家标准与技术研究院(NIST)是制定技术标准的联邦机构,为政府机构、标准组织和私营公司制定技术标准,提议禁止一些...
内容安全策略CSP详解
1. CSP定义CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CS...
Web安全之SRI(Subresource Integrity子资源完整性)详解
Web安全之SRI详解在现代Web开发中,前端性能和用户体验是至关重要的。为了提高加载速度和减少服务器负载,开发者通常会使用外部资源,如第三方库和CDN(内容分发网络)提供的脚本和样式文件。然而,这些...
【漏洞赏金报告】挖掘ChatGPT中的XSS漏洞导致账户接管
前言ChatGPT 在企业和个人用户中广泛使用,因此成为攻击者获取敏感信息的主要目标。在这篇文章中,我将介绍我在 ChatGPT 中发现的两个跨站点脚本 (XSS) 漏洞和其他几个漏洞。如果这些漏洞结...