黑帽大会Web安全热点:Meetup曝出两大高危漏洞

本周一在2020黑帽大会上,Checkmarx安全研究人员曝光了流行线下聚会应用Meetup的两个高风险漏洞.

作者:星期二, 八月 4, 2020335
标签:, ,

99%的网站JavaScript插件面临攻击风险

全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。

作者:星期三, 七月 15, 20202,805
标签:,

全程护航|长亭科技发布《重大活动安保解决方案》

网络攻击早已不是“新闻”,据统计,全球近90%的企业单位都遭受过网络攻击。在重要节……

作者:星期四, 三月 19, 20201,111
标签:, ,

2020攻防演练准备 | 如何构建有效的企业安全防御体系?

疫情过后,工作生活逐渐回归正轨。对于网络安全行业来说,攻防演练再次提上日程。新……

作者:星期一, 三月 16, 20203,414
标签:, ,

系列干货课程一键收藏 | 长亭科技攻防经验首次公开

网络安全领域的对抗,本质上是人与人之间的对抗。 而网络终端、网络设备、介质以及……

作者:星期三, 三月 4, 20203,173
标签:,

盛邦安全发布Web应用安全综合治理系统新版本,响应IPv6环境下的资产治理需求

近日,盛邦安全发布了Web应用安全综合治理系统RayGate v3.0版本,新增了IPv6资产自……

作者:星期三, 十二月 4, 2019732
标签:,

Akamai连续三年进入 Gartner WAF 领导者魔力象限

如今,Web应用程序和API特别容易受到攻击。随着支持移动互联并基于微服务构建的Web应用程序被越来越多地部署在混合云和多云环境中,其中许多程序通过API暴露在外,导致它们发展成为一个新兴的主要攻击向量,许多企业的受攻击面因此扩大。

作者:星期三, 十月 9, 20194,557
标签:, , ,

盛邦安全助清华大学梳理海量Web资产 实现安全闭环管理

在高校网络安全保障中,梳理网络安全资产无疑是重要的基础性工作,也是进行资产管理……

作者:星期三, 九月 25, 2019878
标签:,

web安全之CSRF漏洞说明

CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站……

作者:星期五, 七月 26, 20191,588
标签:,

内容驱动流量 网站应用IPv6支持度如何?

IPv6作为下一代互联网核心基础技术,其海量的地址空间,能够为物联网、工业互联网、……

作者:星期五, 七月 12, 20191,667
标签:,

漏洞扫描“全覆盖”法则 | 被动扫描如何在资产发现中发挥作用?

Web资产管理与安全评估是安全管理人员日常工作中不可忽略的组成部分,企业安全审计……

作者:星期一, 七月 1, 20191,988
标签:, ,

高招季成为高校网站“高危期”, 盛邦安全建议高校实施立体化主动防御

高考分数已经陆续出炉,考生进入了查分数、填报志愿的高峰期。与此同时,很多不法……

作者:星期四, 六月 27, 20191,678
标签:,

强网宝鼎 最强王者 牛人召唤 等你来战!

为全面贯彻落实习近平总书记关于网络强国的重要思想,延揽储备锻炼网信领域特殊人才……

作者:星期一, 五月 6, 20192,240
标签:, , , , , , , , ,

反拖库的核心在于区别“人与工具”

瑞数信息的防拖库动态安全解决方案的核心是采用“动态安全技术”,结合客户端行为分析,识别“工具”行为还是正常“人”的操作行为,可发现恶意爬虫、漏洞利用工具及扫描器的行为,并可实施拦截。

作者:星期二, 十月 24, 20176,431
标签:, , , ,

盛邦安全的四步Web安全治理思路

安全管理人员要想全面的了解公司系统安全情况,实现对Web系统的可知、可感、可查和可控,需要对整个Web系统的全生命周期进行管理,建立新一代Web安全治理体系。

作者:星期三, 四月 19, 20172,301
标签:,

机器 vs. 机器:Web的未来将以谎言检测为中心

虚假广告、网络暴力、僵尸网络等等的检测,全都可以用机器学习解决。机器学习甚至可以应用到政客的推特上——查出他们有没有对自己的行踪撒谎。

作者:星期一, 四月 17, 20172,132
标签:,

这四位谷歌美女安全研究员决心颠覆Web安全观

塔布里兹对HTTPS推广,意味着超越Chrome代码自身,将整个Web安全拖上HTTPS标准。

作者:星期一, 十一月 7, 20162,325
标签:, , ,

安全牛课堂:别人都快把 Burp Suite 学完了 你还在等什么

Burp Suite 可以帮我们执行各种任务,包括请求的拦截和修改、扫描Web应用程序漏洞、暴力破解登陆表单、执行会话令牌等多种随机性检查。

作者:星期三, 九月 7, 20161,450
标签:, ,

安全课堂第八期:从Web安全到APT

安全牛的在线技术讲座第八期:东巽科技安服工程师——正切(军师),带来的主题为《从Web安全到APT》(待定)的分享。

作者:星期三, 五月 25, 20161,520
标签:, ,

Web应用安全——攻防对抗发展趋势

从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业,这次也不例外。网站的Web安全一直是一个大众密切关注的方向。

作者:星期六, 五月 7, 20162,667
标签:, ,

RSA 2016 中国厂商风采:盛邦安全

从名字上就可看出盛邦(WebRAY)是一家专注于Web安全的企业,主要产品为Web应用防火墙和扫描检测、监控预警等,并于此次RSA大会上打出其“完整的下一代应用安全体系框架”的理念。

作者:星期五, 三月 4, 20163,121
标签:, ,

网站安全认证不靠谱,“安全网站”更容易遭黑

近日科学家们对提供安全网站认证标志的十家知名安全服务商进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。

作者:星期一, 十二月 8, 20142,536
标签:, , ,

淘汰验证码,Google推出人工智能用户验证技术

Google近日开始向网站提供一种全新的,基于人工智能技术的用户验证工具。

作者:星期四, 十二月 4, 20142,153
标签:, ,

谷歌开源web安全测试工具Firing Range

Firing Range的测试床汇集了Google在整个互联网上发现的各种漏洞和bug,从而能够更全面准确地评估并完善web安全测试工具。

作者:星期三, 十一月 19, 20145,411
标签:, , , , ,

Drupal漏洞发布7小时内遭自动化攻击,1200万网站经历生死时速

Drupal近日爆出一个影响上百万网站的严重安全漏洞,更糟糕的是漏洞发布7小时内就遭受自动化攻击,这意味着大量Drupal网站都无法幸免。

作者:星期五, 十月 31, 20141,683
标签:, , , ,

国家计算机病毒应急处理中心: 过半被抽检政府网站有安全隐患

国家计算机病毒应急处理中心最新发布的2013年全国信息网络安全状况与计算机和移动终端病毒疫情调查结果显示过半被抽检政府网站有安全隐患。

作者:星期四, 九月 18, 20141,047
标签:, ,

奥巴马医保网站遭黑客入侵 被上传恶意软件

据国外媒体报道,美国官员日前透露,今年7月时曾有名黑客入侵了医保注册网站HealthCare.gov,并上传了恶意软件。

作者:星期四, 九月 11, 20141,150
标签:, , ,

Netflix开源自主开发的网络攻击和DDoS监测工具

Netflix的安全团队最近开源了他们用来监控互联网攻击的三个工具。 这三个工具分别是“Scumblr”“Sketchy”和 “Workflowable”。其中Scumblr可以根据预先设置的关键词, 通过监控论坛和社交媒体来搜索关于针对特定机构的网络入侵或者DDoS的讨论。 Sketchy则可以通过对网站截图或者文本截取的方式进行取证。

作者:星期二, 九月 9, 20143,928
标签:, , , ,

间谍软件商被黑 40GB源码泄露

上周,有黑客声称入侵了Gamma Group的内网,获取了多达40GB的内部文档和恶意程序源代码。其中就包括了finfisher的代码及文档。finfisher是一个由政府和执法部门出于监视目的而使用的间谍软件。Gamma Group是一家专门给政府和执法机构提供间谍软件的欧洲公司。

作者:星期二, 八月 19, 20141,718
标签:, ,

谷歌调整搜索排名算法,激励网站采用HTTPS安全协议

谷歌本周三宣布将对那些不采用HTTPS安全协议(TLS)的网站在搜索排名中进行降权处理。数月前,谷歌曾在Google I/O大会上呼吁全互联网普及HTTPS,之后越来越多的站点管理员开始部署HTTPS,如今Google通过调整搜索排名算法将进一步推动HTTPS(TLS)的普及。

作者:星期二, 八月 12, 20141,407
标签:, ,

对DDoS攻击勒索说No!

什么是正确的应对DDoS攻击的方法呢?不要屈服。企业或机构无论如何也不要付钱给攻击者,否则就立下了一个危险的先例。

作者:星期五, 八月 8, 20141,804
标签:, , ,

网络安全立法再启程

接近决策层的消息人士透露,全国人大、最高法以及相关部门正在就“网络安全法”进行调研。根据2014年4月发布的全国人大常委会2014年立法工作计划,制定“网络安全法”已列入立法预备项目。这意味着,自1994年国务院颁布《计算机信息系统安全保护条例》后,长期备受关注的网络安全立法工作,再次提上议程。

作者:星期一, 八月 4, 2014919
标签:, , ,

惠普:物联网带来诸多安全隐患

基于其Fortify部门以及对10个最流行的物联网设备进行的研究。惠普发现,平均每个设备有25个漏洞,这些设备包括电视、网络摄像头、自动调温器、遥控电源插座、洒水器、门锁、家用报警器、体重秤和车库开关等。

作者:星期四, 七月 31, 20141,232
标签:, , ,

欧洲央行网站遭遇黑客袭击 私人信息被泄露

欧洲央行(ECB)周四(7月24日)表示,该行公开的外部网站的数据库遭到了黑客攻击,该行网站上注册者的电子邮件和联络人的细节信息被窃取。

作者:星期一, 七月 28, 20141,695
标签:, ,

安全厂商的炒作使企业购入二流安全技术

Ponemon研究所一项新的问卷调查发现,安全厂商炒作安全威胁以使得用户对其安全平台产生兴趣的做法,最终可能会长久地损害自己的声誉,夸大的做法也可能会令企业作出令人失望的科技投资。调查报告指,一味的浮夸可能会令客户购入一些令人失望的技术。

作者:星期三, 七月 23, 20141,106
标签:, , ,

WordPress插件爆出漏洞, 170万网站恐受影响

最近安全研究公司Sucuri表示, 一个流行的Wordpress插件MailPoet被怀疑可能存在漏洞, 能够让黑客取得对站点的完全控制。 MailPoet是一个Wordpress下流行的用于制作和管理推广邮件的插件, 下载量超过170万个。

作者:星期二, 七月 22, 20142,095
标签:, ,

网银黑客通过日本色情网站传播木马

网络安全公司ESET最近发表报告, 称发现黑客正在利用日本色情网站传播新型网银木马。 一个名为Aibatook的恶意网银木马正在通过日本色情网站植入那些色情网站的访问者。

作者:星期一, 七月 21, 20141,939
标签:, , ,

CNET数据库被盗, 黑客称无恶意

7月15日消息,据国外媒体报道,一个俄罗斯黑客组织称它在上周末入侵了著名科技网站CNET的服务器并窃取了一个注册用户数据库。这个黑客组织曾经袭击过多家超大型新闻和商业网站。

作者:星期四, 七月 17, 20141,585
标签:, ,

印度CA发行商伪造Google雅虎证书,微软紧急更新吊销证书

印度国家信息安全中心NIC被发现使用Indian CCA发行的次级CA证书发行了多个假的Google和雅虎SSL证书(三个Google域名和一个雅虎域名,此外还有yahoo-inc.com、yahooapis.com、static.com和gstatic.com等)。未授权的SSL证书可被用于发动中间人攻击,如嗅探内容和钓鱼。

作者:星期二, 七月 15, 20141,601
标签:, ,

Flash曝严重漏洞 波及eBay和Tumblr等网站

谷歌信息安全工程师米歇尔·斯帕格鲁诺(Michele Spagnuolo)周二表示,一种与Adobe Flash文件有关的攻击方式正导致数百万用户的身份认证信息面临风险,而涉及的网站和服务包括eBay、Tumblr和Instagram。

作者:星期五, 七月 11, 20141,695
标签:, ,

2014年美国黑帽大会上的10个攻击

攻击车载系统、谷歌Glass用于密码盗窃、使用免费云试用推出僵尸网络等,这是2014年红帽大会上公布的攻击类型,

作者:星期五, 七月 4, 20141,668
标签:, , , ,

微软提升Outlook.com和OneDrive的安全隐私保护

微软宣布推出旗下一些在线服务的加密改进措施, 提升Outlook.com和OneDrive的安全和隐私保护. 目的是要在出现政府监管和窃听私人通讯等事情后提升用户对微软在线服务的信心。

作者:星期四, 七月 3, 20141,462
标签:, , ,

Gartner公布2014年十大信息安全技术

6月30日,Gartner公布2014年十大信息安全技术,同时指出了这些技术对信息安全部门的意义。

作者:星期三, 七月 2, 20141,743
标签:, ,

Evernote官方社区被黑,用户密码存在泄露风险

Evernote的官方社区被不明黑客攻击并入侵,黑客在某种情况下能够获取用户的登录信息及个人资料。

作者:星期一, 六月 23, 20141,704
标签:, ,

世界杯官网遭受DDoS攻击下线

2014巴西世界杯可能是30年代以来最令人不安的一届世界杯,除去巴西本国人民的大规模抗议外,早在世界杯开幕之前的二月份,黑客“匿名”组织就曾威胁要对世界杯赞助商发起攻击,这些黑客没有食言,在周四的世界杯开幕式之前,各种与世界杯网站相关的网站遭到了分布式DDoS攻击。

作者:星期五, 六月 13, 20141,079
标签:,

《黑客情报行动报告》:“剖析网站垃圾评论”

报告对小型攻击源如何造成大范围的垃圾评论流量进行了深入研究。该报告还介绍了如何快速识别垃圾评论者并充分利用IP信誉管理,阻止上述攻击,以防止大部分的恶意操作。

作者:星期四, 六月 12, 20141,217
标签:, ,

企业Windows服务器配置的十大安全问题

网络安全公司NCC Group根据对客户的Windows服务器分析,发现了十个最容易被网络管理员忽视的Windows服务器的配置问题。

作者:星期三, 五月 28, 20141,333
标签:, ,

只有14%的网站正确修补了心脏出血漏洞

所有感染心脏出血漏洞的网站中,只有14%正确完成了修补的三个步骤:替换SSL证书、撤销旧证书以及使用新的私钥。

作者:星期一, 五月 12, 20141,377
标签:, ,

全球最大跨站DDoS攻击主角现身:搜狐视频爆XSS漏洞变身DDoS怪兽

近日DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模跨站DDoS攻击的源头。

作者:星期二, 四月 29, 20141,413
标签:, , ,

白帽安全报告:web安全的根源不在开发语言

web应用安全停滞不前的根源不在开发平台的安全性,而是因为企业的一把手们缺少安全意识和安全策略。

作者:星期三, 四月 23, 20141,635
标签:, ,

被忽视的内容安全策略:CSP

CSP是一个伟大的安全策略,但全球范围内网站使用率非常之低。

作者:星期一, 四月 21, 20142,374
标签:, ,

Google将提升加密网站搜索排名

谷歌高管Matt Cutts在最近的一次会议上透露谷歌正考虑调整搜索算法,提升对数据加密网站的排名。

作者:星期二, 四月 15, 2014694
标签:,

麻省理工专家开发出防“棱镜”的web安全架构

麻省理工学院的鬼才专家们近日开发出一种代号“Mylar”的全新架构的web应用加密系统,颠覆了侧重服务器端的传统web安全架构,据称不但可以防范包括NSA的“棱镜”在内的监控,也可以杜绝近年来愈演愈烈的网站用户数据泄露事故。

作者:星期五, 三月 28, 2014806
标签:,

小心Pingback!16万WordPress网站被用于DDoS放大攻击

安全公司Sucuri发现黑客利用超过16.2万WordPress网站的Pingback功能进行大规模DDoS放大攻击。当然,攻击对象也必须是WordPress站点。

作者:星期四, 三月 13, 20144,666
标签:, ,

“京东数据库泄露”为中国电商敲响警钟

虽然京东官方回应此事件为黑客“撞库攻击”,并非京东自身数据库泄露,但此事件也为电商信息安全敲响了警钟。毕竟,在大洋彼岸,美国第四大零售商Target刚刚创下泄露1.1亿消费者数据的“国家记录”,数据泄露事件也导致Target第四季度利润暴跌五成。

作者:星期日, 三月 2, 20141,588
标签:, , , ,

WordPress两步认证登录插件爆安全漏洞

duo_wordpress的开发商,企业级移动安全Duo Security透露该插件存在安全漏洞,用户在登录同一站点群的一个网站跳转到另外一个网站时可以绕过两步认证。

作者:星期四, 二月 20, 20141,312
标签:, , ,

web安全的新热点:云安全浏览器开始流行

事实上,很多企业已经开始尝试在移动设备上部署云浏览器来安全访问关键企业移动应用,使之成为BYOD安全方案的一部分。

作者:星期五, 二月 7, 20141,079
标签:, ,

Web2.0迎来白帽的春天

web安全也不再仅仅是互联网公司的心头大患,所有的企业和个人都面临日益增长的web安全威胁,这对web安全人才,尤其是高水平的白帽黑客来说意味着市场需求和个人收入都将不断看涨。

作者:星期三, 二月 5, 20141,312
标签:,

针对火狐用户的僵尸网络:Advanced Power

火狐用户和电商网站小心了,代号“先进力量”(Advanced Power)的僵尸网络通过一种火狐浏览器恶意插件感染PC,多数杀毒软件无法有效查杀。

作者:星期三, 十二月 18, 20131,284
标签:, ,

Pony木马窃取200万社交账户密码

过去数月,黑客通过Pony恶意软件在全球范围内窃取了超过200万个社交账户密码,受害者包括Google、Yahoo、Twitter、Facebook和LinkedIn的用户。

作者:星期四, 十二月 5, 20131,514
标签:, , , , , , ,

忘记密码