【安全研究】基于 OPA 和 Spring Security 的外部访问控制

↑ 点击上方 关注我们译者导读CNCF的毕业项目Open Policy Agent（OPA）, 为策略决策需求提供了一个统一的框架与服务。它将策略决策从软件业务逻辑中解耦剥离，将策略定义、决…

 安全狗 19天前

6,685 0 0

【安全研究】Linux后渗透常见后门驻留方式分析

↑ 点击上方 关注我们一引言当RedTeam拿下了一台服务器并获取到系统较高权限，但不知道服务器的凭证时，RedTeam会采用怎样的技术获取系统凭证呢？又或者，在RedTeam拿下一台服务器…

 安全狗 20天前

5,929 0 0

新型蜜罐有哪些？未来方向如何？

前言：技术发展为时代带来变革，同时技术创新性对蜜罐产生推动力。一、新型蜜罐的诞生技术发展为时代带来变革，同时技术创新性对蜜罐产生推动力，通过借鉴不同技术思想、方法，与其它技术结合形成优势互补，如引入兵…

 埃文科技 2022-10-12 9:50:30

4,925 0 0

【安全热点】西工大网络攻击事件的“饮茶”嗅探木马（Suctionchar_Agent）分析

背景介绍2022年6月22日，西北工业大学发布《公开声明》称，该校电子邮件系统遭受网络攻击，来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件。国家计算机病毒应急中心近日发布的《西北工业…

 安全狗 2022-10-08 14:42:54

4,208 0 0

STOP勒索变种采用双重Fast Flux技术逃避检测

摘要据统计2022年上半年勒索病毒变种数量激增近2倍，全球威胁态势愈演愈烈，勒索攻击者试图利用更多样化的技术来最大化攻击和逃避检测。Fast Flux是当前网络犯罪分子在逃避检测中使用的一种流行技术，…

 Further_eye 2022-09-26 11:52:52

5,037 0 0

什么是Tor？Tor浏览器更新有什么用？

前言：Tor项目团队近日宣布，发布Tor浏览器11.5版本。Tor被美国国家安全局（NSA）誉为“互联网匿名系统之王“。Tor ( The Onion Router）系统就是洋葱路由技术的具体实现。&…

 埃文科技 2022-07-27 15:15:47

6,371 0 4

用于预防勒索软件的 DevSecOps 流程

勒索软件是当今组织面临严重的网络安全威胁。勒索病毒感染组织的方式之一是通过DevOps管道——Kaseya攻击就是一个很好的例子。企业正在过渡到DevSecOps工作流程，来确保软件更安全。勒索软件攻…

 中科天齐软件安全 2022-07-27 14:30:43

4,759 0 2

绕过小程序签名验证

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。微信小程序的前端代码很容易被反编译，一…

 Bypass007 2022-06-21 18:05:27

8,377 1 93

业务逻辑安全思路总结

在电商的业务场景里，我们最应该注意哪些安全问题呢？想到这，发现挺有意思的，于是我重新去梳理了一下业务逻辑方面的内容，总结了一张关于业务逻辑安全的思维导图，在整理的过程中，自己的思路也越加清晰。借此机会…

 Bypass007 2022-06-21 16:54:28

7,207 1 2

软件供应链安全

越来越多的威胁行为者将供应链攻击视为进入企业网络的切入点。2017年，攻击者破坏了Avast的一个软件构建系统，并使用该公司的CCleaner软件传播恶意软件。2019年，一个名为“钡”的威胁参与者闯…

 中科天齐软件安全 2022-05-20 14:59:55

6,426 0 0

DevOps生命周期的基本指南

DevOps通过引入更具协作性的开发环境并弥合开发人员和运营人员之间的差距，彻底改变了软件的开发和部署方式。同时确保满足消费者或市场需求的灵活性。但是，最好在组织中实施适当的DevOps生命周期，以充…

 中科天齐软件安全 2022-05-18 11:15:51

4,559 0 0

NIST 更新网络安全供应链风险管理指南

美国国家标准与技术研究院 (NIST) 更新了解决软件供应链风险的网络安全指南，用于管理供应链中的风险，供应链攻击正成为威胁参与者关注的重点。NIST在一份声明中说：“它鼓励组织不仅考虑他们正在考虑使…

 中科天齐软件安全 2022-05-07 16:00:08

6,216 0 0

浅谈云上攻防——Etcd风险剖析

Etcd简介Etcd是CoreOS团队于2013年6月发起的开源项目，它的目标是构建一个高可用的分布式键值(key-value)数据库, 用于服务发现、共享配置以及一致性保障等。目前已广泛应用在kub…

 云鼎实验室 2022-04-29 17:35:54

4,878 0 3

如何为数据库选择最佳加密方法

介绍加密是对消息或信息进行编码以便只有授权方可以看到它的过程。加密已经进行了几个世纪。例如，在第二次世界大战中，盟军使用不成文的纳瓦霍语发送加密代码，日本人无法解码。今天，加密变得更加重要，因为我们生…

 埃文科技 2022-04-25 12:31:01

6,450 0 4

ATW组织高调攻击！由境外黑客组织攻击引发的开源软件安全思考

前言 开源软件在助力企业数字化转型的过程中起到了至关重要的作用，然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面，使用默认配置、允许未授权访问、权限管理疏忽等缺乏安全意识的表现导致…

 Further_eye 2022-03-24 12:01:24

7,241 0 0