绕过小程序签名验证

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。微信小程序的前端代码很容易被反编译，一…

 Bypass007 9天前

6,632 1 92

业务逻辑安全思路总结

在电商的业务场景里，我们最应该注意哪些安全问题呢？想到这，发现挺有意思的，于是我重新去梳理了一下业务逻辑方面的内容，总结了一张关于业务逻辑安全的思维导图，在整理的过程中，自己的思路也越加清晰。借此机会…

 Bypass007 9天前

5,496 1 1

软件供应链安全

越来越多的威胁行为者将供应链攻击视为进入企业网络的切入点。2017年，攻击者破坏了Avast的一个软件构建系统，并使用该公司的CCleaner软件传播恶意软件。2019年，一个名为“钡”的威胁参与者闯…

 中科天齐软件安全 2022-05-20 14:59:55

5,929 0 0

DevOps生命周期的基本指南

DevOps通过引入更具协作性的开发环境并弥合开发人员和运营人员之间的差距，彻底改变了软件的开发和部署方式。同时确保满足消费者或市场需求的灵活性。但是，最好在组织中实施适当的DevOps生命周期，以充…

 中科天齐软件安全 2022-05-18 11:15:51

4,271 0 0

NIST 更新网络安全供应链风险管理指南

美国国家标准与技术研究院 (NIST) 更新了解决软件供应链风险的网络安全指南，用于管理供应链中的风险，供应链攻击正成为威胁参与者关注的重点。NIST在一份声明中说：“它鼓励组织不仅考虑他们正在考虑使…

 中科天齐软件安全 2022-05-07 16:00:08

5,877 0 0

浅谈云上攻防——Etcd风险剖析

Etcd简介Etcd是CoreOS团队于2013年6月发起的开源项目，它的目标是构建一个高可用的分布式键值(key-value)数据库, 用于服务发现、共享配置以及一致性保障等。目前已广泛应用在kub…

 云鼎实验室 2022-04-29 17:35:54

3,601 0 2

如何为数据库选择最佳加密方法

介绍加密是对消息或信息进行编码以便只有授权方可以看到它的过程。加密已经进行了几个世纪。例如，在第二次世界大战中，盟军使用不成文的纳瓦霍语发送加密代码，日本人无法解码。今天，加密变得更加重要，因为我们生…

 埃文科技 2022-04-25 12:31:01

5,247 0 1

ATW组织高调攻击！由境外黑客组织攻击引发的开源软件安全思考

前言 开源软件在助力企业数字化转型的过程中起到了至关重要的作用，然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面，使用默认配置、允许未授权访问、权限管理疏忽等缺乏安全意识的表现导致…

 Further_eye 2022-03-24 12:01:24

6,202 0 0

如何进行数据挖掘？

数据挖掘（英语：Data mining），又译为资料探勘、数据采矿。它是数据库知识发现（英语：Knowledge-Discovery in Databases，简称：KDD)中的一个步骤。数据挖掘一般…

 埃文科技 2022-03-14 17:27:15

4,081 0 0

【安全研究】JavaAgent技术在内存马中的应用

JavaAgent技术简介JDK1.5开始引入了Agent机制(即启动java程序时添加“-javaagent”参数，Java Agent机制允许用户在JVM加载class文件的时候先加载自己编写的A…

 安全狗 2022-03-04 14:20:34

5,585 0 1

从IPv4 到 IPv6 的过渡技术

随着IPv4地址即将用尽，IP地址缺乏已成为了全球亟待解决的问题，虽然几年前出现了标头更长的IPv6，可提供更多的IP地址，但其应用和普及并不容易。 “IPv4和IPv6是否可以同时使用？”、“IPv…

 埃文科技 2022-02-18 15:19:12

5,899 0 0

《网络安全审查办法》开始施行 这几类用户要格外注意了

2月15日，由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》开始施行。作为在2021年安全领域里引起重大讨论的网络安全大事件之一，《网络安全审查办法》（下文简称“办法”）的正式施行自然…

 安全狗 2022-02-17 11:12:33

5,272 0 0

伪造IP地址的四种常见方法

在我们谈论伪造IP 地址之前，我们先来了解一下IP地址，IP地址是分配给计算机、平板电脑或智能手机等计算设备的唯一地址，类似于房屋的邮政地址（或您智能手机的电话号码），其中两个房屋的地址不能相同，因为…

 埃文科技 2022-02-10 14:03:41

16,152 0 3

聚类算法有哪些？又是如何分类？

想要了解聚类算法并对其进行区别与比较的话，最好能把聚类的具体算法放到整个聚类分析的语境中理解。聚类分析是一个较为严密的数据分析过程。从聚类对象数据源开始到得到聚类结果的知识存档，共有四个主要研究内容聚…

 埃文科技 2022-01-17 18:09:09

6,596 0 0

移动应用安全：2021年的安全漏洞

通过测试、培训和认真对待应用程序安全，去年可以避免发生许多最大的应用程序泄露事件。2021年，当全世界都在关注软件供应链攻击时，另一个领域同样也受到了围攻：移动应用程序。到2020年，移动应用的下载量…

 中科天齐软件安全 2022-01-10 15:59:31

5,888 0 0