Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

最近更新
时间 节点
2024年6月14日 22:33 微信公众号rss
2024-06-14 17:31 北京
关注我们
带你读懂网络安全
2023年,全球企业组织在网络安全技术、产品及服务方面的支出超过了1900亿美元,同比增长12.7%。与此同时,也有越来越多的CISO和安全团队感到精疲力竭,他们已经为企业安全建设工作付出了最大的努力,却难以获得符合预期的回报。

在此背景下,研究机构Gartner提出,现代企业组织不应该一味追求更多的安全投入和有效性未知的安全建设,而是要恪守最低有效洞察力(Minimum Effective Insight)原则,根据企业实际拥有的资源和能力,合理决策对安全控制措施的部署和使用。而在开展网络安全能力建设时,组织应该使用一种以
2024年6月14日 22:33 微信公众号rss
原创 沈沉舟 2024-06-14 12:35 北京
若只是调用wasm算法函数,本文套路一个也用不着
创建: 2024-05-21 10:56
更新: 2024-06-14 12:05
目录:☆ 背景介绍☆ 导出表Export[]☆ wasm向js侧动态导出函数☆ 定位由js发起的wasm函数调用    1) Table[]/Elem[]    2) elem[1]    3) elem[2]    4) 在胶水js中设断☆ 结语

☆ 背景介绍
WEB前端逆向时越来越多遭遇"js+wasm"场景,部分算法从js移入wasm中实现,一方面提高执行效率,另一方面增加逆向工程难度。目前没有特别成
2024年6月14日 22:33 微信公众号rss
原创 刘权 2024-06-14 17:54 北京
我国网络安全产业的综合实力与美国、欧洲等发达国家相比依然存在差距。面对制造强国、网络强国、数字中国等战略目标,以及实现高质量发展要求,我国网络安全产业仍需跨越较大的发展鸿沟。因此,加快发展步伐、强化产业实力任重而道远。
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


文 | 中国电子信息产业发展研究院 刘权 王超 周千荷 孟雪 李东格
网络安全产业是维护网络空间安全的重要基础,是国家网络安全能力的重要支点,产业的质量和水平决定着国家网络安全保障能力的强弱。党的十八大以来,在习近平新时代中国特色社会主义思
2024年6月14日 22:33 微信公众号rss
金歆 2024-06-14 17:54 北京
互联网全面融入学习和生活,未成年人在获取知识和信息更便利的同时,也面临不良信息传播等风险。《未成年人网络保护条例》今年1月1日正式施行,为营造有利于未成年人身心健康的网络环境提供了更好的制度保障。
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


互联网全面融入学习和生活,未成年人在获取知识和信息更便利的同时,也面临不良信息传播等风险。《未成年人网络保护条例》(以下简称《条例》)今年1月1日正式施行,为营造有利于未成年人身心健康的网络环境提供了更好的制度保障。
如今《条例》施行已半年。半年来,涉未成年人的网络乱
2024年6月14日 22:33 微信公众号rss
郑振宇 2024-06-14 17:54 北京
迄今为止,中国建成全球领先的数字基础设施,数字经济规模、人工智能等新兴技术跻身世界前列,这些使得数字政务推动行政效能持续提升,数字社会服务更加精准有效,数字国际合作不断深化,数字生态持续向好。
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


文 | 台州学院马克思主义学院教授 郑振宇
迄今为止,中国建成全球领先的数字基础设施,数字经济规模、人工智能等新兴技术跻身世界前列,这些使得数字政务推动行政效能持续提升,数字社会服务更加精准有效,数字国际合作不断深化,数字生态持续向好。事实表明,中国成功走出了具有中国特
2024年6月14日 22:33 微信公众号rss
2024-06-14 17:54 北京
6月26日-28日,由360数字安全、华云安主办,ISC平台、SecOps平台承办,赛宁网安、永信至诚、红客社区协办的首届“矩阵杯”网络安全大赛将在青岛国际会议中心举行。
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


6月26日-28日,由360数字安全、华云安主办,ISC平台、SecOps平台承办,赛宁网安、永信至诚、红客社区协办的首届“矩阵杯”网络安全大赛将在青岛国际会议中心举行。本届大赛设置超2000万奖金池,致力于推动提升全民网络安全意识、发现顶尖安全人才、鼓励技术创新发展,推动安全行业共建共享,擘画数字
2024年6月14日 22:33 微信公众号rss
金融电子化 2024-06-14 17:54 北京
数据中心是承载数字经济的关键基础设施,近年来各大中型银行机构均不断扩大数据中心建设规模,以支撑数字化转型发展的需要。在数据中心规模不断扩展的同时,其物理安全逐渐被行业所关注,安全防范体系在数据中心建设与运营中的作用更加凸显。


扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


文 | 中国光大银行金融科技部副总经理 彭晓
数据中心是承载数字经济的关键基础设施,近年来各大中型银行机构均不断扩大数据中心建设规模,以支撑数字化转型发展的需要。在数据中心规模不断扩展的同时,其物理安全逐渐被行业所关注,安全防范体
2024年6月14日 22:33 微信公众号rss
王志勤 2024-06-14 17:54 北京
随着新一轮科技革命和产业变革加速推进,算力作为激发数据要素潜能的新动能,已经成为数字经济时代重要的战略资源。算力基础设施是算力的载体,对于助推产业转型升级、赋能科技创新进步、满足人民美好生活需要和实现社会高效能治理具有重要意义。
扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063


随着新一轮科技革命和产业变革加速推进,算力作为激发数据要素潜能的新动能,已经成为数字经济时代重要的战略资源。算力基础设施是算力的载体,对于助推产业转型升级、赋能科技创新进步、满足人民美好生活需要和实现社会高效能治理具有重要意义。党中央
2024年6月14日 22:33 微信公众号rss
2024-06-14 18:27 北京
👍 👍 👍
2024年6月12日,国家互联网信息办公室发布关于第六批深度合成服务算法备案信息的公告。长亭科技的问津(ChaitinAI)安全大模型成功通过审核,入选该批次《境内深度合成服务算法备案清单》。这表明问津(ChaitinAI)安全大模型获得了国家监管机构的合规性和安全性认可,正式取得“驾照”,加速驶向网络安全自动化运营的终极目标。








为了保护用户权益、推进算法透明和安全,国家联合四部门共同制定了《互联网信息服务算法推荐管理规定》,对算法进行专项治理,提出“算法备案”要求。长亭科技积极拥抱深度合成技术,在业界率先提出安全大模型,在技
2024年6月14日 22:33 微信公众号rss
2024-06-14 18:27 北京
让我康康


是他!是他!又是他!










展开讲讲






2023(第三届)超级CSO年度评选,旨在站位用户立场,凭借 CSO视角,聚焦企业人员意识、团队能力、项目建设、技术创新、安全运营、生态合作等方面,做年度盘点,树标杆典范,同时传播CSO理念,培育CSO文化,逐渐引导业界形成重视用户、场景针对、供需协同、效果为重的网络安全发展观。本届评选,由安在新媒体策划组织并举办,得到中国网络安全审查认证和市场监管大数据中心(CCRC)的大力支持,同时有数世咨询、数说安全、看雪、安全419、Freebuf等多家媒体和专业机构共同参与。



2024年6月14日 22:32 微信公众号rss
长亭应急 2024-06-14 17:31 北京
Serv-U 是 SolarWinds 公司推出的FTP服务器软件,提供文件传输服务,支持多种协议(FTP、F




Serv-U 是 SolarWinds 公司推出的FTP服务器软件,提供文件传输服务,支持多种协议(FTP、FTPS、SFTP),具有用户管理、文件权限控制等功能,适用于企业级文件传输解决方案。



2024年6月,Serv-U 官方 SolarWinds 发布了新补丁,修复了一处目录遍历致文件读取漏洞(CVE-2024-28995)。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致敏感信息泄露。该漏洞
2024年6月14日 22:24 Trail of Bits Blog
By Maciej Domanski Based on our security auditing experience, we’ve found that Burp Suite Professional’s dynamic analysis can uncover vulnerabilities hidden amidst the maze of various target components. Unpredictable security issues like race conditions are often elusive when examining source code alone. While Burp is a comprehensive tool for web application security testing, its extensive […]

" 基于我们的安全审计经验,我们发现Burp Suite Professional的动态分析能够揭示隐藏在各种目标组件迷宫中的漏洞。在仅审查源代码时,难以捉摸的不确定性安全问题(如竞态条件)常常出现。虽然Burp是一款全面的Web应用安全测试工具,但其广泛的...(以下是具体内容)"
2024年6月14日 22:21 Packet Storm
PHP versions prior to 8.3.8 suffer from a remote code execution vulnerability.

" 此前版本的PHP存在远程代码执行漏洞。"
2024年6月14日 22:21 Packet Storm
AEGON LIFE version 1.0 suffers from a remote SQL injection vulnerability.

" AEGON LIFE版本1.0存在远程SQL注入漏洞。"
2024年6月14日 22:21 Packet Storm
AEGON LIFE version 1.0 suffers from an unauthenticated remote code execution vulnerability.

" 荷兰国际集团人生保险版1.0存在未经身份验证的远程代码执行漏洞。"
2024年6月14日 22:21 Packet Storm
AEGON LIFE version 1.0 suffers from a persistent cross site scripting vulnerability.

" 荷兰国际集团人生保险版1.0存在持续的跨站脚本漏洞。"
2024年6月14日 22:21 Packet Storm
Red Hat Security Advisory 2024-3919-03 - Migration Toolkit for Runtimes 1.2.6 release Red Hat Product Security has rated this update as having a security impact of Important. A Common Vulnerability Scoring System base score, which gives a detailed severity rating, is available for each vulnerability from the CVE link in the References section. Issues addressed include denial of service and spoofing vulnerabilities.

" 红帽安全公告2024-3919-03 - Runtimes 1.2.6版本迁移工具包:红帽产品安全已将此更新评估为具有重要安全影响。每个漏洞的通用漏洞评分系统基础分(详细严重性评分)可通过参考部分中的CVE链接获得。解决的问题包括服务拒绝和欺骗漏洞。"
2024年6月14日 22:20 Packet Storm
Red Hat Security Advisory 2024-3920-03 - Migration Toolkit for Runtimes 1.2.6 release Red Hat Product Security has rated this update as having a security impact of Important. A Common Vulnerability Scoring System base score, which gives a detailed severity rating, is available for each vulnerability from the CVE link in the References section. Issues addressed include a password leak vulnerability.

" 红帽安全公告2024-3920-03 - Runtimes 1.2.6 版本迁移工具包:红帽产品安全已将此更新评估为具有重要安全影响。每个漏洞的通用漏洞评分系统基础分(详细严重性评分)可通过参考部分中的CVE链接获取。解决的问题包括密码泄漏漏洞。"
2024年6月14日 22:20 Packet Storm
Red Hat Security Advisory 2024-3926-03 - An update for expat is now available for Red Hat Enterprise Linux 9.2 Extended Update Support. Issues addressed include a denial of service vulnerability.

" 红帽安全公告2024-3926-03 - 现已为Red Hat Enterprise Linux 9.2扩展更新支持提供expat更新。解决的问题包括服务拒绝漏洞。"
2024年6月14日 22:20 Packet Storm
Red Hat Security Advisory 2024-3927-03 - A new container image for Red Hat Ceph Storage 7.1 is now available in the Red Hat Ecosystem Catalog.

" 红帽安全公告2024-3927-03 - 现已在红帽生态系统目录中提供全新版本的Red Hat Ceph Storage 7.1容器镜像。"
2024年6月14日 22:20 Packet Storm
Red Hat Security Advisory 2024-3929-03 - An update for dnsmasq is now available for Red Hat Enterprise Linux 8.2 Advanced Update Support.

" 红帽安全公告2024-3929-03 - 适用于红帽企业Linux 8.2高级更新支持的dnsmasq更新现已可用。"
2024年6月14日 22:20 Packet Storm
Premium Support Tickets For WHMCS version 1.2.10 suffers from a cross site scripting vulnerability.

" WHMCS 1.2.10 版本的高级支持票务存在跨站脚本漏洞。"
2024年6月14日 22:20 Packet Storm
Ubuntu Security Notice 6832-1 - Jingzhou Fu discovered that Virtuoso Open-Source Edition incorrectly handled certain crafted SQL statements. An attacker could possibly use this issue to crash the program, resulting in a denial of service. Jingzhou Fu discovered that Virtuoso Open-Source Edition incorrectly handled certain crafted SQL statements. An attacker could possibly use this issue to crash the program, resulting in a denial of service. This issue only affects Ubuntu 22.04 LTS, Ubuntu 23.10 and Ubuntu 24.04 LTS.

" Ubuntu安全通知6832-1 - 朱洪州(Jingzhou Fu)发现Virtuoso开源版在处理某些构造的SQL语句方面存在错误。攻击者可能利用此问题导致程序崩溃,从而导致服务拒绝。朱洪州(Jingzhou Fu)发现Virtuoso开源版在处理某些构造的SQL语句方面存在错误。攻击者可能利用此问题导致程序崩溃,从而导致服务拒绝。此问题仅影响Ubuntu 22.04 LTS、Ubuntu 23.10和Ubuntu 24.04 LTS。"
2024年6月14日 22:20 Packet Storm
Ubuntu Security Notice 6833-1 - Siddharth Dushantha discovered that VTE incorrectly handled large window resize escape sequences. An attacker could possibly use this issue to consume resources, leading to a denial of service.

" Ubuntu安全通知6833-1 - Siddharth Dushantha发现VTE错误地处理了大型窗口调整大小 escape 序列。攻击者可能利用此问题消耗资源,导致服务拒绝。"
2024年6月14日 22:20 Packet Storm
Ubuntu Security Notice 6834-1 - It was discovered that H2 was vulnerable to deserialization of untrusted data. An attacker could possibly use this issue to execute arbitrary code. It was discovered that H2 incorrectly handled some specially crafted connection URLs. An attacker could possibly use this issue to execute arbitrary code.

" Ubuntu安全通知6834-1 - 发现H2存在对不受信任数据的反序列化漏洞。攻击者可能利用此问题执行任意代码。发现H2错误地处理了一些特殊构造的连接URL。攻击者可能利用这个问题执行任意代码。"
2024年6月14日 22:20 Packet Storm
testssl.sh is a free command line tool which checks a server's service on any port for the support of TLS/SSL ciphers, protocols as well as recent cryptographic flaws, and much more. It is written in (pure) bash, makes only use of standard Unix utilities, openssl and last but not least bash sockets.

" testssl.sh 是一款免费的命令行工具,可检查服务器在任何端口上的服务对TLS/SSL加密算法、协议以及近期加密漏洞的支持情况,等功能强大。该工具使用纯bash编写,仅依赖于标准Unix实用工具、openssl,以及最后但并非最不重要的bash套接字。"
2024年6月14日 22:19 Trustwave Blog
It is now obvious that defensive measures alone are no longer sufficient to protect an organization from cyberattacks. Threat actors are increasing their capacity at such a rate that merely sitting back and hoping to spot and block known attack types will likely lead to a successful attack. What is needed is the proactive security stance provided by an offensive security solution.

" 如今很明显,仅仅依靠防御措施已无法确保组织免受网络攻击的保护。威胁行为者正在以如此之快的速度提高他们的能力,以至于仅仅坐等发现并阻止已知的攻击类型,很可能导致成功的攻击。所需要的是一种主动的安全立场,而这正是进攻性安全解决方案所能提供的。"
2024年6月14日 22:12 Github关注
An utility for encoding or decoding QR code
2024年6月14日 22:12 Github关注
2024年6月14日 22:12 Github关注
BOF implementations of CVE-2024-26229 for Cobalt Strike and BruteRatel