漏洞是引发网络安全问题的重要根源之一，具有数量逐年递增、漏洞信息分散、漏洞公布迟缓、实战性漏洞占比小等特点，导致漏洞管理难以在实战中发挥应有的价值。

Serverless（又称为无服务器）架构是一种全新的云计算模式，它是在容器技术和当前服务模式基础之上发展起来的，它更多的是强调后端服务与函数服务相结合，使开发者无需关注后端服务具体实现，而更侧重关注自己业务逻辑代码的实现。

鉴于及时修复困难重重，需要修复或缓解的新漏洞又层出不穷，漏洞管理公司Rezilion委托波耐蒙研究所调查研究漏洞管理状况。

近期，监控到一些IP每天调用了大量网站的短信发送接口，日均高达300万次以上。

随着信息技术不断进步以及互联网的深度普及，传统的刑事犯罪发生一定程度改变，作为新型犯罪之一的电信网络诈骗犯罪发案率逐年上升，其中高发类电信网络诈骗更是凭借着发案多且增长速度快、犯罪涉及地域广、人民群众财产损失严重等特点，为公安机关侦查办理带来巨大挑战。

会议上，赛迪汽车副主任邹博松围绕国内外法规政策及标准、智能网联汽车网络安全渗透测试实践和渗透测试结果三方面进行了主题分享。

为落实疫情防控政策，针对健康码伪造现象给疫情防控工作带来严重安全挑战，秘书处组织编制了《网络安全标准实践指南—健康码防伪技术指南》。

从 2021 年公开发布的网络安全发展趋势预测报告中可以看出，最新出台的政策法规对网络安全治理的影响意义深远。

信息基础设施“公路”的好坏需要路上行驶的应用“车辆”来检验。

信息抽取 （Information Extraction，IE）是将文本里的非结构信息转化成结构化信息的过程。

各位KCon的宝子们，大家翘首以待的本届KCon可公开的演讲PPT。

通过研究零信任技术的发展历程和趋势以及该技术的七大支柱能力，剖析传统安全架构 特别是在云环境下的劣势与不足。

受Noname Security委托，OpinionMatters日前发布了一份调研报告。报告指出，超过四分之三的英美高级网络安全专业人员表示，过去12个月里，其所在企业经历了至少一次API相关的安全事件。

欧盟 7 个国家 14 个研究和计算中心共同合作启动了开放 Web 搜索项目 (OpenWebSearch)，为欧盟的 Web 搜索构建开放的基础设施。欧盟委员会现已批准为该项目提供 850 万欧元融资。

9月14日，第十一届中国支付清算论坛在北京召开。中国支付清算协会副秘书长亢林在会上表示，协会将全力支持新阶段金融科技发展规划落地，实施科技创新自律管理，加快建立金融科技伦理治理机制，重点推动支付产业数字化转型发展。

近年来，针对最新网络威胁或攻击活动，政府与行业网络安全人员都会做出被动性响应，这导致降低网络威胁变得很困难，因为从一开始，网络防御就落后攻击者一步。

数字时代，加密作为最重要的技术之一，既产生了巨大的社会效益，也会对公共安全构成重大威胁。

2022年9月7日，美国战略与国际问题研究中心（CSIS）发布了《软件定义战争：国防部构建向数字时代转型的架构》报告，明确了国防部必须采用新的软件设计和架构方法，以帮助美军保持对全球对手的作战优势。本文针对报告的主要内容进行了编译。

Binlog是记录所有数据库表结构变更以及表数据修改的二进制日志，不会记录SELECT和SHOW这类操作。

自动化决策依赖用户所产生的数据进行分析评估和决策，一方面提升了企业的工作和服务效率，另一方面也导致用户被窥探、被杀熟、被操纵的感受日渐强烈。

Apache Flume 是一个分布式的，可靠的，并且可用于高效地收集，汇总和移动大量日志数据的软件。

该样本为 Phobos 勒索木马的 v2.9.1 版本，虽然简单但是在没有作者私钥的情况下无法实现文件还原。

信息通信技术的使用给国际和平与国家安全带来威胁，而网络安全国际规范还处在生成的过程中。

近日，针对新西兰司法部发布的咨询文件“2020年隐私法通知规则的可能变更”（以下简称咨询文件），新西兰隐私专员迈克尔·韦伯斯特（Michael Webster）向司法部就《2020年隐私法》数据收集通知条款的修正草案提交了支持性意见，以解决“对不直接从相关个人处收集个人信息的机构缺乏通知要求”问题（“间接收集”）。

最近的研究表明，中非和西非85%以上的金融机构多次遭受破坏性的网络攻击，在其中的四分之一案例中，信息泄露、身份窃取、汇款欺诈和伪造支票取款等入侵网络系统活动给金融和银行业带来了严重的影响。

笔者就给大家聊一聊关于勒索病毒你不得不懂的一些知识点，整理了几个经常被群友问到的问题或者在一些群看到大家想了解的勒索病毒的问题。

前不久，网上出现了关于websocket内存马的介绍，经过试用发现效果不错。但是原文对于原理的介绍一笔带过，看过之后，依然有很多疑问。于是就尝试学习一下WebSocket内存马的实现原理。

最近，ESET分析人员发现了多起针对亚洲知名公司和地方政府的针对性攻击。

过去十年是云计算突飞猛进的十年，全球云计算市场规模增长数倍，我国云计算市场增长到千亿规模，云计算应用从互联网行业向通信、政务、金融、工业、医疗等传统行业加速渗透。

数字政府建设是网络强国建设的重要组成。

前端的加解密是比较常见的，无论是 web 后台还是小程序，都常常存在加解密传输，签名防篡改等机制，会使很多渗透人员没有办法直接对参数的值进行更改，大大增加了攻击者的攻击成本。

如今所有的企业都面临着一个问题：考虑到安全性和隐私性，我们是否应该将敏感数据上传到云端。

日志作为线上定位问题排障的重要手段，在可观测领域有着不可替代的作用。稳定性、成本、易用性、可扩展性都是日志系统需要追求的关键点。

近日，某黑客攻击了Uber，该黑客入侵了Uber之后发布了Uber的AWS控制台、HackerOne管理面板、Slacke服务器等截图信息。

伴随科技创新引领数字化浪潮席卷全球，数据成为企业发展的核心生产要素。

在研究分析了CVE-2022-22980 Spring Data MongoDB SpEL表达式注入漏洞之后，想起之前在spring4shell爆出之前，存在于SpringCloud Function中的一个SpEL表达式注入漏洞，编号为CVE-2022-22963。在这里对其进行一波分析和学习。

零时科技区块链安全情报平台监控到消息，北京时间2022年9月10日，DPC代币合约遭到黑客攻击，损失超73,614 BUSD, 零时科技安全团队及时对此安全事件进行分析。

之前有次在做攻防演练的时候，通过反编译小程序找到了目标云服务的 Access Key，最终通过这个 AK 拿下了目标上千万条敏感信息以及几十台云服务主机的 root 权限，整个过程平平无奇，这里简单记录下。

8 月 24 日，Atlassian 发布安全公告，披露了 Bitbucket Server 和 Data Center 在 7.0.0 版中引入了一个严重安全漏洞。

最近在分析一款app时遇见了root检测，数据包加密，花了时间简单研究了一下，记录下学习的过程。

大家好，我是来自Aqua的工程师陈宇，今天主要想跟大家一起讨论下关于多云安全的问题。

随着移动互联网的高速发展，人们的生产生活也逐渐从PC电脑端转移到手机等移动端，各类移动App也如雨后春笋般产生。

在宏观层面上，如果对所有安全解决方案进行分组，就会发现每个方案都属于三个逻辑分组之一。这三个逻辑分组构成了网络安全的三大支柱。

免杀就是反病毒技术，它指的是一种使病毒木马免于被杀软查杀的技术，由于免杀技术的涉猎范围非常广，其中包含反会变、逆向工程、系统漏洞等和可技术，所以难度很高，其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

Log4j2漏洞总的来说就是：因为Log4j2默认支持解析ldap/rmi协议（只要打印的日志中包括ldap/rmi协议即可），并会通过名称从ldap服务端其获取对应的Class文件，并使用ClassLoader在本地加载Ldap服务端返回的Class类。

Lancer是B站的实时流式传输平台，承载全站服务端、客户端的数据上报/采集、传输、集成工作，秒级延迟，作为数仓入口是B站数据平台的生命线。目前每日峰值 5000w/s rps, 3PB/天, 4K+条流的数据同步能力。

当我们平时拿到云服务的访问凭证即 Access Key 时，通常的做法可能是看下对方的 OSS 对象存储、或者在实例上执行个命令，但 AK 的利用远不止这些，通过 AK 我们可以做太多太多的事情，为了方便 AK 的利用，于是有了这个工具。

2022年7月12日，小米应用商店官方表示，为维护小米用户合法权益和 MIUI系统体验，将开展“App侵害用户权益治理行动”，针对在架、非在架的清理类产品，进行集中排查与治理，并且即日起停止清理类应用收录，逐步推进下架等处理措施。

在此之前，已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析，它和CVE-2022-22978漏洞产生原理上，本质是一样的。在分析这两个漏洞后，结合今年kcon议题《自动化API漏洞Fuzz实战》，产生了对漏洞挖掘关注点的一些思考。

该样本是 Predator the Thief 窃密木马的 v3.3.2 版本，其主要功能是窃取失陷主机上浏览器客户端、邮箱客户端、FTP客户端、虚拟币钱包等保存在主机上的用户数据。

Tornado cash是一个去中心化加密货币混合服务平台，使用智能合约来接受来自一个地址的代币存款，并允许他们从另一个地址提款。

今年上半年，通过对涉诈网址、应用的攻防手段分析，我们发现了三大黑灰产组织，包括为东南亚线上博彩平台提供技术、支付通道的境外博彩联盟和中国某地区B**N集团，以及针对中国大陆企业进行精准邮件钓鱼的缅北魔方G团伙。

新型数据中心作为数字经济的“信息底座”，具有“高技术、高算力、高能效、高安全”的“四高”典型特征。

Java审计其实和Php审计的思路一样，唯一不同的可能是复杂的框架和代码。

HTTP/3或HTTP over QUIC是超文本传输协议的第三个主要版本，。HTTP 传统上是通过 TCP（传输控制协议）完成的。

通过上半年的研究发现，黑灰产为了躲避监管打击，在攻防手段上不断进行“更新优化”。

本文主要是对zimbra历史漏洞的利用以及后渗透方面介绍，不涉及对漏洞源码具体分析，有兴趣的师傅可以自行调试源码。

webshell就是以各种网页文件形式存在的一种代码执行环境，攻击者可以通过webshell可以获取网站管理、服务器管理、权限管理，webshell攻击方法简单，只需上传一个代码文件，通过webshell管理工具连接即可。

本文与其说是云隔离的梦想，不如说是云访问的梦想，也就是零信任云访问平台（SSE）的梦想，终究也是企业安全云的梦想。

随着Ruby越来越流行，Ruby相关的安全问题也逐渐暴露，目前，国内专门介绍Ruby安全的文章较少，本文结合笔者所了解的Ruby安全知识点以及挖掘到的Ruby相关漏洞进行描述，希望能给读者在Ruby代码审计上提供帮助。