当前节点:rss
时间节点
2022年1月24日 15:34Security Boulevard
Researchers at The Citizen Lab at the University of Toronto dug into the MY2022 COVID-19 exposure tracing application mandated for use by attendees and participants in the Beijing Winter Olympic Games—and what they found wasn’t pretty. The app is required to be used by any member of the press, athlete and/or delegation attending the Olympic..
The post China’s MY2022 App Could Do More Than Trace COVID-19 Exposure appeared first on Security Boulevard.
多伦多大学公民实验室的研究人员深入挖掘了 my20222019冠状病毒疾病暴露跟踪应用程序,这个程序强制要求北京冬奥会的参与者和参与者使用,他们发现这个程序并不好用。任何出席奥运会的媒体、运动员和/或代表团成员都必须使用该应用程序。.
后中国的 my2022应用程序可以做的不仅仅是追踪2019冠状病毒疾病的曝光率最先出现在安全大道上。
2022年1月24日 13:31360漏洞预警
本周收录安全热点 `33` 项,话题集中在 `恶意软件` 、 `数据泄露` 方面,涉及的组织有: `Kyiv` 、 `Earth Lusca` 、 `White Rabbit` 、 `Donot APT` 等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT建议使用 `360安全卫士` 进行病毒检测、使用 `360安全分析响应平台` 进行威胁流量检测,使用 `360城市级网络安全监测服务QUAKE` 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
2022年1月24日 11:34The DFIR Report
Our previous article on Cobalt Strike focused on the most frequently used capabilities that we had observed. In this post, we will focus on the network traffic it produced, and … Read More
The post Cobalt Strike, a Defender’s Guide – Part 2 appeared first on The DFIR Report.
我们之前关于 Cobalt Strike 的文章主要介绍了我们观察到的最常用的功能。在这篇文章中,我们将关注它产生的网络流量,并且... 阅读更多
后钴罢工,防卫者的指南-第二部分首先出现在 DFIR 报告。
2022年1月24日 11:31360漏洞预警
360-CERT每日安全简报
2022年1月24日 10:39跳跳糖
asp.net下的内存马研究文章比较少,目前提到过的包括虚拟路径内存马以及HttpListener内存马。最近研究了一下其他类型的内存马,发现.net可以利用的地方要多得多。所以准备写个系列文章,讲一讲asp.net下的内存马。
2022年1月24日 09:32Blog on
Twitter user Antonio Morales created the Fuzzing101 repository in August of 2021. In the repo, he has created exercises and solutions meant to teach the basics of fuzzing to anyone who wants to learn how to find vulnerabilities in real software projects. The repo focuses on AFL++ usage, but this series of posts aims to solve the exercises using LibAFL instead. We’ll be exploring the library and writing fuzzers in Rust in order to solve the challenges in a way that closely aligns with the suggested AFL++ usage.
推特用户 Antonio Morales 在2021年8月创建了 fuzzing101资源库。在回购协议中,他创建了练习和解决方案,旨在向任何想要学习如何在实际软件项目中发现漏洞的人传授模糊化的基本知识。回复主要关注 AFL + + 的使用,但本系列文章旨在用 LibAFL 来解决练习。我们将探索图书馆,并在 Rust 中编写模糊符号,以便以一种与建议的 AFL + + 使用密切结合的方式解决这些挑战。
2022年1月24日 09:32MaskRay
In a Clang/GCC -g1 or -g2 build, the debug information is often much larger than text sections. Some assemblers and linkers offer an optional feature which compresses debug sections.
History
In 2007-11, Craig Silverstein added --compress-debug-sections=zlib to gold. When the option was specified, gold compressed the content of a .debug* section with zlib and changed the section name to .debug*.zlib.$uncompressed_size.
In 2008-04, Craig Silverstein changed the format and contributed Patch to handle compressed sections to gdb. The compressed section was renamed to .zdebug*.
In 2010-06, Cary Coutant added --compress-debug-sections to gas and added reading support to objdump and readelf.
ELF Section Compression has a nice summary of the .zdebug format. The article lists some problems with the format which led to a new format standardized by the generic ELF ABI in 2012. I recommend that folks interested in the ELF format read this article. My thinking of implementing ELF features has been influenced by profound di
2022年1月24日 05:34Security Boulevard
via the Comic Noggins of Nitrozac and Snaggy at The Joy of Tech®!
Permalink
The post Joy Of Tech® ‘I See You Bought Activision Blizzard!’ appeared first on Security Boulevard.
通过漫画 Noggins 的硝基扎克和 Snaggy 在快乐的技术!
Permalink
我看到你买了动视暴雪! 这篇文章首次出现在安全大道。
2022年1月24日 05:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Glenn Pegden’s & Stephan Steglich’s ‘Pushing Left – How We’re All Doing It Wrong’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
2021年伦敦奥运会后的安全问题——格伦 · 佩格登和斯蒂芬 · 斯特格里奇的《向左推进——我们怎么都做错了》首次出现在安全大道上。
2022年1月24日 05:34Data Breach – Security Affairs
OpenSubtitles has suffered a data breach, the maintainers confirmed that the incident impacted 7 Million subscribers. OpenSubtitles is a popular subtitles websites, it suffered a data breach that affected 6,783,158 subscribers. Exposed data include email and IP addresses, usernames, the country of the user and passwords stored as unsalted MD5 hashes. The administrator of the […]
The post OpenSubtitles data breach impacted 7 million subscribers appeared first on Security Affairs.
OpenSubtitles 遭遇数据泄露,维护人员确认此事件影响了700万订阅者。是一个很受欢迎的字幕网站,它遭受了一次数据泄露,影响了6783158个订阅者。公开的数据包括电子邮件和 IP 地址,用户名,用户国家和密码存储为无盐 md5哈希。行政长官[ ... ... ]
后 OpenSubtitles 的数据泄露影响了700万订阅者,他们首先出现在 Security Affairs 上。
2022年1月24日 03:35Hacking Articles
Introduction Gabriel Landau released a post on Elastic Security here which talks about a technique through which antivirus evasion was found to be possible. The
The post Process Ghosting Attack appeared first on Hacking Articles.
简介 Gabriel Landau 在 Elastic Security 上发表了一篇文章,其中谈到了一种可以用来逃避防病毒攻击的技术。这个
后处理重影攻击首先出现在黑客文章。
2022年1月24日 03:31Swing'Blog 浮生若梦
Foreword
第四届 realworldctf 我和陈楠出了三个题目,分别是 Trust or Not, UnTrustZone and Wheels on the Bus, 其中 Trust or Not, UnTrustZone 是和 TrustZone 相关的题目。
TrustZone challenge
TrustZone是基于硬件的安全功能,它通过对原有硬件架构进行修改,在处理器层次引入了两个不同权限的保护域——安全世界和普通世界,任何时刻处理器仅在其中的一个环境内运行。同时这两个世界完全是硬件隔离的,并具有不同的权限,正常世界中运行的应用程序或操作系统访问安全世界的资源受到严格的限制,反过来安全世界中运行的程序可以正常访问正常世界中的资源。这种两个世界之间的硬件隔离和不同权限等属性为保护应用程序的代码和数据提供了有效的机制:通常正常世界用于运行商品操作系统(例如Android、iOS等),该操作系统提供了正常执行环境(Rich Execution Environment,REE);安全世界则始终使用安全的小内核(TEE-kernel)提供可信执行环境(Trusted Execution Environment,TEE),机密数据可以在TEE中被存储和访问。
Trust or Not
题目描述:
Trust or Not
Score: 357
1

Reverse`, `difficulty:normal

We have lost some of our files and cannot retrieve the plaintext data originally stored.
Hint: flag file is stored in /data/tee/2 securely.
1

nc 47.242.114.24 7788

attachment
TL;DR
要解决这个难题,首先要了解什么是安全存储。 数据要么以某种加密/授权的方式存储在linux文件系统/data/tee中,要么存储在Emmc RPMB(Replay Protected Memory Block)分区中。这次的相关题目主要使用了 OP-TEE的开源项目,其更详细的信息可以在OP-TEE文档 中找到。
**Hardware Unique Key (HUK) **
大多数设备都有某种硬件唯一密钥(HUK),主要用于派生其他密钥
2022年1月24日 01:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Foo Meden’s ‘Securing Cloud Delivery Pipelines – Findings From A Blue/Red Team Security Simulation’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
伦敦2021-Foo Meden’s‘ Securing Cloud Delivery pipeline-finds From a Blue/Red Team Security Simulation’首次出现在 Security Boulevard。
2022年1月24日 01:33Darknet
CFRipper is a Python-based Library and CLI security analyzer that functions as an AWS CloudFormation security scanning and audit tool, it aims to prevent vulnerabilities from getting to production infrastructure through vulnerable CloudFormation scripts.
You can use CFRipper to prevent deploying insecure AWS resources into your Cloud environment. You can write your own compliance checks by adding new custom plugins.
CFRipper should be part of your CI/CD pipeline. It runs just before a CloudFormation stack is deployed or updated and if the CloudFormation script fails to pass the security check it fails the deployment and notifies the team that owns the stack.
Read the rest of CFRipper – CloudFormation Security Scanning & Audit Tool now! Only available at Darknet.
CFRipper 是一个基于 python 的 Library 和 CLI 安全分析器,作为 AWS CloudFormation 安全扫描和审计工具,它旨在防止漏洞通过脆弱的 CloudFormation 脚本进入生产基础设施。
您可以使用 CFRipper 来防止将不安全的 AWS 资源部署到云环境中。您可以通过添加新的自定义插件来编写自己的遵从性检查。
CFRipper 应该是您的 CI/CD 管道的一部分。它在部署或更新 CloudFormation 堆栈之前运行,如果 CloudForm
2022年1月23日 21:35Hacking Articles
Introduction Intelligence is a CTF Windows box with difficulty rated as “medium” on the HackTheBox platform. The machine covers OSINT, AD attacks, and silver ticket
The post Intelligence HacktheBox Walkthrough appeared first on Hacking Articles.
简介智能是一个难度为 HackTheBox 平台“中等”级别的 CTF Windows 盒子。该机器覆盖 OSINT、 AD 攻击和银票
后情报黑客盒攻击首次出现在黑客文章中。
2022年1月23日 21:35Hacking Articles
Proxy Programmer’s Corrosion: 2 is a Vulnhub medium machine. We can download the lab from here. This lab is designed for experienced CTF players who
The post Corrosion: 2 VulnHub Walkthrough appeared first on Hacking Articles.
代理程序员的腐蚀: 2是一个 Vulnhub 中型机器。我们可以从这里下载实验室。这个实验室是为有经验的 CTF 玩家设计的
后腐蚀: 2 VulnHub 演练首次出现在黑客文章。
2022年1月23日 21:34Security Boulevard
What are DDOS attack tools? DDOS attacks are cyber- attacks targeted at rendering certain computers, network systems and servers non-functional. The processes involved in its execution can be however complicated. Attackers have to carry out a long series of actions that involve social engineering, data breaches and sometimes even system testing. Due to the sophistication [...]
The post 16 Best DDOS Attack Tools in 2022 appeared first on Wallarm.
The post 16 Best DDOS Attack Tools in 2022 appeared first on Security Boulevard.
什么是 DDOS 攻击工具?DDOS 攻击是针对使某些计算机、网络系统和服务器失效的网络攻击。然而,其执行过程可能非常复杂。攻击者必须执行一系列的行动,包括社会工程、数据泄露,有时甚至是系统测试。由于老练[ ... ... ]
2022年发布的16个最佳 DDOS 攻击工具第一次出现在 Wallarm 上。
2022年的16个最佳 DDOS 攻击工具第一次出现在安全大道上。
2022年1月23日 21:32Blog on
Twitter user Antonio Morales created the Fuzzing101 repository in August of 2021. In the repo, he has created exercises and solutions meant to teach the basics of fuzzing to anyone who wants to learn how to find vulnerabilities in real software projects. The repo focuses on AFL++ usage, but this series of posts aims to solve the exercises using LibAFL instead. We’ll be exploring the library and writing fuzzers in Rust in order to solve the challenges in a way that closely aligns with the suggested AFL++ usage.
推特用户 Antonio Morales 在2021年8月创建了 fuzzing101资源库。在回购协议中,他创建了练习和解决方案,旨在向任何想要学习如何在实际软件项目中发现漏洞的人传授模糊化的基本知识。回复主要关注 AFL + + 的使用,但本系列文章旨在用 LibAFL 来解决练习。我们将探索图书馆,并在 Rust 中编写模糊符号,以便以一种与建议的 AFL + + 使用密切结合的方式解决这些挑战。
2022年1月23日 21:32ふるつき
randexp.jsというライブラリがあって、これは与えられた正規表現に対して、その正規表現にマッチするような文字列を生成する。へーと思って実装を見てみたら素朴に作られていた。
あとで思い出して、じゃあBNFでやったらどうなのかというのを作ってみた。BNFというのは文法を定める言語のようなもので、Wikipedia曰く"文脈自由文法を定義するのに用いられるメタ言語" ということだった。文脈自由文法がどういう意味だったか全然憶えていないけど、この形式で言語の構文を書いておけば、lex/yaccみたいなのに簡単に落とし込めたり、愚直に再帰下降構文解析を書けば、文法に沿った言語をパースできるようになる。正規表現とは似て非なるもので、今回の目的だと正規表現が括弧のネストみたいなのをうまく表現できないのに比べて、BNFならわりと簡単に書ける、というような違いがある。
いまならPEGというもうちょっとBNFを便利に書いてもパーサは作れるよね、という感じの記法もあるけど、色々できるということは色々実装しないといけなくてややこしいということでもあるので、今回は素直にBNFを対象にした。
できたものがこちら
github.com
やることは簡単で、まずBNFをパースできるようにする。BNFは当然BNFを記述できるし、Wikipediaにそういう例があるから、それを見ながら再帰下降構文解析を書いて抽象構文木を作る。それができたら作った構文木を上から順に読み下しつつ、ルールに応じてランダムな文字を生成すればいい。ルールといっても、連接と選択と他のルールの参照くらいしかないから愚直にやっていい。
ここまで書いて、じゃあ適当な言語のBNFを拝借してなんか生成してみるか、と思ったけど愚直なBNFで定義された文法なんて都合よく転がっていなかった。EBNFならどうかとおもって反復とかもパースできるようにしたけど、結局共通のBNFで文法が定義なんてされていなくて丁寧な前処理が必要そうになって面倒になった。結局BNFで書かれたBNFの文法と、EBNFで書かれたEBNFの文法くらいしかサンプルがなくて悲しい感じになった。かろうじてbcは素直なBNFが提供されていて、かつトークンもそんなに複雑な感じではなかったので遊べる感じになっているが、トークンと構文は区別されているので、構文の間には適当に空白を入れないといけないが、トークンの間には入れることができ
2022年1月23日 19:31ArthurChiao's Blog
TL; DR
This post digs into the Kubernetes NetworkPolicy model, then
designs a policy enforcer
based on the technical requirements and further implements it with
less than 100 lines of eBPF code
. Hope that after reading through this post, readers will get a deeper understanding on
how network policies are enforced in the underlying
.
Code and scripts in this post: here.
TL; DR
1 Introduction
1.1 Access control (NetworkPolicy) in Kubernetes
1.2 How policies could be enforced in the underlying?
1.3 Purpose of this post
2 Design a dataplane policy enforcer
2.1 Introducing service identity
2.2 Introducing identity store: Labels <-> Identity
2.3 Introducing policy cache
2.4 Introducing IPCache: PodIP -> Identity
2.5 Hooking and parsing traffic
2.6 Compose up: an end-to-end workflow
3 Implement the enforcer with eBPF
3.1 The code
3.2 Compile
3.3 Load and attach
4 Test environment and verification
4.1 Test environment setup
4.2 Verification
Case 1: with no policy
Case 2: with specific policy: allow role=backend -> t
2022年1月23日 17:37Wallarm Blog
What are DDOS attack tools? DDOS attacks are cyber- attacks targeted at rendering certain computers, network systems and servers non-functional. The processes involved in its execution can be however complicated. Attackers have to carry out a long series of actions that involve social engineering, data breaches and sometimes even system testing. Due to the sophistication [...]
The post 16 Best DDOS Attack Tools in 2022 appeared first on Wallarm.
什么是 DDOS 攻击工具?DDOS 攻击是针对使某些计算机、网络系统和服务器失效的网络攻击。然而,其执行过程可能非常复杂。攻击者必须执行一系列的行动,包括社会工程、数据泄露,有时甚至是系统测试。由于老练[ ... ... ]
2022年发布的16个最佳 DDOS 攻击工具第一次出现在 Wallarm 上。
2022年1月23日 07:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Abi Waddell’s ‘Credential Attack Recon Detection: How Tooling Fail And How To Reduce False Positives’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
伦敦2021年的后安全问题—— Abi Waddell 的“凭证攻击侦查: 工具如何失效以及如何减少误报”首次出现在安全大道上。
2022年1月23日 03:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Jamie Riden’s ‘How We Hacked Your Billion Dollar Company For Forty-Two Bucks’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
2021年伦敦奥运会上,杰米 · 里登的《我们如何为了42美元黑掉你的10亿美元公司》首次出现在安全大道上。
2022年1月23日 03:34Security Boulevard
via the comic artistry and dry wit of Randall Munroe, resident at XKCD!
Permalink
The post XKCD ‘Captain Picard Tea Order’ appeared first on Security Boulevard.
来自 XKCD 居民 Randall Munroe 的喜剧艺术和冷幽默!
Permalink
后 XKCD“皮卡德船长茶会”首先出现在安全大道上。
2022年1月22日 21:31tyler_download的专栏
使用gRPC实现客户端与服务端多对多数据传输
作者:tyler_download 发表于 2022/01/22 19:44:39 原文链接 https://blog.csdn.net/tyler_download/article/details/122641739
阅读:0
2022年1月22日 19:34Security Boulevard
Do you fear being wrong? We’re under a lot of pressure to always know the right answer. What is it you fear the most – being wrong, not knowing the answer, or something else? Take a moment to explore fear, sometimes explained as: False Evidence Appearing Real Real or not, fear affects everything we do. […]
The post Do you fear being wrong? appeared first on Security Boulevard.
你害怕犯错吗?我们承受着很大的压力,总是知道正确的答案。你最害怕的是什么? 是错误,不知道答案,还是别的什么?花一点时间去探索恐惧,有时解释为: 虚假证据出现真实与否,恐惧影响我们做的每一件事。[...]
“你害怕出错吗?”的帖子首先出现在安全大道上。
2022年1月22日 17:35Stories by SAFARAS K A on Medi
Recently, I was browsing a website with BurpSuite and found out that the website was blocking my requests. In the pursuit of unlocking the mystery of how, I have stumbled across an incredible TLS fingerprinting technique called JA3.
Backdrop
Fingerprinting clients and blocking them based on a particular set of rules is not new. Many companies do have intelligent ways of Fingerprinting clients(one reason being to detect bots and malicious traffic) by using a cookie to track a user uniquely. After Snowden’s leak back in 2013, many websites started to adopt the HTTPS version by default. Many applications like malware, IoT devices also use TLS to connect securely to the Server. Thus, the popularity and widespread of the TLS protocol led to research and discovery of newer ways to fingerprint users uniquely.
How do HTTPS Connections work?
HTTPS in short is combination of two things:
TCP(Transmission Control Protocol) — 3 Way Handshake
TLS (Transport Layer Security)Client — Server Negotiation
TCP Handshake, also kno
2022年1月22日 17:35Geek Freak
Hi Everyone
I’m back with another blog, i will cover how to Set-up and run a Phishing Campaign using GoPhish in a Red Teaming Engagement.
What is Phishing ?
Phishing is a type of social engineering attack often used to steal user data, including login credentials and credit card numbers.
It occurs when an attacker, masquerading as a trusted entity, dupes a victim into opening an email, instant message, or text message.
大家好
我回来与另一个博客,我将涵盖如何设置和运行一个钓鱼运动使用 GoPhish 在一个红色的团队约定。
什么是仿冒诈骗?
网络钓鱼是一种社会工程攻击,通常用于窃取用户数据,包括登录凭证和信用卡号码。
当攻击者伪装成受信任实体,欺骗受害者打开一封电子邮件、即时消息或短信时,就会发生这种情况。
2022年1月22日 17:35Stories by SAFARAS K A on Medi
Recently, I was browsing a website with BurpSuite and found out that the website was blocking my requests. In the pursuit of unlocking the mystery of how, I have stumbled across an incredible TLS fingerprinting technique called JA3.
Backdrop
Fingerprinting clients and blocking them based on a particular set of rules is not new. Many companies do have intelligent ways of Fingerprinting clients(one reason being to detect bots and malicious traffic) by using a cookie to track a user uniquely. After Snowden’s leak back in 2013, many websites started to adopt the HTTPS version by default. Many applications like malware, IoT devices also use TLS to connect securely to the Server. Thus, the popularity and widespread of the TLS protocol led to research and discovery of newer ways to fingerprint users uniquely.
How do HTTPS Connections work?
HTTPS in short is combination of two things:
TCP(Transmission Control Protocol) — 3 Way Handshake
TLS (Transport Layer Security)Client — Server Negotiation
TCP Handshake, also kno
2022年1月22日 17:31PansLabyrinth
代码审计是每个安全研究员都应该掌握的技能。但是网上对于代码审计的介绍文章却比较匮乏。因此本文一方面作为 The Art of Software Security Assessment 一书的阅读笔记,另一方面也结合自己日常工作的经验总结,希望能对国内的安全研究员有个抛砖引玉的帮助。
前言
对于许多安全研究人员而言,Fuzzing 是一个重要的漏洞挖掘方法,但每个方法都有其局限性。首先,为了有效地进行 Fuzz,需要准确找到攻击面并在此基础上进行自动化测试,寻找攻击面的过程离不开代码审计;其次,在自动化测试找到 crash 之后,分析和写报告的过程需要人工审计理解代码逻辑和漏洞的 root cause;最后,对于 Java 或者 Go 这类内存安全的语言而言,Fuzzing 的应用场景更是受限,只能通过代码审计去发现复杂的逻辑设计问题。
本文算是对代码审计的一个方法论式的总结,对具体代码的所属语言并无限制,可以是 C/C++,也可以是 Java、PHP。对于具体语言所独有的 Source、Sink 以及自动化分析辅助工具不在本文范围,感兴趣的朋友可以关注后续的代码安全审计之术篇。
谋定而后动
孙子兵法有云: 谋定而后动。在现代管理学中也有一句名言: “If you can’t measure it, you can’t manage it."
可见凡事在开始之前,都需要先确定好自己的目标和计划,这样才能确保自己不会偏离方向或者误入歧途。 对于安全审计亦是如此。工作时经常会发现一些同事一头扎进某个项目的代码中,眨眼就是几个月,一问进展如何不知,还有多久不知,有何计划也不知,代码审计全凭感觉,有无收获全靠运气。……
为了避免这种情况,在开始前我们不妨先问一下自己的目标是什么。这乍看起来是个很简单的问题,但对于不同的场景可能有不同的回答。通常安全研究人员的目标是在最短的时间内找到最有价值的漏洞;对于商业安全顾问而言,其目标是在项目预算允许的范围内尽可能达到更高的审计覆盖率;另外对于开发者或者安全架构师而言,则会花费更长的时间周期进行内部安全评审。
对于商业环境中的代码安全审计,通常甲方更关心的是容易检测的安全问题,而不甚考虑其复杂性和技术难度。因为他们的目标是避免漏洞被公开或者利用造成负面舆情影响。如果此时你将时间都花在了某些复杂问题中而忽略了浅显的漏洞,那显然是拿不到甲方好评的。将时间花费在没有 “技术含量” 的简单漏
2022年1月22日 15:34SuspeKt
There are many reasons for you to feel the need to spy on an iPhone. While there are many articles and websites online that teach you how to spy on an iPhone with the help of iCloud easily, the prerequisites required for this method makes it a little more complicated since you need to know ...
Read more
The post How to Spy on iPhone Without Apple ID and Password first appeared on SuspeKt.
有很多理由让你觉得有必要监视一部 iPhone。虽然网上有很多文章和网站教你如何利用 iCloud 轻松监视 iPhone,但是这种方法的先决条件使得它变得有点复杂,因为你需要知道... ..。
阅读更多
如何在没有苹果 ID 和密码的情况下监视 iPhone 这篇文章首次出现在 SuspeKt 上。
2022年1月22日 13:35Hackerman's Hacking Tutorials
Here are some of my answers to the SANS Holiday Hack 2021. As usual, it's a pretty fun and accessible challenge.
Previous writeups:
SANS Holiday Hack 2018 Solutions
Some SANS Holiday Hack 2019 Solutions
Some SANS Holiday Hack 2020 Solutions
以下是我对 SANS Holiday Hack 2021的一些回答。像往常一样,这是一个非常有趣和容易接近的挑战。
返回文章页面【一分钟科普】 :
2018解决方案
2019解决方案
一些 SANS Holiday Hack 2020解决方案
2022年1月22日 13:35evoA
前言这个思路的起因是因为 今年的SCTF2019我出的一道Web题目 Flag Shop,当时这道题目我准备的考点只是一个ruby的小trick,并且有十几个队伍成功解出,但是在比赛的最后 VK...
2022年1月22日 13:34Security Boulevard
Introduction
Xloader is an information stealing malware that is the successor to Formbook, which had been sold in hacking forums since early 2016. In October 2020, Formbook was rebranded as Xloader and some significant improvements were introduced, especially related to the command and control (C2) network encryption. With the arrival of Xloader, the malware authors also stopped selling the panel’s code together with the malware executable. When Formbook was sold, a web-based command and control (C2) panel was given to customers, so they could self-manage their own botnets. In 2017, Formbook’s panel source was leaked, and subsequently, the threat actor behind Xloader moved to a different business model. Rather than distributing a fully functional crimeware kit, Xloader C2 infrastructure is rented to customers. This malware-as-a-service (MaaS) business model is likely more profitable and makes piracy more difficult.
The capabilities of Xloader include the following:
Steal credentials from web browsers and othe
2022年1月22日 09:34Security Boulevard
Whitelist the JumpCloud Protect app in Focus’s settings within iOS to avoid missing MFA push notifications.
The post Whitelist JumpCloud Protect™ if You Use Apple’s Focus Functionality appeared first on JumpCloud.
The post Whitelist JumpCloud Protect™ if You Use Apple’s Focus Functionality appeared first on Security Boulevard.
将 JumpCloud Protect 应用列入 iOS 设置中,以避免错过 MFA 推送通知。
如果你使用苹果的焦点功能,白名单后的 JumpCloud ProtectTM 首先出现在 JumpCloud 上。
如果你使用苹果的焦点功能,白名单后跳云保护 m 首先出现在安全大道。
2022年1月22日 09:34Security Boulevard
Don't take server backups for granted. Learn how to back up and restore your Linux system using the rsync utility.
The post How to Back Up and Restore Your Linux System Using the Rsync Utility appeared first on JumpCloud.
The post How to Back Up and Restore Your Linux System Using the Rsync Utility appeared first on Security Boulevard.
不要认为服务器备份是理所当然的,学习如何使用 rsync 工具备份和恢复 Linux 系统。
如何使用 Rsync 工具备份和恢复你的 Linux 系统》这篇文章首次出现在 JumpCloud 上。
如何使用 Rsync 工具备份和恢复你的 Linux 系统》这篇文章最早出现在 Security Boulevard。
2022年1月22日 09:34Security Boulevard
When enterprises implement low-code security automation solutions, they have the opportunity to mature as a security team by expanding actionability beyond the security operations center (SOC). This means that they automate use cases beyond the basic security orchestration automation and response (SOAR) use cases, like phishing. Once security teams move high-volume work off their plate, they are able to automate ...
The post How to Automate Response to Credential Compromises appeared first on Security Boulevard.
当企业实现低代码安全自动化解决方案时,它们有机会通过将可行性扩展到安全操作中心(SOC)之外,从而成长为一个安全团队。这意味着,它们使用例自动化,超越了基本的安全性编排自动化和响应(SOAR)用例,比如网络钓鱼。一旦安全团队将大量工作移出他们的工作区,他们就能够自动化..。
如何自动化对凭证妥协的回应这一帖子最早出现在安全大道上。
2022年1月22日 07:34CXSECURITY Database RSS Feed -
Topic: Banco Guayaquil 8.0.0 Cross Site Scripting Risk: Low Text:Document Title: Banco Guayaquil Versión 8.0.0 IOS - Cross Site Scripting Stored Credits & Authors: Taurus...
2022年1月22日 07:34CXSECURITY Database RSS Feed -
Topic: VulturiBuilder / Insecure Permissions Risk: Low Text:Discovery / credits: Malvuln - malvuln.com (c) 2022 Original source: https://malvuln.com/advisory/ca294b2f778abc14fef6313b3cea...
主题: VulturiBuilder/Insecure Permissions Risk: Low Text: Discovery/credits: Malvuln-Malvuln. com (c)2022 Original source:  https://Malvuln.com/advisory/ca294b2f778abc14fef6313b3cea  ..。
2022年1月22日 05:34Security Boulevard
For the last 15 years, Google has offered businesses its free reCAPTCHA tool as a way to stop bad bots from attacking their site and to try to determine if a user is human or not. The original reCAPTCHA asked users to translate scanned texts to try and identify that the user was a human […]
The post Is reCAPTCHA Enterprise Worth it for Businesses? appeared first on Security Boulevard.
在过去的15年里,谷歌为企业提供了免费的 reCAPTCHA 工具,以阻止恶意机器人攻击他们的网站,并试图判断用户是否为人。原始的 reCAPTCHA 要求用户翻译扫描的文本,以试图识别用户是否是人[ ... ]
第一篇文章《 Is reCAPTCHA Enterprise Worth it for Businesses? 》首次出现在安全大道上。
2022年1月22日 05:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Gabriel Currie’s ‘Ready For (Nearly) Anything: Preparing Your Organisation For A Cyber Incident’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
2021年伦敦邮政安全双方-加布里埃尔柯里的“准备(几乎)一切: 准备你的组织为网络事件”首次出现在安全大道。
2022年1月22日 05:34Security Boulevard
Read the original article here.
Change happens in waves and the trend of GRC (governance, risk, and compliance) is not only here to stay – it is surging. Companies of all sizes are finding themselves having to tackle SOC 2, CMMC, PCI, HIPAA, GDPR and dozens of other standards. The lines between cybersecurity, privacy, risk management, and compliance are no longer straight and delineated – they are merging. Gone are the days when your team manages only all things security-related while compliance stayed on the sidelines.
The post Are You Riding the GRC Wave or Missing the Boat? appeared first on Security Boulevard.
点击这里阅读原文。
变化是波浪式的,GRC (治理、风险和合规)的趋势不仅要持续下去,而且还在激增。各种规模的公司都发现自己不得不处理 SOC 2、 CMMC、 PCI、 HIPAA、 GDPR 和许多其他标准。网络安全、隐私、风险管理和合规性之间的界限已经不再清晰明了——它们正在合并。你的团队只管理与安全相关的所有事情,而法规遵从却置身事外的日子已经一去不复返了。
你是乘坐 GRC 浪潮还是错过了船? 这篇文章最先出现在安全大道。
2022年1月22日 03:37text/plain
Previously, I’ve written a lot about Application Protocols, which are a simple and popular common mechanism for browsers to send a short string of data out to an external application for handling. For instance, mailto is a common example of a scheme treated as an Application Protocol; if you invoke mailto:someone@somewhere.com, the browser will convertContinue reading "Adding Protocol Schemes to Chromium"
在前面,我已经写了很多关于应用程序协议的内容,这是一种简单且常用的浏览器通用机制,用于向外部应用程序发送一个简短的数据字符串进行处理。例如,mailto 是作为应用程序协议处理的方案的一个常见示例; 如果调用 mailto: someone@somewhere. com,浏览器将 convertContinue 读取“ Adding Protocol Schemes to Chromium”
2022年1月22日 03:34Security Boulevard
It was an unwelcome early Christmas gift shared with the entire world on December 9th, 2021. Log4Shell rocked the industry when we realized just how dangerous and far-reaching its effects could be. The mad scramble to find and patch the flaw left many organizations wondering...
Read more
The post Lessons from the Log4j crisis: Are we ready for the next global vulnerability? appeared first on Acunetix.
The post Lessons from the Log4j crisis: Are we ready for the next global vulnerability? appeared first on Security Boulevard.
2021年12月9日,这份不受欢迎的提前送给全世界的圣诞礼物。当我们意识到 Log4Shell 的危险性和深远影响时,它震撼了整个行业。疯狂的寻找和修补漏洞让许多组织感到疑惑..。
阅读更多
4j 危机的教训: 我们准备好面对下一个全球性的弱点了吗。
4j 危机的教训: 我们准备好面对下一个全球性的弱点了吗。
2022年1月22日 03:34Security Boulevard
Our thanks to Security BSides London for publishing their tremendous videos from the Security BSides London 2021 Conference on the organization’s YouTube channel. Enjoy!
Permalink
The post Security BSides London 2021 – Bigezy’s ‘Decriminalization Of Ransomware’ appeared first on Security Boulevard.
我们感谢伦敦安全协会在该组织的 YouTube 频道上发布了他们在伦敦安全协会2021年会议上的大量视频。享受吧!
Permalink
2021年伦敦安全大道-Bigezy 的勒索软件除罪化首次出现在安全大道。
2022年1月22日 03:34Security Boulevard
Up for the "Most Meta Cybercrime Offering" award this year is Accountz Club, a new cybercrime store that sells access to purloined accounts at services built for cybercriminals, including shops peddling stolen payment cards and identities, spamming tools, email and phone bombing services, and those selling authentication cookies for a slew of popular websites.
The post Crime Shop Sells Hacked Logins to Other Crime Shops appeared first on Security Boulevard.
今年的“最大网络犯罪元素提供者”奖是 Accountz Club,这是一家新的网络犯罪商店,出售网络犯罪服务中被盗账户的访问权限,这些服务包括兜售被盗支付卡和身份证、垃圾邮件工具、电子邮件和电话爆炸服务,以及那些出售许多热门网站的认证 cookie 的商店。
邮政犯罪商店出售黑客登录到其他犯罪商店首先出现在安全大道。
2022年1月22日 03:34Security Boulevard
via the Comic Noggins of Nitrozac and Snaggy at The Joy of Tech®!
Permalink
The post Joy Of Tech® ‘The Internet Isn’t Fair’ appeared first on Security Boulevard.
通过漫画 Noggins 的硝基扎克和 Snaggy 在快乐的技术!
Permalink
科技的乐趣’互联网不公平’的帖子首先出现在安全大道上。
2022年1月22日 03:34Hex Rays
Output window is part of IDA’s default desktop layout and shows various messages from IDA and possibly third-party components (plugins, processor modules, scripts…). It also contains the Command-line interface (CLI) input box. Opening the Output window Although it is present by default, it is possible to close this window, or use a desktop layout without it. [...]
输出窗口是 IDA 默认桌面布局的一部分,它显示来自 IDA 的各种消息,可能还有第三方组件(插件、处理器模块、脚本...)。它还包含了命令行界面输入框。打开“输出”窗口虽然默认情况下它是存在的,但是可以关闭该窗口,或者使用桌面布局。[...]
2022年1月22日 01:36r2c website
tl;dr: Lockfiles often protect you from malicious new versions of dependencies. When something bad happens, they empower you to know exactly…
Lockfiles 经常保护您免受恶意的新版本依赖关系的影响。当一些不好的事情发生时,他们会让你确切地知道... ..。
2022年1月22日 01:34Files ≈ Packet Storm
Online Project Time Management version 1.0 suffers from a remote SQL injection vulnerability.
在线项目时间管理版本1.0存在远程 SQL 注入漏洞。
2022年1月22日 01:34Files ≈ Packet Storm
Banco Guayaquil for iOS version 8.0.0 suffers from a script insertion vulnerability where a user can insert malicious code into their own name and could possibly be leveraged for attacks upstream.
Guayaquil 银行的 iOS 8.0.0版本存在一个脚本插入漏洞,用户可以在自己的名字中插入恶意代码,并可能利用这个漏洞进行上游攻击。
2022年1月22日 01:34Files ≈ Packet Storm
Red Hat Security Advisory 2022-0219-03 - Red Hat AMQ Streams, based on the Apache Kafka project, offers a distributed backbone that allows microservices and other applications to share data with extremely high throughput and extremely low latency. This release of Red Hat AMQ Streams 1.6.6 serves as a replacement for Red Hat AMQ Streams 1.6.5, and includes security and bug fixes, and enhancements. For further information, refer to the release notes linked to in the References section. Issues addressed include a denial of service vulnerability.
Red Hat Security Advisory 2022-0219-03-Red Hat AMQ Streams,基于 Apache Kafka 项目,提供了一个分布式骨干,允许微服务和其他应用程序以极高的吞吐量和极低的延迟共享数据。这个版本的 Red Hat AMQ Streams 1.6.6作为 Red Hat AMQ Streams 1.6.5的替代品,包括安全和 bug 修复,以及增强。有关进一步的信息,请参阅参考资料部分中链接的发行说明。所涉及的问题包括分布式拒绝服务攻击安全漏洞。
2022年1月22日 01:34Security Boulevard
No Content.
The post Cybersecurity News Round-Up: Week of January 17, 2022 appeared first on Security Boulevard.
没有内容。
后网络安全新闻综述: 2022年1月17日一周首次出现在安全大道上。
2022年1月22日 01:34Security Boulevard
This week Apache disclosed 3 vulnerabilities impacting Log4j 1.x versions.
The post New Log4j 1.x CVEs, and critical Chainsaw Vulnerability — What to Do? appeared first on Security Boulevard.
本周 Apache 公布了3个影响 Log4j 1. x 版本的漏洞。
后新 Log4j 1. x CVEs 和关键的链锯漏洞---- What to Do---- 首先出现在安全大道。
2022年1月22日 01:34Files ≈ Packet Storm
Red Hat Security Advisory 2022-0222-02 - This update of Red Hat Integration - Camel Extensions for Quarkus serves as a replacement for 2.2 GA. Issues addressed include code execution and denial of service vulnerabilities.
红帽安全咨询2022-0222-02-这个更新的红帽集成-夸库斯骆驼扩展作为2.2 ga. 的替代。解决的问题包括代码执行和分布式拒绝服务攻击安全漏洞。
2022年1月22日 01:34Security Boulevard
Explore how API-intensive and API-experienced businesses are bringing maturity to their APIs’ protections through greater observability, tracing, and usage analysis.
The post When it comes to API security, expect the whole world to be testing your mettle, says Twitter CISO appeared first on Traceable App & API Security.
The post When it comes to API security, expect the whole world to be testing your mettle, says Twitter CISO appeared first on Security Boulevard.
探索 api 密集型和 api 经验丰富的企业是如何通过更强的可观察性、跟踪和使用分析将 api 保护带向成熟的。
当谈到 API 安全时,希望整个世界都在测试你的勇气,Twitter 的 CISO 首先出现在可追踪的 App & API Security 上。
当谈到 API 安全时,全世界都在测试你的勇气,Twitter 的 CISO 首先出现在 Security Boulevard。
2022年1月22日 01:34Files ≈ Packet Storm
Red Hat Security Advisory 2022-0223-02 - A minor version update is now available for Red Hat Camel K that includes bug fixes and enhancements, which are documented in the Release Notes document linked to in the References. Issues addressed include code execution and denial of service vulnerabilities.
Red Hat Security Advisory 2022-0223-02-a minor version update is now available for Red Hat Camel k,that includes bug fixes and enhancement,which are documented in the Release Notes document linked to the References.解决的问题包括代码执行和分布式拒绝服务攻击安全漏洞。
2022年1月22日 01:34Security Boulevard
Clearly I’m a huge fan of Tesla CEO Elon Musk and have a lot of respect for him. You can read all about it in my many posts on Tesla engineering practices. Just kidding. But seriously, I’ve just read a very bizarre article by an automotive automation expert (redundant, I know). This industry luminary with … Continue reading The T in Tesla Stands for Trash: Owners Now Face Criminal Prosecution →
The post The T in Tesla Stands for Trash: Owners Now Face Criminal Prosecution appeared first on Security Boulevard.
显然,我是特斯拉 CEO 埃隆 · 马斯克的超级粉丝,对他非常尊敬。你可以在我的许多关于特斯拉工程实践的文章中读到这些。开个玩笑。不过说真的,我刚刚读了一位汽车自动化专家写的一篇非常奇怪的文章(我知道这是多余的)。这个行业的杰出人物... ... 继续阅读 t in Tesla 代表垃圾: 拥有者现在面临刑事起诉→
特斯拉的 t 代表垃圾: 拥有者现在面临刑事起诉首次出现在安全大道。
2022年1月22日 01:34Security Boulevard
Depending on how you look at it, President Biden’s Wednesday memorandum—which gave the NSA the type of authority over agencies operating national security systems that the Cybersecurity and Information Security Agency (CISA) has on civilian agencies—is either an example of the administration delivering on its promise to bolster cybersecurity or an example of it being..
The post Biden Signs Authority for NSS to NSA: Think CISA for Military, Intel Systems appeared first on Security Boulevard.
拜登总统周三的备忘录赋予了美国国家安全局对国家安全系统运行机构的权力,就像美国网络安全与信息安全局(CISA)对民间机构的权力一样。这份备忘录要么是美国政府兑现其加强网络安全承诺的一个例子,要么就是美国政府正在履行承诺的一个例子。.
后拜登签署授权给国家安全局: 想想 CISA 的军事,英特尔系统第一次出现在安全大道。
2022年1月22日 01:34Files ≈ Packet Storm
Red Hat Security Advisory 2022-0226-04 - OpenShift Logging Bug Fix Release. Issues addressed include code execution and denial of service vulnerabilities.
Red Hat Security Advisory 2022-0226-04-OpenShift Logging Bug Fix Release.解决的问题包括代码执行和分布式拒绝服务攻击安全漏洞。