JiaXu's Blog
提醒一下大伙,如果你们用微信或支付宝,开通过某个商家或APP的“先用后付”,或“离店再付”之类的自动扣款服务,那个其实相当于给了那个商家/APP“免密支付”,也就是“直接扣款”的授…
近日,微软官方发布了 10 月安全更新,修复了合计117个安全漏洞。其中,包含 2 个严重漏洞(Critical)、75 个高危漏洞(Important)和 40 个中危漏洞(Mo…
在逛知乎的时候,看到了这么一个问题:我在代码里面故意留个漏洞,违法吗? 我看到了三个非常有意思的回答,分享给大家一看。 首先是这个为了防止项目交付后收不到尾款埋下后门的回答: 答主…
漏洞描述 Google Chrome 发布更新版本,新版本修复了多个安全漏洞,其中包括一个 V8 中的类型混淆漏洞,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。…
漏洞类型:反序列化 漏洞等级:严重(9.9) 所属厂商:Elastic N.V. 漏洞描述:Elastic Kibana存在一个反序列化漏洞,在使用Elastic Security…
漏洞描述: Apache OFBiz存在一个服务端请求伪造漏洞,未授权的远程攻击者可以通过该漏洞向内部发送任意请求,最终可导致任意远程执行。漏洞编号:CVE-2024-45507,…
密码管理器 NordPass 发布了一份年最常用密码列表,大家还是更喜欢使用简单的数字密码: 12345 —— 简单易记,输入也方便 123456 —— 你肯定用过,毕竟有时候密码…
2024 OWASP十大主动控制项目面向开发者 《2024OWASP十大主动控制》是一份针对软件架构师和开发人员的重要安全技术文档,旨在为他们提供具体、实用的指导,以帮助他们构建更…
一直以来,拿到一台电脑上的密钥,方法无非有以下三种: 1.直接拿到这台电脑,然后输入木马病毒进行盗取。(此种略微LowB的方法风险在于:如果被电脑主人“捉奸在床”,愤而报警,则需要…
什么是勒索软件? 勒索软件首先是一种特殊的恶意软件。勒索软件的特殊之处在于,它采用技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),并以此要挟受害者。受害…
当黑客发动攻击时,他们会使用各种技术手段来掩盖自己的身份和位置,例如使用匿名浏览器、跳板服务器、虚拟专用网络(VPN)、代理服务器等。这些技术手段会改变其真实的IP地址和位置信息,…
在当今互联互通的世界中,数字通信和交易占主导地位,网络钓鱼攻击已成为一种无处不在的威胁。 通过冒充可信实体,钓鱼攻击欺骗用户和组织机构泄露敏感信息,如密码、财务数据和个人信息。 钓…
常见的生产故障有哪些? 在生产环境中,常见的故障类型包括但不限于以下几种: 1.网络故障:网络故障可能包括网络连接中断、网络延迟过高、路由错误等。这可能导致系统无法正常访问外部资源,或导致应用程序无法与其他系统进行通信。 2.服务器故障:服务器故障可能包括硬件故障、操作系统崩溃、服务崩溃等。这可能导…
根据Aqua Security最新发布的报告,过去六个月的蜜罐汇总数据显示,超过50%的攻击采用了检测规避技术。 攻击者擅长绕过无代理方案 这些能逃避检测的攻击技术包括伪装技术(例…
Venator Venator 是一个用于主动检测并收集macOS数据的 python 工具,获得数据后供分析哪些是恶意活动,macOS几乎很少有类似的工具。使用原生 macOS …
议题简介嘉宾一: 沈炼,None安全团队创始人,华盟攻防实验室负责人,精通代码审计、内网渗透、WEB渗透、php、Python等语言。参与过多个护网、重保、攻防大型项目。微博SRC…
