2022年04月08日
到2020年的前六个月,已经报告了9000多个新漏洞,而且我们有望在今年看到20,000多个新漏洞报告-Skybox Security揭示了新记录。
重塑人们的工作方式
移动漏洞增加50%突显了公司网络与个人网络之间界限模糊的危险
勒索软件在COVID-19大流行期间蓬勃发展,新样本数量增加了72%
对关键基础设施(包括医疗保健公司和研究实验室)的攻击加剧了混乱
Skybox Security研发副总裁兼首席技术官Ron Davidson说:“全球
2022年04月08日
基于 Redis 的分布式锁对大家来说并不陌生,可是你的分布式锁有失败的时候吗?在失败的时候可曾怀疑过你在用的分布式锁真的靠谱吗?以下是结合自己的踩坑经验总结的一些经验之谈。
图片来自 Pexels
你真的需要分布式锁吗?
用到分布式锁说明遇到了多个进程共同访问同一个资源的问题。
一般是在两个场景下会防止对同一个资源的重复访问:
提高效率。比如多个节点计算同一批任务,如果某个任务已经有节点在计算了,那其他节点就不用重复计算了,以免浪费计算资源。不过重复计算也没事,不会造成其他更大
2022年04月08日
1. 场景介绍
“据媒体报道,杭州的胡女士发现她家的摄像头未经操作,自己在动。她登录手机客户端,发现只绑定了她一个用户的摄像头,竟有两个用户同时在线观看。” 这是生活中真实的案例,还有很多人并不知道自己家的摄像头存在各种安全隐患,摄像头下的隐私正被偷窥着。作为一名安全研究人员,笔者写此文旨在提醒广大摄像头使用者提高网络安全意识,督促摄像头厂商关注产品生命周期的安全性,使得智能摄像头在给大家带来各项便利的同时,也能让大家用得放心。
2. 摄像头之疡
摄像头归属于物联网设备
2022年04月08日
今日,网络安全研究人员披露了一个新的高风险漏洞的详细信息。该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,笔记本电脑,台式机及IoT系统。
因该漏洞位于GRUB2引导程序中,所以被称为“ BootHole ”,并被标记为CVE-2020-10713。一旦被利用,该漏洞可让攻击者避开安全启动功能,并获得高度特权,隐身访问目标系统。
安全启动是一项统一可扩展固件接口(UEFI)的安全功能。在启动加载程序来加载关键组件,外
2022年04月08日
近日,VMware公布了首份美国网络安全威胁报告《威胁之下的扩展型企业》的调研结果,调研结果源自对250位美国首席信息官、首席技术官与首席信息安全官的调查走访。此次研究发现,过去12个月内美国境内的网络攻击量和漏洞均呈增加态势,导致企业在网络防御方面的投资不断加大,平均每家美国企业采用的网络安全工具已超过9种。
该报告数据由独立研究公司Opinion Matters代表VMware Carbon Black于2020年3月和4月汇编而成。
来自美国受访者的主要调研结果包括:
调研发现
2022年04月08日
为什么要开展网络钓鱼演练
相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作内容之一,目的也很明确,通过安全意识培训来改变员工的不安全行为,降低人的风险。根据网络安全问题起源数据分析,75%的安全事件是由人引起的,很大一部分原因是意识薄弱,弱口令、钓鱼中招等;只有25%是跟技术相关,其中包括系统漏洞、配置缺陷以及业务逻辑缺陷等。
为了更好地认识企业的安全意识成熟程度,钓鱼邮件测试是最好的评估手段,是验证安全意识培训效果最有效的方法之一,尤其是对于刚担任公司的信息安
2022年04月08日
由于Google+数据泄漏而对Google进行的为期两年的集体诉讼的诉讼。
在有关泄露用户个人数据的信息曝光后,2018年10月,Google +关闭了其服务。
尽管自2018年5月以来就知道此漏洞,并且知道该漏洞正在通过Google+ API从大约500,000个用户帐户中泄漏信息。谷歌内部委员会决定不披露有关该漏洞的详细信息。
后来我们了解到,使用Google+ API的开发人员实际上可以访问5250万个Google+个人资料,这些个人资料应根据用户的喜好保留为私有状态。
针对Googl
2022年04月08日
【51CTO.com快译】
支付卡的普及不仅方便了消费者和企业,同时也方便了欺诈者。根据实体卡和移动支付行业出版物--《尼尔森报告(Nilson Report)》的最新数据:2018年全球支付卡欺诈损失已达278.5亿美元。该报告认为:支付卡用户每支出100美元,就有10.83美元的损失。而上一年度的该数字则为每100美元损失11.12美元。安全意识培训提供商--KnowBe4,针对美国国防部的宣传员Roger Grimes曾指出:让大多数支付卡服务商担心的不只是欺诈问题,合法交易的阻断同样
2022年04月08日
今年早些时候,苹果修复了iOS和macOS中的一个安全漏洞。该漏洞可允许攻击者未经授权访问用户的iCloud帐户。
2月,IT安全公司Computest的安全专家Thijs Alkemade发现了这个漏洞。其存在于Apple实施的TouchID(或FaceID)生物识别功能上。 该问题被披露后,Apple在服务器端更新中将其解决。
认证漏洞
一般来说,当用户登录需要Apple ID的网站时,会有界面提示使用Touch ID进行登陆身份验证。因为Touch ID已经利用了设备和生物特征信息
2022年04月08日
本周一在2020黑帽大会上,Checkmarx安全研究人员曝光了流行线下聚会应用Meetup的两个高风险漏洞,第一个漏洞使得攻击者可以轻松地接管任何Meetup群组,访问所有群组功能和资产,第二个漏洞则让攻击者可以重定向所有Meetup付款/金融交易到他们的PayPal账户(一些Meetup聚会活动是免费的,但有些则不是)。
Checkmarx安全研究人员在Meetup的Web应用程序中寻找API安全问题,除了上述两个破坏隐私的API漏洞,研究人员还发现了:
·已存储的XSS会影