2022年04月08日
变量覆盖常常被恶意攻击者用来跳过正常的业务逻辑,越过权限限制,恶意攻击系统,严重时将造成系统瘫痪。
1、全局变量覆盖
当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而直接使用,这会造成全局变量覆盖。
如果通过$GLOBALS从浏览器动态获取变量,也会发生变量覆盖的情况。为了方便理解,引用全局变量配置的例子进行介绍。
<formname="login"action="LoginUrl"method="
2022年04月08日
近日,来自荷兰和德国大学的研究人员比较了四个开源威胁情报源和两个商业威胁情报源(厂商名字被隐去)的威胁指标,发现此类服务之间几乎没有重叠的数据。在商业威胁情报方面,较大的供应商B拥有13%的供应商A的指标数据,而供应商A的提供的情报仅包含1.3%的供应商B的指标。
德尔福特理工大学博士候选人,论文的主要作者Xander Bouwman指出:“如果两个威胁情报供应商描述的威胁相同,那么对于用户来说,他们提供的数据也应该是相同的。”“但我们发现情况并非如此。&
2022年04月08日
近日,国家互联网应急中心公布了《2019年中国互联网网络安全报告》。其中,2019年全年捕获计算机恶意程序样本数量超过6200万个,日均传播次数达824万余次,涉及计算机恶意程序家族66万余个。
据悉,按照传播来源统计,位于境外的主要来自美国、俄罗斯和加拿大等国家和地区。其中,美国占53.5%。而按照目标IP地址统计,我国境内受计算机恶意程序攻击的IP地址约6762万个,约占我国IP地址总数的18.3%,主要集中在山东省、江苏省、浙江省等地区,分别占8.8%、8.4%、8.1%。
与此同时,
2022年04月08日
2020年8月12日,F5在亚太地区发布了一项最新的研究报告,即《2020应用便捷与安全曲线报告:隐私与便利间的悖论》(以下简称“报告”)。结果显示,亚太地区的用户在使用应用时更注重体验,因此常会忽略安全风险;七成以上的用户会在应用程序上共享或存储个人数据,以此获得个性化的服务与更好体验。
这份研究作为2018调查的后续行动,在2020年3月25日至4月13日期间进行,来自中国、澳大利亚、日本、印度、印度尼西亚、新加坡、中国香港和台湾地区等八个市场的4,100多名受访者接
2022年04月08日
近日,全球首场网络安全万人云峰会——第八届互联网安全大会ISC 2020 正在云端如火如荼开播中。多国顶级安全智囊、专家就数字孪生时代下的新安全主题展开激烈的思想碰撞和技术交流,用一场场巅峰对话碰撞出产业智慧,为行业发展凝聚新动能。
8月13日,网络空间测绘技术论坛正式登陆ISC 2020技术日,来自知道创宇404实验室总监隋刚、华顺信安联合创始人首席安全官邓焕、数字观星产品负责人阮健、360企业安全集团网络空间测绘负责人韩昊晟这四位网络空间测绘领域的安全技术专家分别围
2022年04月08日
“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。
在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。
北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池(Pool 1)冻结,同时宣布将重新部署其一号池。
官方发布推特称,有黑客试图将“Pool1
2022年04月08日
2020年Cloudflare比以往任何时候都更加依赖在线服务。在家办公的员工,不同年龄和年级的学生都在网上上课,不过,网络安全的重要性也慢慢地凸显出来了。因此,不足为奇的是,在2020年第一季度(2020年1月1日至2020年3月31日),攻击次数肯定有所增加。
在2020年第二季度(2020年4月1日至2020年6月30日),这种DDoS攻击增加的趋势一直持续甚至在增加:
与今年前三个月相比,观察到的L3 / 4 DDoS攻击次数翻了一番;
大规模的L3 / 4 DDoS攻
2022年04月08日
今年以来,我国强调以科技产业为突破口,加快推动5G网络、数据中心、工业互联网等新型基础设施建设。在日前开幕的第八届互联网安全大会上,如何筑牢新基建时代的网络安全防线,成为与会专家热议的话题。业内人士认为,网络安全行业需要考虑建立新的网络安全体系框架。
2020年,伴随一系列新基建政策的落地,各行各业都加快了数字化转型的步伐。在日前开幕的第八届互联网安全大会(ISC 2020)上,360公司董事长兼CEO周鸿祎表示,新基建的本质是数字化基建,其重要应用场景是数字城市和工业互联网,前者不断提高城
2022年04月08日
企业如何搞好安全体系化建设?
做为老板,业务,安全从业人员在这个问题的答案会是这样吗?
做为老板,积极关注安全事务,并提供相应的资源,包括钱,权,时间,关注安全人员成长,并给予极大的信任及期望;
做为业务人员,积极响应并紧密配合,将安全也加进KPI,把安全部门反馈来的问题都及时的处理,并和安全部门建立很好的战略合作关系;
而做为安全人员,利用安全运营平台及技术,识别及处理安全事件,能够为公司业务持续运营提供了保驾护航的安全能力输出,让老板能多多挣钱,自已也走上升职加薪的成功之路。
可事实上呢?
2022年04月08日
近日,美国国务卿蓬佩奥借访欧契机,大肆“推销”所谓“清洁网络”计划,意图拉拢其他国家打造“清洁国家联盟”,矛头直指中国。
何为“清洁网络”计划?按照美国方面的说法,即在运营商、应用程序、应用程序商店、云存储、网络电缆等5个方面进行所谓“清洁”,把中国企业从这些领域完全清除出去,以此保护美国电信运营网络和基础设施。
自8月初重提“清洁网络”计划以来,美国