天枢实验室:来吧,聊聊API安全
一、前言 近些年,API安全在安全领域越来越多的被业界和学术界提及和关注。OWASP在2019年将API安全列为未来最受关注的十大安全问题。事实上随着应用程序驱动的普及,API接口已经是Web应用、移动互联网以及SaaS服务等领域的重要组成部分,无论是我们在网上购物,或者是在银行交易,甚至在医院看病...
-
30阅读
-
7阅读
信果终端安全登录系统V3.0
随着网络信息化的高速推进及互联网的发展与普及,计算机在人们计算机在人们的生活中扮演着越来越重要。但计算机给我们生活带来便利的同时,也带来了一定程度的安全隐患。当今,Linux操作系统作为主流的操作系统,由于其自身用户身份认证体系的局限性,使得Linux系统在权限使用上,存在明显的安全风险,应采用相...
-
24阅读
微锐存储介质信息消除系统V1.0
计算机终端保密检查系统是江苏微锐在多年从事安全保密检查类软件研发的基础上,严格按照国家对计算机安全保密检查的技术要求,针对各级保密局和各级党政机关、科研院所、大中型企业、军工企业等,进行安全保密检查和防范工作的安全产品。 该系统从使用场景上分为单机版、网络版。单机版用于单机检查,网络版则基于机关、...
-
20阅读
蔷薇灵动蜂巢自适应微隔离安全平台
蔷薇灵动蜂巢自适应微隔离安全平台——基于仿生学的软件定义微隔离产品 蔷薇灵动蜂巢自适应微隔离安全平台是面向数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。 产品基于自主开发的一套自适...
-
51阅读
11款专家级渗透测试工具
渗透测试员,有时也称“道德黑客”,他们本质上是安全专家,负责对客户的网络或系统发起模拟攻击,以寻找潜在漏洞。他们的目标是展示恶意攻击者可能在何处,以及如何利用目标网络发起攻击,从而使其客户能够在真正的攻击发生之前缓解任何潜在漏洞。 在本文中,我们将深入研究渗透测试员用来挫败客户防御系统的工具。正如...
-
25阅读
俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
近日,瑞星安全研究院捕获到了一个在某俄语黑客论坛上推广的新型勒索软件——BlackCat,该恶意软件开发者运用了勒索软件即服务(RaaS)模式,通过招募犯罪分子来实施勒索行为。BlackCat允许自定义文件扩展名、赎金说明、加密模式、隐藏文件夹/文件/扩展,以及自动终止服务和进程,因此受到犯罪分子的...
-
29阅读
滴!你有一份来自明鉴迷网系统的Log4j2漏洞“大礼包”,请查收!
近日,Apache Log4j2远程代码执行漏洞的发现,使Apache Log4j2一跃成为安全界“顶流”。那么这位“顶流”是何许人也? Apache Log4j2是一个基于Java的开源日志记录工具,大量使用于各企业的业务系统开发中,拥有极其广泛的影响。 Apache Log4j2漏洞其利用方式极...
-
21阅读
CNNVD 关于Apache Log4j代码问题漏洞的预警
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Log4j代码问题漏洞(CNNVD-202112-779)情况的报送。成功利用漏洞的攻击者能够在目标服务器上远程执行恶意代码。Apache Log4j 2.0-2.15.0-rc1版本受此漏洞影响。目前,Apache官方已发布新版本修复了漏...
-
21阅读
CNVD:Apache Log4j2远程代码执行漏洞排查及修复手册
安全公告编号:CNTA-2021-0034 近期,Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可在未授权的情况下远程执行代码,获得服务器控制权限。经中心综合技术分析研判,该漏洞具有危害程度高、利用难度低、影响范围大的特点。为正...
-
15阅读
锐捷RG-UAC统一上网行为管理审计系统信息泄露漏洞(CNVD-2021-14536)
锐捷RG-UAC统一上网行为管理审计系统信息泄露漏洞(CNVD-2021-14536) 访问并打开是如下界面 /get_dkey.php?user=admin md5解密密码后成功登陆 作者:yyyyzzzllll 稿源:https://blog.csdn.net/yzl_007/artic...
-
15阅读
腾讯云容器安全已支持检测Apache Log4j2漏洞
腾讯云容器安全服务团队通过犀引擎发现较多镜像受ApacheLog4j2远程代码执行漏洞影响,存在较高风险!为助力全网客户快速修复漏洞,免费向用户提供试用,登录控制台(https://console.cloud.tencent.com/tcss)即可快速体验。 1、漏洞描述 腾讯云容器安全服务团队注意...
-
39阅读
免费!Log4j2漏洞资产排查工具公开下载
TAG: Log4j2 远程代码执行漏洞 TLP: 白 (公开) 日期: 2021-12-10 01、漏洞排查工具 近日, Apache Log4j2 的远程代码执行漏洞细节被公开,经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重,我们建议企业第一时间启动应急响应进行修复。为帮助广大企业更好...
-
8阅读
IAST技术进阶系列(三):高并发、高可用场景支持
DevOps敏捷开发模式已被业界普遍认可并被广泛应用,同时伴随云原生技术的兴起,青睐采用容器编排解决方案来构建和管理应用的企业不胜枚举。但是,应用程序安全测试依赖运行时探针,采用容器编排方案同时也意味着可能存在百万甚至千万个节点,而这个量级的节点无疑为IAST后台探针承载量带来了巨大挑战。因此,IA...
-
19阅读
被Gartner报告荣誉提及 安恒信息新一代智能WAF核心解析来了
在全球权威IT研究与顾问咨询公司Gartner发布的2021年《Web应用防火墙魔力象限》报告中,安恒信息被荣誉提及。 自2008年Web应用防火墙正式发布以来,安恒信息始终基于客户需求进行产品的打磨,不断迭代创新。安恒信息新一代智能Web应用防火墙实现五大引擎协同合作,为客户提供更加专业化...
-
261阅读
Apache Log4j2远程代码执行漏洞复现
漏洞原理 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 影响版本 Log4j2.x<=2.14.1 漏洞复现 漏洞分析的可以参考逐日实验室的这篇:https://mp.weixin.qq.com/s/l7iclJRegADs3oiEdcgA...
-
12阅读
软件供应链安全 | 如何防止供应商成为你的“供应伤”?
写在前面 上周,由中国网络安全产业联盟(CCIA)主办,默安科技承办的“新形势下的软件供应链安全探索与实践”线上技术沙龙成功举办,反响热烈。默安科技特此推出软件供应链安全方案专题,欢迎业内人士交流。 沙龙PPT获取方式 “默安科技”公众号对话框回复“供应链安全”获取下...
-
61阅读
网络攻防视角下的积极主动防御能力建设探索
前言 在信息化不断发展和深入的基础上,网络和各类应用系统在架构、应用方式等方面发生了重大变革,大量的新技术、新应用被引用,数据化、信息化成为必然的发展趋势。同时,网络架构基础设施、业务应用的提供方式的变革必然带来新的风险,而近几年随着国际形势日趋严峻,竞争已扩展至网络空间层面,境外国家和各类黑客组织...
-
41阅读
多样化研发体系下,安全开发落地的实践探讨
在各行业数字化进程的快速推进和网络安全攻防效果至上、合规趋严的态势下,软件开发面临的不仅仅是功能效能的提升,而是如何在不同开发模式下融合安全要求和能力,构建高效、安全的软件开发体系。 一、为什么要做开发安全体系? 参照 CNVD 统计数据,大量漏洞层发生在应用层。在近年...
-
84阅读
密评工具箱
密评工具箱概述 炼石自主研发密评工具箱产品,将密评确定性的检测内容进行工具化实现,辅助评测机构测评以及企业自测。炼石密评工具箱支持以旁路部署的方式接入目标环境中,通过采集样本数据、密文分析判定、密码算法还原等功能和方法,快速判定目标系统是否用了密码、用的密码是否是国密算法、用的国密是否安全有效,为密...
-
45阅读
为什么要做密评?
“密评”全称是:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。搞清什么是密评了,那么为什么要做密评呢?以下几点,供大家参考。 发现商用密码应用不足,解决问题 通过密评发现在网络和信息系统中商用密码应用中存在的问题...
