分类： 安全

01漏洞起源 Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞，低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过 Kerberos KDC(Key Distribution Center)的验证，攻击成功使得攻击者可以提升权限，获取域管理权限。 02漏洞描述 ...

我们在渗透测试的时候，经常需要去配置一些环境，下载一些特别不容易的各种支持库。尤其是伟大的防火墙各种拦截的情况下，我们做相关的工作会花费大量的时间跟精力。那么这个时候有没有一种简单的方式来解决这个问题呢？这篇文章将会给大家介绍能实现安全人员最梦寐以求的一次性地创建或配置，可以在任意环境、任意时间让应用正常地运行的容器——Docker Docker is a set of platform as a...

01SSRF概念 服务端请求伪造(Server-Side Request Forgery),指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 02SSRF的原理 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL，web应用便可以获取图片，下载文件，读取文件内容等。SS...

11月8日，国内权威的第三方安全机构安全牛在北京新世纪日航饭店正式发布了《数据脱敏应用指南报告》。 该报告通过对 20 多个脱敏案例的分析，并结合各大数据提供商的业务需求，给出对脱敏产品的概览、关键技术、案例分析以及未来趋势等综合性客户指南。 闪捷信息作为本次报告中重点分析的产品解决方案提供商受邀参加了本次发布会，并于现场分享了关于大数据环境下的“隐形隐私”保护的解决方案和实践经验。 闪捷信息专家...

今年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布，并将于今年12月1日正式实施。实行等保是《网络安全法》明文规定的企业义务，如果拒不履行将会受到相应的行政处罚，甚至有可能因“拒不履行信息网络安全管理义务罪”遭受刑事处罚。 在即将到来的等保2.0时代，如何解读相关标准文件？又有哪些重点内容需要注意？11月5日，...

据国外媒体报道，最新研究发现，通过将激光调至精确频率并对准智能语音设备，其可以像用户声音一样激活语音助理并进行交互，从而解锁汽车、打开车库门等等。这种方法的作用距离甚至可以达到一百多米。 以下是翻译内容： 去年春天，网络安全研究员菅原健走进了密歇根大学教授付凯文(Kevin Fu)的实验室。他想炫耀一下自己发现的奇怪戏法。在一个黑色金属盒子中，菅原健将一束高能激光对准了iPad的麦克风，并让付凯文...

近年来，DDoS攻击一直是一个老生常谈的话题，在多年的发展中逐渐形成了次数多、强度高、手法新、来源广等特点，DDoS的投入成本低，但是却有着极强的针对性，能够在极短的时间内造成大面积的网络瘫痪、服务器终止服务、企业业务中断，如果不能及时进行处理，将会造成巨大的损失。 有调查发现60%以上被DDoS的企业可能面临高达每小时10万元以上的损失风险，当DDoS攻击检测和缓解方案延迟生效时，潜在的损失会迅...

11月5日，由北京金融科技产业联盟、移动支付网联合主办的中国移动金融安全大会在深圳市大中华希尔顿酒店隆重召开，大会以“安全合规，‘面’向未来”为主题，近500名来自监管层、银行、支付机构等金融行业相关领域负责人，携手金融行业安全解决方案商齐聚一堂，共话金融信息安全，共谋金融科技的安全发展。能信安技术（www.nesun-tec.cn）作为移动互联安全领域解决方案提供商，受邀出席大会并做精彩主题演讲...

经常听到有人在讲“薅（hāo）羊毛”，“薅羊毛”难道也是一种犯罪? 近日，北京市海淀区人民检察院办理了一起因“薅羊毛”获罪的案件。 海淀区人民检察院以被告人黄小天（化名）涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉，经过法庭审判，被告人黄小天当庭认罪，被判处有期徒刑三年六个月。 01 先给大家普及一下“羊毛党” 羊毛党，网络流行词，出自1999年央视春晚小品《昨天・今天・明天》。 是指...

2019年10月20日，历时43天的Byte CTF在字节跳动中国卫星通信大厦办公区落下帷幕，圆满收官。本次大赛共吸引了4000余人次报名，722支高校队伍同场竞技，巅峰对决。   「字节跳动CTF震撼开战，七百支战队齐聚角逐」 字节跳动举办CTF大赛，旨在提升安全新生力量的技术，并为年轻的极客们提供实战、交流、成长平台，培育能够适应激励多变的网络战的全面型安全人才。 大赛围绕着二进制程序漏洞挖掘...

随着数据资产价值的提升，各个组织对于数据资产的安全防护也从合规驱动转变为价值驱动，但是在这一转变过程中往往数据安全防护工作目标很明确，却缺乏体系化、标准化的方法和工具让数据防护工作有的放矢。为解决这一问题，安华金和在2016年就提出了数据安全治理理念，这一理念围绕“让数据使用更安全”的愿景，覆盖了安全防护、敏感信息管理、合规三大目标。

某金融独角兽公司被突击清查，当日港股暴跌40% 今天中午，一家在香港上市的金融独角兽公司被曝出遭警方突击清查，现场警车云集，据称有多名员工被带走。 上述消息在午间发酵，当天下午港股开盘后，该公司股价随之闪崩，一度暴跌超40%，股价最低去到1.58港元/股，为上市新低。随后跌幅略有收窄，至下午1时50分，该公司宣布股票暂时停牌，停牌前报1.77港元，跌34.32%。 该公司或涉嫌违规收集用户信息 据...

★月度汇报★ 容灾切换演练是容灾建设的重要一环，有效的切换演练，能梳理信息系统可能会遇到的各种灾难和盲点，捋清、熟悉容灾切换的流程，也能验证容灾系统的可用性，最大程度上保证在灾难发生时容灾系统的高可用，真正加强容灾和应急处理能力。 尤其对于政府部门而言，其业务与整个社会的稳定运行密切相关,许多数据都属于关键业务信息,对业务连续性的要求非常高。对此，定期的容灾切换演练，作为验证系统高可用和练兵的重要...

数据已渗透到每一个行业和业务职能领域，成为关键的生产要素之一。但是目前来看，绝大多数企业由于缺少对多样化数据进行敏捷持续捕捉和整合的能力，导致大量数据沉积，并逐步演变成不可被直接认知的暗数据。 Gartner 将暗数据定义为“组织在常规业务活动中收集、处理和存储，但通常无法用于其他用途的信息资产。 换句话说，暗数据就是那些需要资金来存储、保护和管理，但又没有得到高效的利用，不能提升商业价值的数据。...

不同的客户，有不同的需求；需求难度越高，解决后的价值越大；这，就是攻坚的意义！