Struts2方法调用远程代码执行漏洞分析
2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。从目前搜索的情况来看,国内开启这个功能的网站不在少数,所以这个“Possible Remote Code Execution”漏...
- 324阅读
- 148阅读
安恒:Struts2 s2-032远程代码执行分析
1. 介绍: Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的...
- 229阅读
经国家保密测评中心检测的“数据库”安全产品(20160420)
搜集了下国家保密测评中心的数据库安全产品,主要是数据库安全审计、数据库漏洞扫描产品。 更新日期:2016年4月20日证书编号产品类别产品名称通过时间厂家名称国保测2016C04587安全监控与审计博智安全御数据库审计系统ELEX-DAS/3....
- 77阅读
美国最大电信运营商客户信息被售卖,提供数据安全服务反被黑
美国最大的电信运营商Verizon公司,近日被曝出150万条客户数据泄露,卖方在著名黑产交易平台 “暗网论坛”上公开售卖,提供整包出售或每10万条记录1万美元两种成交方式,不仅如此,连Verizon网站的安全漏洞信息也出现在售卖清单上,卖家还真是到位…… 讽刺的是,小编前段时间刚浏览过Verizo...
- 68阅读
时区问题引发的Bug探讨
不要小看任何Bug,很多Bug的出现有可能引发安全漏洞。当然大部分的Bug影响功能性,并不涉及安全性,也就不构成漏洞;大部分的漏洞来源于Bug,但并不是全部,它们之间只是有一个很大的交集。 最近处理反馈时,发现一个有趣的bug,即时区不一致导致数据错误。 bug是这样的: 产品的接口流量报表中,查...
- 66阅读
BadLock漏洞技术跟踪与风险防护
绿盟科技持续关注国内安全走势,早在3月份的时候第一时间发布了BadLock威胁预警通告。4月12日,微软补丁日如期而至。在这次微软发布的补丁中,包含了BadLock漏洞,该漏洞可对windows系统和Samba服务一律全版本通杀,危害程度不可小觑。对此,绿盟科技针对BadLock漏洞进行了技术跟踪分...
- 95阅读
Petya Ransomware 具备技术挑战与想象力的勒索软件
网络犯罪分子一般使用的较为复杂的方法来安装勒索软件就像Cryptolocker,Locky和teslacrypt等等。但是在某些情况下,安装无需用户点击,是悄无声息的发生,比如Petya Ransomware。 基本概念 什么是勒索软件? 勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱...
- 60阅读
TFTP反射攻击分析报告
据有关媒体报道,有几位外国安全研究专家发现了一种能够进行DDoS放大攻击的新方法,可以利用TFTP协议来进行放大攻击。如果配置不当的TFTP服务器可以被轻易利用执行反射型DDoS攻击。本文对TFTP反射攻击进行了技术性分析并提出相应的防御方法,供有兴趣的小伙伴一起讨论学习。 偶尔逛了下twitte...
- 60阅读
绿盟君带你走进加强安全意识小漫画(二)
近期,一种名为“Locky”新型病毒佯装成电子邮件附件的形式,肆意传播。一旦用户点击携带病毒的附件,计算机上所有的数据都会被恶意加密。用户要想重新解开数据的密码,就必须向勒索者缴纳一定数量的赎金。 据中国警察网获悉,2016年3月24日,铜陵市公安局网安支队接到该市某企业员工报案,称:其电脑内的文档...
- 99阅读
Locky病毒分析及防护
2016年3月,绿盟科技安全团队捕获Locky病毒样本,经过分析,此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒,会自动加密电脑文件。除支付赎金外,目前尚无解密办法。绿盟科技安全专家对该事件相关信息及核心样本进行了分析及验证,并给出应对方案。 Locky病毒危害巨大 操作系统中如果中了勒索病...
- 57阅读
2015全年DDoS威胁报告
日前,绿盟科技联合中国电信云堤发布《2015全年DDoS威胁报告》,报告总结及分析了2015全年DDoS攻击发展态势,并就DDoS防护生态环境给出了相关建议,其中DDoS防护策略、方案及技术手段,可以帮助各组织及机构持续改善自己的DDoS防护技术及体系。 2015年国内共发生DDos攻击179,2...
- 73阅读
安全狗CEO陈奋:以威胁分析驱动的云安全
历经数月,在安全狗产品和研发团队持续不断的努力下,安全狗·服云平台V4.0版本终于迎来了正式发布,目前已经上线运行了一周。新版本在全新的“软件定义防御 数据驱动安全”的产品理念驱动下,进行了多维度的重新构建。在这一周时间里,我们找了不少老用户试用了新版本,得到了很多反馈;很多小伙伴也要求我全面的介...
- 209阅读
安华金和数据库加密系统
产品概述 安华金和数据库加密系统(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。 安华金和数据库加密系统能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限...
- 204阅读
做一名Web渗透测试人员必备的8种素质和技能
无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序、Web服务、Web服务器的安全性。那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考:1. Web渗透测试人员拥有一定的开发背景...
- 163阅读
某邮箱过亿数据泄露,别让你的邮箱“出卖”了你
近日,有网友爆料自己的邮箱再次中招,更有网络疯传,某邮箱服务商旗下邮箱的数亿条数据信息被泄露,由此引发的“邮箱数据泄露事件”再次升温,此事件又成为网络关注的热点话题之一。 “邮箱数据泄露事件”曝光到现在半年过去了,然而直到现在,数据泄露事件仍然在议论纷纷。当时一位名叫路人甲的网友在乌云(WooYun...
- 77阅读
1万=100万?这不是一个传说
某今年26岁,2004年应聘到国内某著名体育用品A公司担任设计助理。2005年4月林某将公司运动鞋款式的一些设计图纸以5000元得价格卖给X鞋厂。 去年9月13日,同办公室的小张电脑坏了,借用他的电脑开邮箱查看设计图纸,林某便有了窃取图纸并倒卖的想法。两天后的一个下午,林某发现小张的电脑没有锁机,就...
- 46阅读
小长假期间,你的信息丢失了多少?
刚刚过去的清明小长假,公众出游热情无比高涨。近些年国内游、出境游的人数年年成倍增长,铁路运输密度赶超春运,微信朋友圈打开简直就是一本活生生的旅游指南! 虽然大家都在放假,但小编并没有间断安全资讯整理工作。这一天,小编如往常一样打开漏洞平台搜索信息,这时一个知名旅游网站的漏洞信息赫然出现。瞬间脑补...
- 57阅读
土耳其重大数据泄露事件 数据库安全受关注
4月3日,土耳其爆发重大数据泄露事件,近5000W土耳其公民个人信息牵涉其中,包括姓名、身份证号、父母名字、住址等等一连串敏感信息被黑客打包放在芬兰某IP地址下,人们可通过P2P任意下载他们感兴趣的数据。同时为了证明这些被盗取数据的真实性,黑客特地公布了土耳其现任总统埃尔多安的个人信息以作示范,并且...
- 60阅读
这样做,让你的渗透测试更有效
进行渗透测试首先需要确认渗透测试项目的起始状态。定义起始状态的最常见的方法是确定选择黑盒测试或白盒测试或灰盒测试。测试类型的选择 黑盒测试存在不少问题。由于被测系统的原因,也由于测试者对环境的熟悉程度不同,要估算侦察阶段能持续多长时间是很困难的,而且侦察阶段的长短涉及到费用问题。但是,如果测试时...
- 73阅读
6年前力拓案追溯,今朝商业机密安全保护思路
安华金和 宣淦淼 六年前的今天,牵涉中澳两国钢铁产业的“力拓案”一审判决公布, 四名力拓公司高管及员工胡士泰、王勇、葛民强、刘才魁等因犯非国家工作人员受贿罪、侵犯商业秘密罪,分别判处有期徒刑十四年到七年不等。至此,这起轰动全球的商业间谍案就此告一段落。然而四名犯罪分子的落网却并不能为中国经济利益及国...
