DBMS_SQL是如何获取DBA权限的
作者:安华金和 思成 数据库攻击的目的最终是为要获取数据库中有价值的数据,而获取数据最有效的方法就是直接获取DBA权限。本文通过Oracle数据库中的一个经典漏洞,演示从普通用户提权到DBA权限的过程,DBSec Labs数据库安全实验室给出针对性的防护建议。 Oracle漏洞分析 CTXSYS.d...
- 174阅读
- 56阅读
记者实测:iPhone指纹密码分分钟被解锁
指纹识别一直被视为安全、保护隐私的象征,不过频频遭到破解,也让我们对其实际效果再度审视。那么指纹密码究竟安不安全呢?武汉晚报记者进行了实际验证,结果让人担忧。他们首先在纸上挤出一块膏状医用硅橡胶,随后用解锁手机的左手拇指紧紧按压。暴露在空气中5分钟,硅橡胶便完全定型,整块硅橡胶上也留下了清晰的指纹印...
- 54阅读
2016·SSCTF热身赛暨通付盾安全极客挑战赛火热开启
研究不停,探索不止,为了同交流,共提高,让可能改变我们世界的新思维被激发和实现,2016·SSCTF热身赛暨通付盾第二届系列“滑动验证”挑战赛将于近日开战。在过去的较量中,还未有挑战者攻破整个安全认证登录体系,挑战失败,这次,让我们相约再战。 挑战赛本着公平、公开的原则,以开放的形式,拉近极客大咖...
- 539阅读
分析师观点:数据库安全市场现状与发展趋势
计世资讯 李磊 2015 年, 数据库安全市场保持了高速发展的态势, 用户需求显著增长,市场规模不断扩大, 越来越多的用户认识到数据库安全对于IT 系统的重要价值。下面我们将从市场总体状况、主要厂商竞争力分析、市场未来发展趋势三个方面回顾2015 年数据库安全市场的发展情况。 一. 2015年数据库...
- 210阅读
针对高密级单位的安全保密邮件
电子邮件是Internet众多应用创造的最辉煌的奇迹之一。人们使用电子邮件来传递消息,跟传统的信息传输模式相比,电子邮件具有很强的实效性。正是由于电子邮件应用的广泛性,随之而来的安全问题也日渐突出,而解决这些问题也越来越迫切。电子邮件系统是一个开放的系统,重要信息的无意泄露、人为的窃取等问题令人烦恼...
- 69阅读
启明星辰FlowEye分析之WebService应用漏洞
WebService是一种Web应用程序分支,其可以执行从简单的请求到复杂商务处理的任何功能。一旦部署以后,其他WebService应用程序可以发现并调用它部署的服务。WebService技术,能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。因此,众...
- 94阅读
关于支付软件密码设置,你必须知道得几个原则
首先你必须要有一个支付软件。 神马,没有支付软件,那你可以关闭网页了,你我不是同类。 有支付软件的可以继续读下去。 网络支付发展到今天,极大得方便了我们的生活,足不出户就可以购物、缴费、转账、充值等,但是如果密码没有设置好或者泄漏,也会有带来不少麻烦。 今天小编就整理了几条在网络行走,尤其是拥有支...
- 90阅读
处理旧手机,99%的人都不知道的几招
互联网技术日新月异,手机产品也不停更新迭代,相信很多小伙伴都和小编一样,肾3,肾4,肾5,肾6,马上又要肾7了,更新换代的旧手机怎么办?绝大部分的同学删掉了照片、支付软件、银行app等,就认为万事大吉了。 Too simple,some times naïve ! 纳尼,删掉还不够吗,不然要怎样?...
- 455阅读
整合NGFW和威胁分析后,防火墙这是要上天?
有些技术流行语并不会消失,例如下一代防火墙就已经存在了至少十年,它给我们带来了很多革命性的的功能,包括状态数据包过滤、用户身份识别控件、入侵检测/防御和应用可视性/控制等。整合所有这些功能到一个产品很重要,但其中应用控制是非常重要的进步,因为这让这类型的防火墙首次可以检测和阻止通过企业网络的we...
- 86阅读
跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险
跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估。在“开放式Web应用程序安全项目”(OWASP)的榜单中,CSRF(又称XSRF)就位于前10的位置。简而言之,就是恶意软件强制浏览器在用户已认证的上下文...
- 61阅读
邮件安全不容忽视,2016加强邮件防护势在必行
世界上第一封电子邮件由美国的雷·汤姆林森发出,同时还发明了将“@”符号用于电子邮件地址,从此电子邮件改变了许多企业的工作方式,也改变了成千上万的人购物和从事金融活动的方式,还成为了远隔千里的家人之间经常保持联系的途径之一,被称为“毫不逊色于电话的发明”。回首中国,1998年3月,第一个由中国人自...
- 76阅读
315晚会曝光通信安全隐患 阿里云将推HTTPS加密服务
近日央视315晚会再次将公共WIFI当中的风险暴露在所有人面前,这让很多人感到非常不安。而解决这一威胁的终将是更安全的技术。 阿里云今天宣布,将在4月份对外推出HTTPS加密解决方案,帮助每一个企业,在用户访问APP及网站时加强安全链接,保障中间传输的信息不会被他人劫取,提高服务的安全性,防止用户...
- 81阅读
从云安全角度看RSA 2016美国大会
今年RSA 2016美国的主题是“Connect to Protect” ,这是一个内涵过于丰富以至于有些隐晦的话题。RSA总裁Amit Yoran在他名为“The Sleeper Awakes”的Keynotes演讲里也没有把这个主题讲清楚——取而代之的却是大谈“Change”。这让笔者惊诧于...
- 102阅读
大话数据库SQL注入的N种姿势
作者:安华金和 思成 一. 背景 数据库凭借其强大的数据存储能力和卓越的数据处理性能,在各行各业的信息化建设中发挥着关键的作用。随着数据库在各行业的大规模应用,数据泄露事件也频繁发生,这就使数据库安全问题也日益凸显,逐渐变成用户越来越担心的问题。虽然数据库厂商已经做了许多有效的措施来尽量解决数据库存...
- 205阅读
APT攻击频发—安恒信息再次检测到APT攻击样本
前言 乌克兰电力系统受到APT攻击事件,给国内外企业和用户都敲响了警钟,与此同时,安恒信息在国内也监控到了多次APT攻击。近期,安恒信息APT威胁分析设备在某用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript(EPS) filter模块(32bit下模块为EP...
- 325阅读
安恒明鉴®网站安全监测平台
产品概述 明鉴®网站安全监测平台全面覆盖网站代码安全检测、网页内容安全监测、网站服务质量监测,为网站提供全方位、全天候的安全监测服务;借助安恒信息多年安全的安全服务经验,融入安全事件管理的先进理念,有效缓解了发现问题不及时、响应事件不迅速、批量通告问题时投入大、效果差的难题。 功能价值 明鉴网站安全...
- 69阅读
郝轶:国内信息安全产品的发展趋势
作者:郝轶,百度云安全资深安全专家。也是游侠此前在安恒的同事,这篇文章是支持“游侠安全网”的原创稿件,感谢郝轶同学对游侠安全网的支持!信息安全产品,是指作为信息安全控制措施的一类工具。在中国国内有近30年的历史。在国内的以往信息安全建设工作中起到了很多作用,但也存在着一些痛点。以下痛点本人深有体...
- 123阅读
绿盟君带你看RSA2016创新沙盒
RSA大会的“创新沙盒”评选活动,可以算的上安全界的“奥斯卡”,每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标。 往届创新沙盒中曾拔得头筹的厂商包括Sourcefire (2005)、Imperva (2006)、Appthority...
- 61阅读
你需要知道的十佳安全Linux发行版
从游戏到教育,Linux发行版可以用于很多领域。但是在安全领域,它的应用要多得多。 你会发现,安全Linux发行版不仅能保护您的隐私,确保你在运行网络时没有留下任何痕迹,而且还能帮助你测试网络和系统安全。 以下是专为注重隐私和拥有安全意识的人而设计的十个最佳Linux发行版。 1 Backbox...
- 59阅读
医疗数据“危机四伏”!
根据《2015年身份盗窃研究中心(ITRC)数据泄露报告》,2015年共有781起数据泄露事件,有1.69亿条记录受到影响。身份盗窃研究中心(ITRC)将数据泄露定义为个人姓名、社保号码、驾照号码、医疗记录或金融记录(包括信用卡和借记卡)因暴露而存在潜在风险的事故。《身份盗窃研究中心(ITRC)的数...
