启明星辰FlowEye分析之WebService应用漏洞
WebService是一种Web应用程序分支,其可以执行从简单的请求到复杂商务处理的任何功能。一旦部署以后,其他WebService应用程序可以发现并调用它部署的服务。WebService技术,能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。因此,众...
- 69阅读
- 94阅读
关于支付软件密码设置,你必须知道得几个原则
首先你必须要有一个支付软件。 神马,没有支付软件,那你可以关闭网页了,你我不是同类。 有支付软件的可以继续读下去。 网络支付发展到今天,极大得方便了我们的生活,足不出户就可以购物、缴费、转账、充值等,但是如果密码没有设置好或者泄漏,也会有带来不少麻烦。 今天小编就整理了几条在网络行走,尤其是拥有支...
- 87阅读
处理旧手机,99%的人都不知道的几招
互联网技术日新月异,手机产品也不停更新迭代,相信很多小伙伴都和小编一样,肾3,肾4,肾5,肾6,马上又要肾7了,更新换代的旧手机怎么办?绝大部分的同学删掉了照片、支付软件、银行app等,就认为万事大吉了。 Too simple,some times naïve ! 纳尼,删掉还不够吗,不然要怎样?...
- 455阅读
整合NGFW和威胁分析后,防火墙这是要上天?
有些技术流行语并不会消失,例如下一代防火墙就已经存在了至少十年,它给我们带来了很多革命性的的功能,包括状态数据包过滤、用户身份识别控件、入侵检测/防御和应用可视性/控制等。整合所有这些功能到一个产品很重要,但其中应用控制是非常重要的进步,因为这让这类型的防火墙首次可以检测和阻止通过企业网络的we...
- 86阅读
跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险
跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估。在“开放式Web应用程序安全项目”(OWASP)的榜单中,CSRF(又称XSRF)就位于前10的位置。简而言之,就是恶意软件强制浏览器在用户已认证的上下文...
- 60阅读
邮件安全不容忽视,2016加强邮件防护势在必行
世界上第一封电子邮件由美国的雷·汤姆林森发出,同时还发明了将“@”符号用于电子邮件地址,从此电子邮件改变了许多企业的工作方式,也改变了成千上万的人购物和从事金融活动的方式,还成为了远隔千里的家人之间经常保持联系的途径之一,被称为“毫不逊色于电话的发明”。回首中国,1998年3月,第一个由中国人自...
- 76阅读
315晚会曝光通信安全隐患 阿里云将推HTTPS加密服务
近日央视315晚会再次将公共WIFI当中的风险暴露在所有人面前,这让很多人感到非常不安。而解决这一威胁的终将是更安全的技术。 阿里云今天宣布,将在4月份对外推出HTTPS加密解决方案,帮助每一个企业,在用户访问APP及网站时加强安全链接,保障中间传输的信息不会被他人劫取,提高服务的安全性,防止用户...
- 81阅读
从云安全角度看RSA 2016美国大会
今年RSA 2016美国的主题是“Connect to Protect” ,这是一个内涵过于丰富以至于有些隐晦的话题。RSA总裁Amit Yoran在他名为“The Sleeper Awakes”的Keynotes演讲里也没有把这个主题讲清楚——取而代之的却是大谈“Change”。这让笔者惊诧于...
- 102阅读
大话数据库SQL注入的N种姿势
作者:安华金和 思成 一. 背景 数据库凭借其强大的数据存储能力和卓越的数据处理性能,在各行各业的信息化建设中发挥着关键的作用。随着数据库在各行业的大规模应用,数据泄露事件也频繁发生,这就使数据库安全问题也日益凸显,逐渐变成用户越来越担心的问题。虽然数据库厂商已经做了许多有效的措施来尽量解决数据库存...
- 204阅读
APT攻击频发—安恒信息再次检测到APT攻击样本
前言 乌克兰电力系统受到APT攻击事件,给国内外企业和用户都敲响了警钟,与此同时,安恒信息在国内也监控到了多次APT攻击。近期,安恒信息APT威胁分析设备在某用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript(EPS) filter模块(32bit下模块为EP...
- 317阅读
安恒明鉴®网站安全监测平台
产品概述 明鉴®网站安全监测平台全面覆盖网站代码安全检测、网页内容安全监测、网站服务质量监测,为网站提供全方位、全天候的安全监测服务;借助安恒信息多年安全的安全服务经验,融入安全事件管理的先进理念,有效缓解了发现问题不及时、响应事件不迅速、批量通告问题时投入大、效果差的难题。 功能价值 明鉴网站安全...
- 69阅读
郝轶:国内信息安全产品的发展趋势
作者:郝轶,百度云安全资深安全专家。也是游侠此前在安恒的同事,这篇文章是支持“游侠安全网”的原创稿件,感谢郝轶同学对游侠安全网的支持!信息安全产品,是指作为信息安全控制措施的一类工具。在中国国内有近30年的历史。在国内的以往信息安全建设工作中起到了很多作用,但也存在着一些痛点。以下痛点本人深有体...
- 122阅读
绿盟君带你看RSA2016创新沙盒
RSA大会的“创新沙盒”评选活动,可以算的上安全界的“奥斯卡”,每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标。 往届创新沙盒中曾拔得头筹的厂商包括Sourcefire (2005)、Imperva (2006)、Appthority...
- 61阅读
你需要知道的十佳安全Linux发行版
从游戏到教育,Linux发行版可以用于很多领域。但是在安全领域,它的应用要多得多。 你会发现,安全Linux发行版不仅能保护您的隐私,确保你在运行网络时没有留下任何痕迹,而且还能帮助你测试网络和系统安全。 以下是专为注重隐私和拥有安全意识的人而设计的十个最佳Linux发行版。 1 Backbox...
- 58阅读
医疗数据“危机四伏”!
根据《2015年身份盗窃研究中心(ITRC)数据泄露报告》,2015年共有781起数据泄露事件,有1.69亿条记录受到影响。身份盗窃研究中心(ITRC)将数据泄露定义为个人姓名、社保号码、驾照号码、医疗记录或金融记录(包括信用卡和借记卡)因暴露而存在潜在风险的事故。《身份盗窃研究中心(ITRC)的数...
- 154阅读
详解混合云数据安全传输两大解决方案
引言 Gartner称,云计算的使用正在不断增加,到2016年这一增长将占据大量新增IT开支。2016年将是云计算决定性的一年,私有云开始让路给混合云,近半数的大型企业将在2017年年底部署混合云。 但在此过程中,从公共云到私有云之间的数据安全传输问题也成为各方关注的焦点。 本文详细解读了阿里云是如...
- 116阅读
入侵系统新途径:通过VPN进入
VPN的使用越来越广泛了,有些人用它来绕过审查制度,有些人使用它来翻墙访问国家禁止的网站,还有一些人用它来作为隐私保护层。 我们在工作中使用VPN通常有两个原因:访问漏洞利用工具包或匿名测试音频和终端安全产品。大多数漏洞利用工具包都是通过过滤受害者的IP地址进行攻击。而且曾经音频和终端安全产品在实验...
- 93阅读
12行代码的浏览器DoS攻击分析及防御
ajax与pjax AJAX(阿贾克斯),这里说的可不是阿贾克斯俱乐部哦!AJAXAJAX(阿贾克斯)即“Asynchronous Javascript And XML”(异步JavaScript和XML),是一种用于创建快速动态网页的技术。通过在后台与服务器进行少量数据交换,AJAX可以使...
- 49阅读
文字的力量?黑客用Word干掉你的电脑
如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把“.doc”文件和黑客手中的杀人利器联系起来。然而,事实正好相反。上世纪90年代,就有“宏病毒”出现,病毒制造者利用word的特性,在文档中内嵌破坏性的程序。不过,由于技术的限制,当年“宏病毒”并不能造成毁灭性的影响。 20多年过去了...
- 387阅读
Checkmarx源代码静态扫描系统
Checkmarx源代码静态扫描系统Checkmarx CxEnterprise产品说明 随着公司测试中心业务的不断发展,对源代码安全审计的需求越来越迫切。目前对源代码的安全审计主要靠工具实现。经过对市场上常见的几种静态源代码安全扫描工具的对比和分析,确定以色列Checkmarx公司的一款静态源...
