信息安全
强化SSH服务安全的最佳实践
SSH(Secure Shell)作为一种广泛应用于Linux和其他类Unix系统中的强大工具,为管理员提供了安全的远程登录和命令执行功能。在现今高度互联的网络环境中,确保SSH服务的安全性显得尤为重要。本文将详细阐述一系列SSH服务的最佳实践,旨在帮助系统管理员有效地提升服务器及知行之桥服务安全级别,减少潜在的攻击面。 1.修改默认端口服务器默认情况下,SSH服务运行在TCP端口22上,黑客通常会通过扫描默认端口来寻找潜在的攻击目标…
为什么中国黑客技术在国际大赛上大幅退步?
有没有发现最近这些年网络黑客大赛几乎都没有中国人的消息了。 要知道在10年之前,世界上举办的黑客大赛白帽子大赛,中国俄罗斯和欧洲小国的黑客和安全白客团队玩家经常取得非常好的成绩,360团队还赢得两三次冠军,获得了丰厚的名誉和奖金。 [图片] 这些年中国黑客技术大退步了吗? 要说中国黑客技术大退步了,俄罗斯成绩也下滑得厉害,这些年黑客大赛上成绩很好的,都是欧洲小国,印度,中东国家以及其他第三世界国家的个人和组织。 …
密码科学基本简介
21世纪是科学技术频出的时代。其中,又以密码学尤为一门既古老又年轻的科学。 密码学最初用于军事保护及外交。密码技术的最早使用,更可以追溯到人类历史的几千年前。 直到1949年,美国数学家克劳伍德·香农(Claude Shannon)发表了论文《保密系统的通信理论》(Communication Theory of Secrecy System[1]),密码学才真正步入了科学的轨道。香农在这篇论文中,对他论文中所创立的信息论的概念和方法作了进一步发挥,并精辟地…
建议收藏!网络安全入门必备手册,涵盖90%核心技术点,自学必备
随着互联网、云计算等技术的发展,各行各业越来越依赖于数字技术,网络安全问题日益凸显,各国政府和企业对网络安全的投入也不断增加。 同时,新技术的不断涌现,如人工智能、区块链等,也为网络安全领域的发展带来了新的机遇。 网络安全行业发展前景广阔,具有长期的发展潜力,越来越多的人开始了解网安,并对其产生兴趣,开始了他们的自学之路。 今天给大家带来了一份 《Web安全学习笔记》,11个章节,一共327页,详细介绍了计…
通过信息安全服务资质认证证书好处是什么?
信息安全关乎每个人的利益,你是否了解信息安全服务资质认证证书?今天就来揭秘它的奥秘! 信息安全服务资质认证证书,听起来很高大上吧?其实,它就是国家对信息安全服务机构能力的一种认可,相当于给这些机构颁发了一个“身份证”。那么,办理这个证书有什么好处呢? 首先,它能提升信息安全服务机构的专业形象和市场竞争力。在这个信息爆炸的时代,谁的信息更安全,谁就更受欢迎。 [图片] 其次,这个证书还能帮助企业建立完善的信息…
Nacos 安全零信任实践
作者:柳遵飞 Nacos 作为配置中心经常存储一些敏感信息,但是由于误用导致安全风险,最常见的主要是以下两个问题: 1)Nacos 暴露公网可以吗?不可以,因为 Nacos 定位是注册配置中心,是内部系统,不应该暴露到公网使用。 2)不得已要开公网不开鉴权可以吗?不可以,开公网不开鉴权等同于裸奔,为黑客攻击创造充分条件。 看到赶紧自查一下是否有这两类问题,如果有立即解决一下!!! 解决完这些基础问题,可以看一下下面安全的…
浅谈云原生下的安全
[图片] 云原生(Cloud-Native)是近年来在云计算领域崭露头角的炙手可热的概念。随着云计算技术的不断发展和普及,云原生架构逐渐成为现代应用开发和部署的主流趋势。 小德将于大家探讨云原生的概念、优势以及安全性如何解决,这边跟大家讲解一下小德对于云原生的浅薄认知 云原生的定义和历史背景云原生是什么? 云原生是一种应用架构的理念,它强调将应用程序设计、开发、部署和管理与云计算环境密切结合。云原生不仅仅是简单地将应用…
PHP组件pearcmd利用(本地文件包含)
这周告警研判,发现一个pearcmd利用行为,ThinkPHP在其6.0.13以前版本,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用 lang参数来包含任意PHP文件。今天来学习一下,红队老六试图将 写入 /var/tmp/index1.php ,我猜后面老六必定跟一个GET请求index1.php,来验证是否漏洞利用成功 ?GET /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/
用密码学玩暗军棋 -- 闲聊多方计算
暗军棋我们先来回顾一下儿时玩的军棋游戏,然后探讨一下如何使用密码学来代替裁判。军棋游戏的目标是通过在棋盘上移动自己的部队攻占对方的军旗。 当两方的棋子碰撞时,采取如下规则 司令 > 军长 > 师长 > 旅长 > 团长 > 营长 > 连长 > 排长 > 工兵炸弹与任何非军旗棋子相遇时,双方都消失工兵 > 地雷地雷 > 除炸弹和工兵以外的任何子力任何棋子 > 对方的军旗 (游戏结束,一方胜利)。军棋有 明 与 暗 两种下法。在明军棋中,双…
关于实名制的那些事儿
用截图的形式重发了一下, 最开始因为疏忽没打码和不能发的都删了。 [图片] [图片] [图片] [图片] [图片] [图片] 子域名越挖越庞杂。。 简单的在搜索引擎里找了一下此公司曾经出过的漏洞 [图片] [图片] [图片] [图片] [图片] [图片] [图片] 。。。。。其他的我就不说了,也不继续往下挖了。 总之,关于实名制,希望此公司能做好网络安全方面的工作,毕竟经手了如此大量的公民个人信息,一旦出现安全问题后果是无法挽回的。 毕竟实名制最大的问题在于实名后能否保障公民的个人信息安全,而且是身份证等敏感信息。 另外希望能管…
刚听说这条消息的时候,我直接就是一个嗤之以鼻。一个系统只要能接受来自人类的指令,就一定存在相应的攻击向量。你可以不断拔高攻击的难度,但是“不可攻破”就是痴人说梦了,研究人员和记者两方必有一方是骗人的小狗。 于是我翻开相关论文,扫了一眼相关机构,嗯……密歇根大学、UT Austin、普林斯顿大学,还拿了美国国防高级研究计划局(DARPA)足足360万经费,好,肯定是记者的报道出了偏差,他是要负责任的。 批判完记者的…
分两种情况: 第一、如果是一般的黑客,拿到一台算力无限的主机,可能就会租出去当云计算,赚的钱几辈子都花不完了。 第二、如果是真的黑客大神,既有行侠仗义的风骨,又有报国安邦的情怀,还有驾驭超强计算力的能力,他可能会用这台计算机铸造一个钢铁长城。 没错,他会用这台计算机打造一个人工智能黑客。 虽然顶尖的黑客攻击还不能脱离人类的智慧,但人工智能在黑客领域已经展现出 Bug 级别的优势: 一个是快:黑客对抗就是战…
网安高级技能:社会工程学
文章来源:http://FreeBuf.com ,原作者AK4安全团队Bains,侵删 前言 社会工程学简单来说就是攻击者利用人性的弱点,骗取你的信任,从而获取信息的行为。比如众人熟知的杀猪盘,就是通过和你谈恋爱等一系列行为获取你的信任,猪养肥了也就是获取了足够的信任就会骗取你的钱财,这就是典型的社会工程学攻击。 在攻防演练中,也随处可见社会工程学,当红队大佬们从web资产方面无法获取权限的时候,就会考虑采用社会工程学攻击。比…
首先明确一点,普通人的电脑几乎不会被黑,因为没有入侵价值,主板bios没有开启特殊设置,NAT技术还会避免个人电脑受到来自外部网络的攻击,真正有价值又容易被黑客盯上的是服务器,在连网的情况下很容易被盗取数据。 这并不是说电脑不连网就绝对安全,只要不是物理上隔断网络,满足以下条件,有电,有网络,硬件齐全,有系统,有网卡驱动,都有被间接入侵的风险,但只要做好防护,被攻击的可能性微乎其微。 正常的计算机主板bio…
资本主义亡我之心不死!何止打印机你打开你能见到的打印机都有8—12mb的存储芯片。在大型复合机里更有20—200G的存储硬盘。你说一个打印机要存储干什么?只需要的你写出来就行了还存啥,这还用说吗?就好比一根笔你在上面装快橡皮合理但你装个打火机是要干啥?司马昭之心。还有不要忘了现在打印机技术都在美国日本等国家手里。我们自主创新的某款打印机被资本打压的几乎都要难以生产了。只要在知乎里搜索无数的说某某打印机使用…
再更一下,在甲方做安全两个前提一定要有,足够大的领导支持和自身的抗压能力。在内部我们安全部门是最不受待见的,在他们眼里,我们让他们强制装的安全软件是让他们电脑卡的罪魁祸首,我们每次下发的审计整改工作是阻碍他们业务连续的,如果一年没出事没人记得你这个部门,出事了自己想吧。 —————————分割线———————— 上周五,亲眼看着魔都某国有银行分支机构为了降本增效拆解了信息安全部门,安全部门人员分散…