记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Apache Shiro身份认证绕过漏洞(CVE-2023-22602)通告

阅读: 6一、漏洞概述近日,绿盟科技CERT监测发现Apache官方修复了一个身份认证绕过漏洞。当在2.6+版本的Spring Boot中使用Apache Shiro,且Shiro与Spring Boot使用不同的路径匹配模式时,无需身份验证的攻击者可以用此漏洞构造特制的HTTP请求绕过身份验证访问后台功能,请相关用户采取措施进行防护。Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。使用Shiro的API,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的Web和企业应用程序。
发布时间:2023-01-31 13:46 | 阅读:1488 | 评论:0 | 标签:威胁通告 安全漏洞 漏洞防护 漏洞 CVE 认证 身份

Oracle全系产品2023年1月关键补丁更新通告

阅读: 5一、概述2023年1月19日,绿盟科技CERT监测发现Oracle官方发布了1月重要补丁更新公告CPU(Critical Patch Update),此次共修复了327个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle Fusion Middleware、Oracle MySQL、Oracle Java SE、Oracle Retail Applications、Oracle Database Server等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
发布时间:2023-01-31 13:46 | 阅读:1211 | 评论:0 | 标签:威胁通告

投入不低于7%!中证协发布网安三年提升计划

随着证券公司业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。2022上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。在此背景下,2023年1月,中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)(以下简称《三年提升计划》)。
发布时间:2023-01-31 13:23 | 阅读:2202 | 评论:0 | 标签:网安

继皇家邮政遭攻击后又一英国知名企业被黑,1000 万客户数据遭泄露

JD Sports 近日披露了一次涉及 1000 万客户数据的网络攻击,这些客户的个人和财务信息可能已被攻击者访问。JD Sports 是英国著名运动连锁服饰零售商。根据其 2022 年年度报告,JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店。该公司的商店主要位于英国,也在爱尔兰和欧盟其他地区。JD Sports 还在亚太地区、美国和加拿大经营门店。
发布时间:2023-01-31 13:23 | 阅读:2009 | 评论:0 | 标签:攻击 泄露 英国

Zendesk员工被黑致用户个人信息外泄

知名云计算客服软件企业Zendesk两周前通知客户,数名员工遭到钓鱼短信攻击被窃取资料,导致客户个人信息外泄。Zendesk提供集成邮件、留言板、即时通信的云计算客服平台。该公司似乎未公告安全外泄事件,而是私下以邮件通知客户。加密货币交易暨电子钱包平台商Coinigy于两周前(1/13)接获Zendesk的通知后,决定在本月19日向其客户公开此事。根据Coinigy发布的Zendesk客户通知信件,Zendesk 2022年10月25日遭到锁定该公司员工的高端短信钓鱼攻击,“少数”员工的账号访问凭证遭黑入一段时间,使其记录平台2022年9月25日到10月26日的非结构资料被非授权访问。
发布时间:2023-01-31 13:21 | 阅读:2067 | 评论:0 | 标签:无

ChatGPT或将在2023年改变信息安全

在OpenAI于2022年11月30日开放ChatGPT进行测试后,ChatGPT风靡全球。对于一个多年来基本上不令人满意的AI和机器学习“创新”而麻木不仁的行业来说,反应非常明显。纽约大学教授Brendan Dolan-Gavitt使用 ChatGPT 来利用缓冲区溢出漏洞。其他示例包括以闪电般的速度编写恶意软件以及制作令人信服、语法正确的网络钓鱼电子邮件。人工智能在网络安全领域的武器化并不新鲜,但 ChatGPT 最让我兴奋的是它有可能缩小信息安全的最大差距:在网络安全技能(即专业化)的广度和深度方面都缺乏足够的人才。
发布时间:2023-01-31 13:21 | 阅读:2032 | 评论:0 | 标签:安全

河北:启动雄安国际互联网数据专用通道建设

1 月30日消息,据河北省人民政府网站,河北省人民政府办公厅现已印发《加快建设数字河北行动方案(2023-2027 年)》(以下简称《行动方案》)。《行动方案》提出,优化互联网网络架构。启动雄安国际互联网数据专用通道建设,争取雄安新区建设国家互联网骨干直联点,探索建设新型互联网交换中心,完善多主体参与的立体化网间互联架构;建设连接长三角、粤港澳等区域主要城市直达链路,提升出冀通道承载能力和安全可靠性。《行动方案》指出,加快全国一体化算力网络京津冀国家枢纽节点建设。
发布时间:2023-01-31 13:21 | 阅读:2449 | 评论:0 | 标签:无

勒索攻击影响18万+伊利诺伊州人社会安全号码安全

对伊利诺伊州路德社会服务中心 (LSSI) 的攻击导致黑客访问医疗诊断和治疗信息、社会安全号码 (SSN)、个人姓名和其他高度敏感的数据。LSSI 透露,该组织于 2022 年 1 月 27 日遭到勒索软件攻击。该非营利组织自称是“全州最大的社会服务提供商之一”。该非营利组织表示,它进行了“广泛的法医调查”。令人担忧的是,LSSI 花了11个月的时间,直到2022年12月28日,才确定威胁行为者是否访问了高度敏感的用户数据池。“可能涉及的信息类型可能包括:个人姓名、出生日期、社会安全号码、金融账户信息、驾照号码、生物识别信息、医疗诊断和治疗信息以及健康保险信息,”数据泄露通知中写道。
发布时间:2023-01-31 13:21 | 阅读:2054 | 评论:0 | 标签:攻击 勒索 安全

记一次阿里云伏魔引擎-多功能场景绕过测试

前言本期的伏魔挑战赛新增多功能场景的玩法,主要包括四大场景:任意文件读取任意文件写入服务器任意信息窃取类后门网络代理类后门本文主要对任意文件读取和任意文件写入进行免杀。
发布时间:2023-01-31 13:21 | 阅读:2275 | 评论:0 | 标签: 阿里

火速报名!第二届湾区金融科技高校分论坛本周六开幕!金融科技产学研助力新时代

金融科技正在成为驱动金融变革的重要引擎,目前金融科技已逐渐渗透到消费金融、供应链金融、财富管理等各个领域,构建了诸多新兴金融生态,发展金融科技已成为全球各大金融中心城市竞相布局的“主战场”和战略“风口”。在金融科技发展的整个历程中,人才一直是金融科技行业高质量发展的基石。加强金融科技专业化人才队伍建设,是金融科技守正创新、高质量发展的重要抓手。党的二十大报告中强调,“必须坚持科技是第一生产力、人才是第一资源、创新是第一动力,深入实施科教兴国战略、人才强国战略、创新驱动发展战略,开辟发展新领域新赛道,不断塑造发展新动能新优势。
发布时间:2023-01-31 12:51 | 阅读:3255 | 评论:0 | 标签:金融 高校

Merlin - OpenAI ChatGPT powered assistant

#Misc 5 个 #浏览器 8 个 ChatGPT很火,但服务端对来自中国大陆的IP有限制,官面上不对大陆地区提供服务,即使科学上网,注册后有个短信验证过程,需要境外号码收短信。Chrome插件Merlin可以缓解该情况,无需注册ChatGPT账号,只要科学上网即可免注册、登录使用ChatGPT。CFC4N提供该信息,我试了,很好用,虽然我不存在注册登录的问题,但确实不太想登录使用。下面是在Merlin插件中使用ChatGPT的效果。注意,「科学上网」这种黑话被ChatGPT有效翻译了,作为对比,Google Translate未能对黑话进行有效翻译。
发布时间:2023-01-31 12:35 | 阅读:3876 | 评论:0 | 标签:AI

黑客攻击了军方热成像仪!军事工控基础设施网络安全引关注

研究人员发现,网络犯罪分子正在使用默认凭证访问与属于几支国防军的工业控制系统(ICS)有关的产品和软件。Cyble Research & Intelligence Labs(CRIL)的研究人员在暗网上发现了几篇帖子,其中包含网络犯罪分子使用的屏幕截图,声称他们可以访问军方和执法机构(LEA)使用的数据和系统。这类设备是国家服务的中流砥柱——网络犯罪分子很清楚这一事实。由于宣传对这些系统的攻击具有深远影响,这会激励他们利用ICS。ICS设备还有助于监管大量军事设备,特别是热成像(TI)摄像机,它们长期以来一直是边境监视的基本要素,并协助军事和执法机构(LEA)保护敏感设施。
发布时间:2023-01-31 12:08 | 阅读:5099 | 评论:0 | 标签:攻击 工控 黑客 军事 网络安全 安全 网络 黑客攻击

Google Play又被发现多款问题应用:累计下载超2000万次

一种新的活动跟踪应用程序最近在 Android 的官方应用程序商店 Google Play 上取得了巨大成功,目前已经有超过 2000 万台设备下载。这些应用程序将自己宣传为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃,达到目标提供随机奖励。不过,根据 Dr.Web 杀毒软件的一份报告中指出,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
发布时间:2023-01-31 12:08 | 阅读:5138 | 评论:0 | 标签:Google

狂揽 1 亿美元,被 FBI 渗透长达六个月,2022 年最暴利的组织凉了

2023年1月26日,美国司法部和欧洲刑警组织共同宣布,经过长达6个月的渗透,臭名昭著的Hive 勒索软件组织被FBI和国际刑警破获:该组织的IT基础设施已经完全被破坏,Tor支付和数据泄露站点被查封,警方获得两台服务器和一台虚拟专用服务器的访问权,并对在荷兰托管的两个备份专用服务器的访问权限…… 目前,Hive 勒索软件组织在暗网的泄露站点显示一条俄语和英语交替使用的信息:“作为针对Hive 勒索软件组织全球协调执法的一部分,这个隐藏的网站已经被联邦调查局查封。”这也意味着,FBI已经彻底控制了Hive的核心站点。
发布时间:2023-01-31 12:07 | 阅读:4904 | 评论:0 | 标签:国际动态 黑客事件 FBI Hive 渗透

开创历史!乌克兰运作将俄罗斯网攻行为定性为战争罪

乌克兰官员正在创造历史,甚至可能重塑网络战的未来。近期,他们正试图说服位于海牙的国际刑事法院(ICC),调查俄罗斯的网络攻击行为是否构成战争罪。 近年来,网络攻击正逐步成为现代战争中的组成部分,也在俄乌战争中被俄军多次用于攻击乌克兰关键基础设施。 不过,网络攻击并未被《日内瓦公约》明确定性为战争罪。法律专家和研究人员此前曾就俄网络攻击向国际刑事法院提出指控,此次乌克兰官员的推动则标志着主权政府首次向法院提出此类请求,并可能改变现行规则。
发布时间:2023-01-31 12:07 | 阅读:4768 | 评论:0 | 标签:国际动态 网络攻击 乌克兰 俄罗斯 战争

Google Play多款应用程序存在问题,用户累计下载超2000万次

一种新的活动跟踪应用程序最近在 Android 的官方应用程序商店 Google Play 上取得了巨大成功,目前已经有超过 2000 万台设备下载。 这些应用程序将自己宣传为健康、计步器和养成良好习惯的应用程序,承诺为用户在日常生活中保持活跃,达到目标提供随机奖励。不过,根据 Dr.Web 杀毒软件的一份报告中指出,奖励可能无法兑现,或者在强迫用户观看大量广告后只能部分兑现。
发布时间:2023-01-31 12:01 | 阅读:5819 | 评论:0 | 标签:Google

深入理解推荐系统:推荐系统中的“新颖性(Novelty)”

#深入理解推荐系统 24 个 #推荐系统 4 个 #算法 4 个 【推荐系统】专栏历史文章:深入理解YouTube推荐系统算法深入理解推荐系统:召回深入理解推荐系统:排序深入理解推荐系统:Fairness、Bias和Debias深入理解推荐系统:推荐系统中的attention机制深入理解推荐系统:特征交叉组合模型演化简史深入理解推荐系统:超长用户行为序列建模作为【推荐系统】系列文章第二十四讲,将以 “新颖性(Novelty)” 作为今天的主角。满足推荐的新颖性最简单的方法就是给用户推荐他们之前没有看过的物品,但是这不是一个简单的问题,需要从多个角度进行考虑,首先就是如何定义推荐的新颖性。
发布时间:2023-01-31 12:01 | 阅读:5364 | 评论:0 | 标签:无

密码学|5.4.3 一个针对离散对数问题的碰撞算法

#密码学 54 个 #公钥 5 个 #算法 5 个 碰撞算法在密码学中有许多应用,包括密钥、明文或密文的搜索恢复,或者是解决一个公钥密码系统基于的数学困难问题。在这一节中,我们将通过一个针对离散对数问题的具体算法来说明这一理论。
发布时间:2023-01-31 12:01 | 阅读:4775 | 评论:0 | 标签:密码

实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金

#api 1 个 #赏金猎人 21 个 #漏洞挖掘 69 个 #信息泄露 1 个 前言让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。设想这个问题还没有解决,所以我不能透露那个程序的名字。假设该程序为 https://redacted.com。Web 应用程序是关于基于团队的组织,那里也有 api 相关的东西。我试图找到 XSS、SQLi、idors,但没有任何效果。然后我转到 https://YourDomain.redacted.com 有一些组织类型功能,我可以在其中添加或删除其他用户。添加一些用户后,有一个组织数字 ID 引起了我的注意。
发布时间:2023-01-31 12:01 | 阅读:5121 | 评论:0 | 标签:漏洞 泄露 API

提效50%!奇安信发布椒图服务器防勒索专版

1月30日,奇安信集团举办“椒图服务器安全管理系统-防勒索专版”产品发布会,推出针对勒索攻击防护的服务器端安全产品。新产品针对勒索病毒的攻击链、行为特征提供多维度的防护方案,对勒索攻击的防护效果更好、针对性更强;并提供针对不同操作系统、业务环境的场景化配置模版,让产品能快速上线运行;同时,新版本还深度优化了系统资源配置,让管理中心对CPU/内存等资源的配置要求降低50%,支持的服务器数量增加50%,让产品的部署门槛大幅度降低。 随着企业数字化进程的加速,信息安全威胁和风险也快速增加,网络攻击手段越来越多,漏洞及攻击入口无处不在,尤其是近年来勒索攻击事件频发,其破坏力和影响力越来越大。
发布时间:2023-01-31 11:58 | 阅读:5175 | 评论:0 | 标签:勒索

美国推进零信任发展重要举措分析与回顾

传统网络架构将网络划分为内网与外网,并以边界防护为安全基础。随着云计算、大数据等新兴网络技术的发展应用,网络边界逐渐模糊,边界防护效果锐减,探索加强网络防御的新手段已迫在眉睫。零信任作为一种新的网络安全架构,已成为全面提升网络防御能力的重要手段。零信任(Zero Trust Architecture)基于“永不信任,始终验证”的原则,指导构建以“数据为中心”的安全防护架构,一旦部署成功,将极大提高网络防御能力与安全水平。
发布时间:2023-01-31 11:58 | 阅读:5100 | 评论:0 | 标签:美国 分析

统筹构建规范高效数据交易场所,促进数据要素充分有序流通

数据的高效流通是数字经济快速发展的基础,数据要素的市场化配置已上升为国家战略,推动数据的共享与交易成为我国数字经济发展的必由之路。近日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(又称《数据二十条》)。《数据二十条》提出,要建立合规高效、场内外结合的数据要素流通和交易制度。场内集中交易与场外分散交易是数据要素流通的两种基本方式,作为公允第三方,数据交易场所通过提供新型交易技术、固定数据交易证据等方式增进买卖双方的信任、减少争议,从而最大限度地发现数据的公允价值,同时便于追溯和监管,具有场外交易不可比拟的优势。
发布时间:2023-01-31 11:58 | 阅读:4961 | 评论:0 | 标签:无

2023年态势感知与安全运营十大技术趋势展望

数字时代,态势感知和网络安全运营依然是网络安全行业备受关注的热点话题。启明星辰泰合团队发布《2023年态势感知和安全运营技术发展十大趋势》,分享了其对态势感知和网络安全运营新技术、新挑战和新实践的智慧分析与总结。下面,让我们一起看看今年的重要趋势都有哪些吧。趋势一 元数据驱动的安全体系加速自动化安全运营近年来我国安全产业持续发展,安全产品线种类丰富,既有相对成熟的“主力经典板块”的大量产品,也有“新兴前沿产业板块”不断推陈出新,安全体系越来越庞杂,安全孤岛众多,安全“熵增”明显。
发布时间:2023-01-31 11:58 | 阅读:4891 | 评论:0 | 标签:安全运营 安全 态势

绿盟科技受邀参加第二届网络空间内生安全发展大会

近日,由中国通信学会、南京互联网信息办公室、网络通信与安全紫金山实验室、国家数字交换系统工程技术研究中心、中国网络空间内生安全技术与产业联盟共同主办,紫金山实验室承办的第二届网络空间内生安全发展大会-内生安全融合产业生态分论坛在线上举办,研讨交流内生安全钢筋骨架发展趋势,探索态势感知、防火墙、沙箱、蜜罐等防御技术发展现状及内生安全构造融合各类防御技术成果的发展路径。绿盟科技受邀出席并在内生安全融合产业生态分论坛发表题为《网空攻击技术新态势及对抗思考》的主题演讲。
发布时间:2023-01-31 11:58 | 阅读:4470 | 评论:0 | 标签:安全 网络

2022年度安全事件观察报告:开源框架组件面临重重危机

近日,绿盟科技发布了《2022年度安全事件观察报告》(以下简称《报告》),深入整理与分析了2022年处理的安全事件,并结合国内外重要安全事件,从安全事件的角度分析2022年的安全态势。本篇为《报告》解读系列的第一篇,将从探究2022年漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。2022年新增漏洞26431个,同比2021年增加25.87%根据NVD数据库已收录的公开发布漏洞数目进行观察,截至2022年底,2022年新增加的漏洞数量为26431个[1],相比2021年增加了25.87%[2]。
发布时间:2023-01-31 11:58 | 阅读:4566 | 评论:0 | 标签:安全

AWS公司安全负责人对2023年网络安全发展趋势进行的预测

2022年是网络安全行业发展前所未有的一年,无论是好的方面还是坏的方面。从积极的方面来看,人们看到无密码和多因素身份验证(MFA)和零信任方法的使用有所增加;从消极的方面来看,数据泄露造成的损失达到历史最高水平,例如商业化网络犯罪(勒索软件即服务)兴起以及Twitter、WhatsApp、Rockstar和Uber等公司的大规模数据泄露。人们在2023年会在网络安全方面看到什么样的发展趋势? AWS公司有关网络安全方面的一些负责人对2023年网络安全的发展趋势进行了预测。
发布时间:2023-01-31 11:58 | 阅读:4488 | 评论:0 | 标签:网络安全 安全 网络

Windows7退出历史舞台,安恒EDR有话说!

根据微软官方公告,WIndows 7操作系统正式结束ESU支持,这也就意味着官方不会再向企业用户推出任何安全补丁。Win7系统发布于2009年10月,并于2015年结束了主流支持、2020年结束外延支持,仅提供付费ESU安全补丁,并于2023年1月完全结束服务。
发布时间:2023-01-31 11:58 | 阅读:5212 | 评论:0 | 标签:windows

ChatGPT将引发网络安全三大革命

自从2022年11月30日OpenAI首次公测ChatGPT至今,短短三个月内,大量参与测试的网络安全专业人士对生成式人工智能的看法从最初的不屑和傲慢,变成了今天的兴奋甚至恐惧。毫无疑问,ChatGPT对于网络安全有着革命性的意义。已经有无数例子说明ChatGPT有能力改变各种黑帽子游戏规则。在首个公开的概念验证中,纽约大学教授Brendan Dolan-Gavitt使用ChatGPT来利用缓冲区溢出漏洞。其他安全专家的ChatGPT应用案例包括以闪电般的速度编写恶意软件以及制作令人信服、语法正确的网络钓鱼电子邮件。
发布时间:2023-01-31 11:58 | 阅读:4466 | 评论:0 | 标签:网络安全 安全 网络

Chainguard发布“内存安全版”Linux系统

Chainguard本周发布了内存安全Linux发行版——Wolfi,宣称能从根本上杜绝大量已知软件漏洞。此外,Chainguard还与互联网安全研究小组(ISRG)合作,为Wolfi创建了一个Rustls TLS库,可用作libcurl中的默认后端。所有curl镜像或任何其他依赖于curl的镜像都能够利用Wolfi的内存安全属性。Chainguard首席执行官Dan Lorenc表示,Wolfi是使用以内存安全语言编写的新库和不安全语言编写的库的组合开发的,是内存安全的系统级实现。
发布时间:2023-01-31 11:58 | 阅读:3922 | 评论:0 | 标签:linux AI 内存 安全

Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证

IT之家 1 月 31 日消息,来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram 等应用的登录系统中发现新的漏洞,任何人都可以绕过 Facebook 的双因素身份验证。研究员 Gtm Mänôz 向 TechCrunch 表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于 SMS 的双因素认证”。Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta 没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。
发布时间:2023-01-31 11:47 | 阅读:5371 | 评论:0 | 标签:暴力破解 漏洞 安全 破解 认证 身份

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁