记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

企业开展开源组件开源组件分析工作的思路与实践

为了加速业务创新,应用开源技术提升开发效率成为企业的主流选择,但这也导致了日益依赖复杂的软件供应链。虽然有诸多优点,但广泛应用开源组件也带来了新的安全挑战,软件成分分析(SCA)应运而生。开源组件分析主要是对开源组件进行分析检测。   软件成分风险日益加剧 近日,Synopsys 公司发布了《2020 年开源安全和风险分析(OSSRA)报告》。报告显示:2019 年审计的代码库中,有 70% 进行了开源,同比增长10%。但其中 75% 的代码库中包含已知的安全漏洞,49% 的代码库包含高风险漏洞。
发布时间:2020-07-31 20:59 | 阅读:14271 | 评论:0 | 标签:业务安全 BOM S-SDLC SCA SDL 应用程序安全 应用软件安全开发 开源组件 数据安全

那个很燃的偶像剧过去了一年,剧中的“黑客”大赛却更火了

导读:去年7月9日,《亲爱的,热爱的》开播,你的“现男友”李现饰演的男主角韩商言的战队在CTF国际大赛中夺冠,让青春梦想的成为现实的同时,也为国争光。 如今,这部热播剧过去了整整一年,但CTF却热度不减。本文就简单聊聊CTF,并带你走近2017年XCTF的冠军战队——FlappyPig。 01 什么是CTF CTF全称为“Capture The Flag”,一般翻译为“夺旗赛”,源自西方的一种传统户外游戏:比赛的目的就是夺取位于对方“基地”里的旗帜,然后带着旗子安全返回自己的基地。当然实际规则还要更复杂一些,感兴趣的同学可以自行了解。
发布时间:2020-07-13 18:56 | 阅读:18143 | 评论:0 | 标签:业务安全 Capture the Flag ctf King of The Hill 夺旗赛 审计 攻防 攻防) 漏洞

你知道吗?94%针对金融服务业的攻击都是使用这4种方法!

根据安全数字化体验智能边缘平台Akamai最新发布的《2019年互联网安全状况报告:针对金融服务业的攻击经济》数据显示,在所有受网络钓鱼域影响的企业中,有50%来自金融服务行业。数据显示,除了独特的网络钓鱼尝试之外,攻击者还利用凭证填充攻击在18个月的时间内进行了35亿次攻击尝试,使得金融服务行业客户的个人数据和银行信息面临严峻风险。网络钓鱼域名和凭据填充该报告表明,在2018年12月2日至2019年5月4日期间,共计发现了近200,000个网络钓鱼域名,其中66%直接瞄准了消费者。在考虑仅针对消费者的网络钓鱼域时,50%的目标公司是金融服务行业。
发布时间:2019-12-18 13:25 | 阅读:34318 | 评论:0 | 标签:业务安全 攻击 金融服务

服务器端请求伪造(SSRF)攻击导致大量科技、工业和媒体组织信息泄露

摘要服务器端请求伪造(SSRF)是一个Web应用程序漏洞,可将攻击者的请求重定向到防火墙后的内部网络或本地主机。由于使用了元数据API,因此SSRF对云服务构成了特殊的威胁,这些元数据API允许应用程序访问底层云基础架构的信息,例如配置、日志和凭据。原本只能在本地访问这些元数据API,但SSRF漏洞使得这些内容可以从网络进行访问。另外,此类漏洞也绕过了容器的沙箱保护。可以说,SSRF无疑为内部网络侦查、横向移动甚至是远程代码执行打开了一扇新的大门。默认情况下,容器中的应用程序可以直接访问其主机上的元数据API,从而实现一种特殊的容器逃逸方式。
发布时间:2019-12-06 13:25 | 阅读:36345 | 评论:0 | 标签:业务安全 SSRF 信息泄露

360揭卫星安全隐患:数据裸奔、资源盗用、大厂设备存漏洞

近年来,从国外“硅谷钢铁侠”马斯克雄心勃勃的“StarLink星链计划”,到国内的天通卫星商用、鸿雁计划、虹云计划,卫星通信热度空前。不过,来自360的最新安全研究发现,卫星通信正暴露出许多不容忽视的安全隐患。11月27日,360 IoT安全研究院研究员郝经利在CIS 2019 网络安全创新大会上揭示了卫星通信面临的数据“裸奔”、易被干扰、通信链路资源易被窃取等隐患。据悉,通信卫星广泛应用于银行、石油、航空航天、广播媒体、电信等重要行业,当卫星网络遭遇威胁,其带来的影响将不容忽视。大厂设备也遭“沦陷”Comtech是全球领先卫星通信设备及解决方案提供商,其调制解调器在卫星通信中应用广泛。
发布时间:2019-11-29 18:25 | 阅读:35580 | 评论:0 | 标签:业务安全 漏洞

迄今为止最严重的容器逃逸漏洞:Docker cp命令漏洞分析(CVE-2019-14271)

摘要在过去几年中,我们在各种容器平台(包括Docker、Podman和Kubernetes)中发现了copy(cp)命令中存在多个漏洞。其中,迄今为止最严重的的一个漏洞是在今年7月被发现和披露的。然而,在该漏洞发布的当时,并没有立即引起太多关注,可能是由于CVE的描述不明确,并且缺少已经发布的漏洞利用方式。CVE-2019-14271是一个Docker cp命令实现中存在的安全问题,当被攻击者利用时,该问题可能导致容器的完全逃逸。自从今年二月发现了严重的runC漏洞以来,这是后续发现的首个完整容器逃逸漏洞。
发布时间:2019-11-24 13:25 | 阅读:90105 | 评论:0 | 标签:业务安全 CVE-2019-14271 漏洞

如何借助ViewState在ASP.NET中实现反序列化漏洞利用

概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情况下进行:1、.NET Framework 4.5版本之前的验证密钥及其算法;2、.NET Framework 4.5或更高版本中的验证密钥、验证算法、解密密钥和解密算法。
发布时间:2019-11-09 13:10 | 阅读:143327 | 评论:0 | 标签:业务安全 技术 漏洞利用 漏洞

浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。
发布时间:2019-11-06 13:10 | 阅读:40471 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践: 安全计划

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。
发布时间:2019-11-01 13:10 | 阅读:43275 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践: 构建安全工具链

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成在本文中,我们将向 你展示如何在 你的 DevOps 自动化框架中集成安全性。 我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。
发布时间:2019-10-30 13:10 | 阅读:45997 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(一)

当涉及到威胁检测,有多少次你听到有人说: “答案就在我的头脑中,如果你有任何问题,只问我就够了! ” 或者“只有 TA 或者他们知道怎么做! ” ,像这样的情况有很多次,不是吗? 没有对如何分析数据以检测网络中潜在的入侵的过程作记录、标准化或与人分享的问题要比你想象的更常见,特别是从技术和专业知识的角度来看当团队变得非常多样化的时候。 它不仅会影响你的检测策略,还会影响你的团队的动态。
发布时间:2019-10-23 13:10 | 阅读:43673 | 评论:0 | 标签:业务安全 系统安全 Jupyter Notebook

浅谈企业 DevSecOps 实践:基本原则

Devops 是一个操作框架,通过自动化来促进软件的一致性和标准化。 通过打破不同开发团队之间的障碍,同时通过优先考虑使软件开发更快更容易的事情,该框架帮助解决了围绕集成、测试、修补和部署的许多噩梦般的开发问题。DevSecOps是将安全团队和安全工具直接集成到软件开发生命周期中,利用 DevOps 的自动化和效率,确保每个构建周期都进行应用程序安全测试。 这促进了安全性、一致性,并确保安全性与其他质量指标或特性同样重要。 自动化的安全性测试,就像自动化的应用程序构建和部署一样,必须与基础设施的其余部分一起组装。但这就是问题所在。 软件开发人员传统上并不支持安全性。
发布时间:2019-10-17 13:10 | 阅读:53766 | 评论:0 | 标签:Web安全 业务安全 安全工具 系统安全 DevSecOps

态势感知之攻击链分析

0x00、前言在公有云部署游戏业务是目前App游戏上线的主要运营模式,因为App游戏运营图的就是快,有价值的App上线一周就能看出未来盈利趋势。竞争对手就会紧盯对方安全问题,最简单最直接的就是DDoS攻击,但是伴随着黑客团队的技术水平的提高,通过入侵的方式干掉竞争对手也是一个不错的选择。但是我们反观一下云租户的现状:手游厂商也不太重视安全投入,以为使用免费的安全解决方案就能解决问题,收费的产品就买一个高防IP就完事,等到出事的时候就后悔莫及。决策者安全意识不强。
发布时间:2019-08-19 13:10 | 阅读:56494 | 评论:0 | 标签:业务安全 公有云

Cobalt恶意组织针对某银行的完整攻击链分析

概述Cobalt恶意组织是一个针对财务发起攻击的网络犯罪组织,自2016年以来一直活跃。该恶意组织主要对银行发动攻击,试图访问银行的内部网络并接管敏感组件,例如ATM控制服务器或银行卡处理系统。尽管欧洲刑警组织在2018年逮捕了Cobalt恶意组织的领导人,但该恶意组织仍然活跃至今。Check Point Research最近发现了Cobalt组织的一次恶意活动,这次恶意活动是以哈萨克斯坦的一家银行为目标,精心制作了一个带有该银行标识的恶意文件,具有较强的迷惑性。不仅如此,该文件本身可以从银行的官方网站下载到,这样就更增加了文件的迷惑性,使潜在受害者不会认为这是一个可疑的文件。
发布时间:2019-08-19 13:10 | 阅读:54098 | 评论:0 | 标签:业务安全 Cobalt

对云计算的巨大威胁:Rocke恶意组织调查报告

执行摘要Unit 42团队用了六个月的时间研究了位于中国的网络犯罪集团Rocke,该恶意组织是针对云计算领域最著名的威胁行为者。在我们最近发布的云威胁报告中,发布了对Rocke的调查结果。该研究报告深入分析了我们针对Rocke的调查结果,发现该恶意组织可以在几乎没有干扰和有限检测风险的情况下开展业务。通过对2018年12月至2019年6月16日的NetFlow数据进行分析,我们发现在分析的云环境中,有28.1%至少存在一个完全建立的网络连接,至少有一个已知的Rocke命令和控制(C2)域。其中一些组织,几乎与攻击者保持着每日的通信联系。
发布时间:2019-08-15 13:05 | 阅读:81817 | 评论:0 | 标签:业务安全 Rocke

CVE-2019-11229详细分析 –git config可控-RCE

作者:LoRexxar'@知道创宇404实验室2019年4月15号,gitea曾爆出过一个漏洞,恰逢当时对这个漏洞比较好奇就着手去研究了一下,漏洞的描述是这样的:mod
发布时间:2019-07-25 17:25 | 阅读:86077 | 评论:0 | 标签:业务安全 git

实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示

1、背景2019年6月16日,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击[1]。报道随即引发相关国家的高度关注和国际舆论的广泛猜测。尽管美国总统特朗普第一时间否认了《纽约时报》的报道,但世界仍普遍担忧网络冷战甚至热战距离人类越来越近。俄方对此表示,“美国设想对俄发动网络战”的可能性是存在的。据《纽约时报》报道,美方瞄上俄电力系统,是因为“美国网络司令部研究了俄方在2020年美总统选举期间切断选举关键州供电的可能性,并认为美方需有相应的遏制办法”。
发布时间:2019-07-19 00:25 | 阅读:77754 | 评论:0 | 标签:业务安全 恶意攻击

你的家庭尽在黑客掌握:Orvibo智能家居设备泄露数十亿用户记录

概述近日,vpnMentor的研究团队发现Orvibo的用户数据库发生了数据泄露。由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会不断增加。Orvibo声称他们拥有大约一百万名用户,其中包括使用Orvibo智能家居设备的家庭、酒店和商业环境。该数据库的泄露,构成了对用户隐私和安全的巨大威胁,具有深远的影响。
发布时间:2019-07-03 12:25 | 阅读:59710 | 评论:0 | 标签:业务安全 智能家居

区块链为汽车行业谱写新篇章

区块链技术已经为金融服务和供应链行业带来了翻天覆地的变化,那么对于汽车行业,它又将有何建树呢?时至今日,我想您一定已经阅读过数百篇关于“什么是区块链及其优点”的文章,所以,话不多说,直奔主题,让我们一起探讨一下区块链技术可以为汽车行业带来哪些变革?自汽车问世以来,汽车行业始终走在践行先进技术的前列,但是这种技术变革的步伐实在太快,以致于全球汽车原始设备制造商(OEM)很难与之保持同步。毫无疑问,汽车行业正在发生变化,而区块链一直是所有厂商关注的新生儿。在过去一年左右的时间里,汽车行业的利益相关者一直在研究如何将区块链技术应用于企业业务中,并正在期待正式启动这一重大变革。
发布时间:2019-06-13 12:25 | 阅读:67014 | 评论:0 | 标签:业务安全 区块链

深入分析针对医疗健康行业的复杂威胁

前言目前,医疗健康行业越来越受到公众的关注,但不得不指出的是,该行业目前仍然处在一个值得关注的危急状态。尽管有许多医疗保健组织逐渐致力于完善网络安全和隐私保护,并已经取得了一些积极的进展,但从整体来看,仍然由很长的路要走。在2018年,与其他行业相比,医疗健康行业的数据泄漏事件数量最多。该数据是根据BakerHostetler的2019年数据安全事件响应报告得出的,该报告已经连续发布了5年。根据行业内部人士的消息,即使在今天,黑帽黑客也仍然在持续追踪患者的医疗健康数据,因此这类泄漏事件的整体趋势只会加剧。
发布时间:2019-06-03 12:25 | 阅读:82120 | 评论:0 | 标签:业务安全 健康行业

如何利用Slack客户端漏洞窃取Slack用户下载的所有文件

前言在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么就会将Slack客户端的下载位置更改为攻击者控制的SMB共享。这样一来,受害者此后下载的所有文档可能都会最终上传到攻击者控制的文件服务器上,直到受害者发现这一配置信息被篡改,并手动修改回来为止。
发布时间:2019-05-30 12:25 | 阅读:75306 | 评论:0 | 标签:业务安全 Slack 漏洞

聚焦Trickbot:借助合法的Google重定向URL实现恶意活动

概述近期,我们通过垃圾邮件中的重定向URL,发现了Trickbot银行木马的一个变种(Trend Micro检测为TrojanSpy.Win32.TRICKBOT.THDEAI)。根据我们的监测,该变种利用Google,从URL hxxps://google[.]dm:443/url?q=<trickbot downloader>重定向,其中查询字符串中的URL url?q=<url>是将用户重定向到的恶意URL。重定向URL是一种有效的逃避方法,旨在防止垃圾邮件过滤器阻止包含恶意URL的Trickbot垃圾邮件。
发布时间:2019-05-23 12:25 | 阅读:88961 | 评论:0 | 标签:业务安全 Trickbot

公有云容器安全

0x00、前言IT技术在不断的进步,从虚拟主机技术出现后,我们可以方便快捷的在公有云上建立自己的生产环境,大大提升生产环境部署效率,记得以前一个做游戏的兄弟说,以前做一款游戏,生产环境部署,从服务器采购到真正上线最短也要1~2个月。而使用公有云虚拟机搭建也许1~2周就搞定。那么容器技术的出现,又进一步提升了开发上线的速度,也许你在公有云上搞定以上事情也就1~2天。
发布时间:2019-05-13 12:25 | 阅读:82963 | 评论:0 | 标签:业务安全 公有云

导致数据库凭据泄露:详细分析Jenkins Swarm、Ansible、GitLab插件信息泄露漏洞(CVE-2019-10309/10300/10310)

一、概述Jenkins是一个用Java编写的开源自动化服务器。借助一些插件,可以将Jenkins与其他软件集成,例如GitLab。5月7日,Cisco Talos团队公开了其中三个插件的漏洞,这三个插件分别是Swarm、Ansible和GitLab。这些插件中的漏洞均属于信息泄露类型,攻击者借助这些漏洞,可能欺骗上述插件,将Jenkins数据库中的凭据泄露至攻击者控制的服务器。根据我们的协调漏洞披露政策,Cisco Talos与Jenkins及相关公司进行了合作,以确保这些问题得以彻底解决,并为受影响的客户提供更新。
发布时间:2019-05-08 12:25 | 阅读:99073 | 评论:0 | 标签:业务安全 漏洞 Ansible GitLab Jenkins Swarm

最新WebLogic远程代码执行漏洞在野利用分析:传播勒索软件、挖矿和发动DDoS攻击(CVE-2019-2725)

一、概述2019年4月26日,Oracle发布官方公告,修复CVE-2019-2725漏洞。该漏洞属于Oracle WebLogic Server中的反序列化漏洞,可导致远程代码执行。这个漏洞无需进行身份验证即可远程利用,因此攻击者可以在不需要掌握用户名和密码的前提下,通过网络实现对漏洞主机的远程代码执行。4月30日,Cisco Talos团队和Unit 42团队同时发布文章,监测到补丁发布前针对该漏洞的在野0-day漏洞利用。
发布时间:2019-05-07 12:25 | 阅读:122127 | 评论:0 | 标签:业务安全 漏洞 CVE-2019-2725 ddos

Inpivx服务:让任何人都可以从零开始开发恶意软件

最近网络犯罪分子发布了一个新的服务Inpivx,该服务为客户提供了一个管理面板,通过管理面板,客户可以从零开始开发和管理恶意软件。这项新的服务可以让任何懂点计算机的人都能够轻易的创建勒索软件,加密所有文件,还包括解密器。目前,该服务在Tor暗网上进行推广,此套餐服务售价为500刀。这个管理面板是用C++编写的,支持Windows xp到Windows10。一位Inpivx成员告诉BleepingComputer,勒索软件和管理面板是绑定在一起的,而且客户端能够根据客户需求调节勒索软件代码,同时,他们还提供了自定义勒索软件的教程。
发布时间:2019-04-25 12:25 | 阅读:95272 | 评论:0 | 标签:业务安全 ransomware

利用ASLR薄弱点:Chrome沙箱逃逸漏洞分析

概述我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞。在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用,形成一条完整的漏洞利用链,同时也能够让我们更好地理解现代Chrome漏洞利用所需的机制。考虑到全部可用的漏洞,最有可能被利用的是Issue 1755,这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞相似。目前看来,这是一个很好的候选者,因为攻击者对free’d对象的生命周期,以及随后使用对象的时间都具有高级别的控制。针对关于Mojo IPC机制如何运作的细节,我们没有详细进行分析,在这里先提前向各位读者表示抱歉。
发布时间:2019-04-17 12:25 | 阅读:113253 | 评论:0 | 标签:业务安全 系统安全 Chrome 漏洞

你看到的癌症分析结果可能是一份假的分析报告

研究人员发现,恶意软件可以向CT扫描结果中注入假的癌症特征或删除已存在的癌症特征。当前,信息系统已成为医院各部门业务开展的必备工具,是实现医院现代化运营的重要手段。但若信息安全出现问题,小则影响医院业务开展甚至停摆,大则影响社会安定。医院信息安全主要包括设备安全、网络安全、数据安全及行为安全。如中心机房服务器、存储器、交换机等设备安全,医院内部网络及互联网接入安全,各科室终端安全(如开机密码保护、文档资料、USB接入等安全)信息系统中患者病历数据、个人隐私安全等,甚至包括个人的科研成果、项目文档、银行及支付账户安全等。
发布时间:2019-04-11 12:25 | 阅读:81259 | 评论:0 | 标签:业务安全 癌症分析

SOC第三防御阶段–了解企业资产

在第一阶段中,我们讲解了基本的防御机制,建议每个企业和机构都应该做到这一点。在第二阶段中,我们讲解了对所遇到的现代恶意软件行为的理解及其重要性。今天,我们进入第三阶段,我们将讲解理解企业资产的重要性,以提供更好的安全防护。大部分攻击者,都是基于他们在企业资产中找到的漏洞来创建不同的恶意软件和编写脚本工具的。然后,他们针对企业攻击面发起攻击。攻击面是发起攻击的地方,可能是资产,或者路径,或者是连接点。所以,攻击者肯定会研究你的企业资产,然后选择一个最佳攻击路线。同样,SOC团队也必须学习企业资产,知道资产的位置。
发布时间:2019-03-15 12:20 | 阅读:96860 | 评论:0 | 标签:业务安全 SOC防御 企业资产

聚焦凭据窃取:针对房地产代理商的新型网络钓鱼活动分析

近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击,但本文重点描述了攻击者所使用的深入战术、技术和流程(TTP)。作为防御者,可以使用PDF诱饵和凭据收集网站中使用的TTP和图像作为态势感知的情报,以抵御此类攻击。一、概述针对房地产行业,进行凭据窃取或电子汇款诈骗并不是新的攻击方式,因为在2018年,在FBI的公众服务报告中,强调了此类活动的增长趋势:“根据受害者投诉的数据,目前针对房地产行业的BEC/EAC诈骗案件正在上升。
发布时间:2019-03-14 12:20 | 阅读:113160 | 评论:0 | 标签:业务安全 网络钓鱼

ADS

标签云