记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

智能合约安全实践(一)| 功能实现千万条,权限安全第一条

引子: “庖人虽不治庖,尸、祝不越樽俎而代之矣。”  — 《庄子·逍遥游》古时候,有一位杰出的领袖名叫唐尧。他所治理的地区人们安居乐业,但是他听闻隐士许由十分有才干,便萌生了将领导权让给许由的想法。但是许由拒绝了,并说出了这样一段话“鹪鹩巢于深林,不过一枝。”至此,后人也用越俎代庖一词来表达越权的含义。“越俎代庖”在智能合约的实现中存在着访问权限,如果权限设置不合理,很容易造成智能合约被攻击,严重的还会造成巨大的经济损失。成都链安-安全实验室对于智能合约安全有着丰富的经验和积累,但随着区块链技术越来越受重视,智能合约的数量也越来越多,随之而来的智能合约被攻击事件也越来越多,也让我们感受到了“让区块链更安全”的企业使命是多么的重要,但是一己之力难于对抗所有的威胁,接下来,我们将会把自己的安全经验积累通
发布时间:2020-07-10 17:56 | 阅读:673 | 评论:0 | 标签:厂商供稿 成都链安 智能合约 权限安全

盘点2020年上半年个人信息保护重大事件

数据已成为当前企业乃至国家重要的战略资源,个人信息作为个人的数据资产受到了越来越广泛的关注。App企业跑马圈地野蛮生长,强制授权、过度索权、超范围收集个人信息、未制定并公开隐私政策等乱象丛生,使个人信息保护难上加难。自2019年四部门联合成立App专项治理工作组以来,相关部门连续出台了多个法律法规并陆续开展了专项治理行动,完善个人信息保护监督管理机制,打击违法违规收集使用个人信息行为,引导相关企业和公共服务机构强化保护措施,保障公民合法权益。1. 《App违法违规收集使用个人信息行为认定方法》发布2019年12月底,根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规
发布时间:2020-07-09 23:40 | 阅读:882 | 评论:0 | 标签:厂商供稿 个人信息保护 梆梆安全

瑞数信息完成C+轮1.3亿元融资 加大“AI+动态安全“投入布局千亿级中国信息安全市场

日前,中国Bots自动化攻击防护领域厂商瑞数信息正式完成人民币1.3亿元的C+轮融资,在疫情引发全球经济放缓、资本市场低迷的大环境下,瑞数信息圆满完成本轮融资,足见中国信息安全市场的巨大潜力和机会,也验证了资本市场对瑞数信息自主可控的“AI+动态安全”产品能力和业务前景的充分认可!瑞数信息CEO余亮先生表示:随着本轮融资的注入,瑞数信息将进一步推动动态安全与AI人工智能的深度融合,加大在业务、应用及数据安全领域的研发和创新投入,打造更加精细化、协同联动和智能的产品矩阵。同时,还将进一步拓宽市场、行业、渠道及企业级客户的广泛覆盖,并积极与云、大数据等业内知名服务供应商建立生态合作,构筑数字中国的新一代主动防御安全体系。作为中国动态安全技术的创新者以及Bot自动化攻击防护领域的专业厂商,瑞数信息在过去的一年交出了一
发布时间:2020-07-07 21:24 | 阅读:1564 | 评论:0 | 标签:厂商供稿 AI+动态安全 瑞数信息 AI

CNCERT:我国被篡改网站数 185573个

4月28日,中国互联网络信息中心(CNNIC)发布第45次《中国互联网络发展状况统计报告》。报告指出:在网站安全和漏洞方面一、被篡改网站数量截至2019年12月,CNCERT监测发现我国境内被篡改网站数量达185573个,和2018年底的7049增长较大。在8月,这一数量达到顶峰,其中我国境内被篡改网站数量在8月也达到了最高值。截至2019年12月,CNCERT共监测发现我国境内被篡改政府网站147515个,较2018年底(216个)增长138.4%。二、被植入后门网站数截至2019年12月,CNCERT共监测发现我国境内被植入后门的网站数量达到84850个, 较2018年底(23608 个)增长259.4%。截至2019年12月, CNCERT共监测发现我国境内被植入后门的政府网站数量达到717个, 较201
发布时间:2020-07-03 21:26 | 阅读:5284 | 评论:0 | 标签:厂商供稿 深空信息

企业上云-数据上链  果通-缔安联合发布基于SD-WAN的区块链可信连接解决方案

6月23日,上海果通通信科技股份有限公司(以下简称“果通”)与上海缔安科技股份有限公司(以下简称“缔安”)在上海长宁区签署战略合作协议,同步发布多个企业级组网解决方案,旨在为广大企业客户设备上云提供“新基建”支撑。根据战略合作协议,双方将发挥各自优势,将基于SD-WAN的区块链可信连接解决方案全面渗透到企业IT的变革中,为企业数据一点上链提供更快捷、更灵活、更安全、更稳定的“一站式”解决方案。基于SD-WAN的区块链可信连接解决方案SD-WAN打通区块链  企业数据一键上链随着云计算、大数据、物联网等新兴技术对企业IT提出新的要求,产生于“云”之前的传统广域网显然难以跟上IT的变革的速度。SD-WAN(软件定义广域网)技术可以通过更加智能、自动化的方式,将移动、边缘、云的各类工作负载连接在一起,将网络资源按需分
发布时间:2020-07-02 22:35 | 阅读:3564 | 评论:0 | 标签:厂商供稿 SD-WAN 区块链可信连接 果通科技 缔安科技

听风辨器,神功护体——IT运维人员的九阳神功(中)

今天恰逢2020年下半年第一天。2020太难了,上半年忙着见证历史,人人都不易。希望大家保持乐观,下半年一切都会好起来!言归正传,继续说运维。修炼至此,大家都已具备九阳神功前三重的功力,浪迹IT江湖三十年的融哥带大家继续乘风破浪、精益求精。页面打不开、系统卡顿、应用宕机……每天IT运维人员被各种飞来横祸困扰,如六大派狠人围攻光明顶。要想搞定业务运行过程中的种种问题,你必须变成一个小号的魔教教主,打通任督二脉、调动全身功力,方能转危为安,世界和平。九阳神功第四重:缩骨大法他心中只一个念头:“这小子比我高大,他能钻过,我当然更能钻过。”想法原本不错,只是有一点却没料到:张无忌已练成了九阳神功中的缩骨之法。——《倚天屠龙记》缩骨大法者,化大为小,小中见大,见微知著也。魔鬼往往在细节中。对于业务系统的监控,基本的监控粒
发布时间:2020-07-02 18:01 | 阅读:3623 | 评论:0 | 标签:厂商供稿 IT运维 华青融天

撑起个人信息的“保护伞

近期跟朋友聊天的时候,朋友说受我的影响,现在对于个人信息的关注度高了不少,以前觉得通过个人信息换取相应的服务从来没有担心过服务方泄露个人信息的问题,下意识会认为服务商会保护好我们的个人信息。确实,作为互联网服务的提供方,我们把自己的个人信息交给了他们,他们有义务也有责任保护用户的个人信息。事实上是怎样的呢?提一件2年前发生的事情,新三板挂牌公司瑞智华胜涉嫌非法窃取 30 亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,涉及包括百度,阿里,腾讯、今日头条在内的全国 96 家互联网公司,瑞智华胜旗下一家公司一年营收就超过 3000 万元。瑞智华胜这些数据从哪里窃取来的呢?瑞智华胜与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营
发布时间:2020-07-02 18:01 | 阅读:3438 | 评论:0 | 标签:厂商供稿 世平信息 个人信息保护

昂楷科技发布数据安全综合治理平台,实现数据安全智能联动联防

一、数据安全现状:产品割裂,无法联防联控大数据、互联网、5G的迅速发展,海量数据呈爆发式增长,本身就给企业的数据管理工作带来了巨大的压力。紧接着,《网络安全法》颁布,等保合规开始实施,不少企业为满足相关部门的合规检查,存在前期策略性的盲目添加各种安全产品,重复建设的问题,但是由于各类安全产品接口独立,所以造成了企业产品或系统割裂的现象。目前,市面上绝大部分的数据安全解决方案都遇到了各自为政,零散不成体系,无法联防联控,无法合成作战的窘况,导致用户在数据安全治理的过程中普遍存在以下痛点:数据资产散乱不清数据资产管理,权责不明敏感数据信息,分布情况不清楚运维人员压力大,无法有效快速定位各个产品接口不开放、无法统一管理、合成作战单一数据安全产品,无法全面感知未来安全问题二、新环境下,如何做数据安全治理?在“新基建”时
发布时间:2020-06-30 20:19 | 阅读:2774 | 评论:0 | 标签:厂商供稿 数据安全综合治理平台 新品发布 昂楷科技 数据安全

奇安信“TI INSIDE”计划发布 三大能力推动威胁情报生态建设

6月29日,奇安信正式对外发布“TI INSIDE”计划。该计划由奇安信威胁情报中心发起,面向威胁信息交换共享联盟(TIXA联盟)成员及其他生态合作伙伴,开放威胁情报检测能力,旨在降低威胁情报的应用门槛。加强生态合作,降低情报应用门槛数字经济的发展和数字化转型的深入、数据资产的不断增大和数字业务的增加,以数据为目标的网络攻击愈演愈烈,商业利益诉求和恐怖破坏目的交织,组织化攻击和网络犯罪交织威胁呈现多样化、未知性态势,政企机构迫切需要建立实战化的攻防能力体系。“在实战化攻防中,威胁情报正在成为一种必要技术和手段。”奇安信集团总裁吴云坤说。毋庸置疑的是,准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应,实现从被动防御体系向积极防御体系的转变。中国网络空间安全协会副秘书长张健在致辞
发布时间:2020-06-29 21:28 | 阅读:3879 | 评论:0 | 标签:厂商供稿 “TI INSIDE”计划 奇安信 威胁情报

玩转流量,天下无锅——IT运维人员的九阳神功

今天跟大家聊聊IT运维。我们的生活和工作,越来越依赖于IT系统,无论支付、办公、吃穿住行……离了互联网和软件,一天也玩不转。当然,与前端应用日益丰富对应的,就是IT系统后台的日益复杂、运维工作的日益困难。可以说,IT运维工作支撑着社会运转的基础,离每个人都不遥远。如果你是某单位的IT运维人员,那么下面这些状况一定不陌生:周一,网络部门做了负载均衡的升级,业务部门反馈偶尔出现业务响应慢,是升级的问题还是应用系统的问题?周三,文档系统进行了硬件迁移,用户发现文档系统的页面打不开,是网络问题?服务器问题?还是应用问题?周日,大量用户投诉办理业务卡顿,系统的架构非常复杂,毛病出在哪儿?业务部门和用户眼巴巴等着,你怎么办?如果短时间找不到问题原因,搞不定系统,那这个锅你算背定了。其实,在很多单位,IT运维部门基本就是专业
发布时间:2020-06-29 16:54 | 阅读:4597 | 评论:0 | 标签:厂商供稿 华青融天 安全运维

安芯网盾通过华为云鲲鹏兼容性测试,内存保护全面适配X86、ARM架构及部分国产化系统

近日,安芯网盾内存保护系统V3.0与华为Stack8.0(鲲鹏)、鲲鹏云服务完成兼容性认证,并获得华为技术认证证书,这也意味着安芯网盾内存保护系统全面适配X86、ARM架构以及部分国产化系统。华为云具备从芯片到服务器到云平台的全栈自主创新能力,软硬件深度协同使华为云鲲鹏云服务涵盖裸机、容器等不同形态,具备多样的计算能力,并保持开放的架构,更好地满足客户不同场景的需求, 目前华为云鲲鹏的行业解决方案集中在对安全有特殊要求、对国产自主化有一定要求的行业,比如金融、政府、互联网等行业,加速产业智能化和移动化的步伐。华为云围绕鲲鹏技术体系,打造了集技术支持、知识共享和产业互助为一体的鲲鹏社区。另外,鲲鹏凌云伙伴计划和鲲鹏开发者大赛,与众多合作伙伴、开发者共建鲲鹏生态,共创千亿美金产业。安芯网盾作为国内内存安全品类的开拓
发布时间:2020-06-22 20:25 | 阅读:5702 | 评论:0 | 标签:厂商供稿 华为云鲲鹏 安芯网盾

零信任十周年峰会:联软科技分享《零信任的落地实践SDP》

2020年6月5日,零信任十周年峰会圆满召开,大会由云安全联盟大中华区主办,联合国UN2020指导,联软科技等众多网络安全领域代表厂商共同承办。会议伊始,零信任之父John Kindervag为大会致贺词,云安全联盟大中华区主席兼研究院院长李雨航在开幕致辞中指出零信任在全球已经成为网络安全关键技术大趋势,会上邀请了10多位零信任方面的专家、实践者共同探讨零信任十年的发展历程与实践。参会人数达10000+,受到多方关注,联软科技副总裁黄国忠分享了联软对于零信任的思考:1993年,《纽约客》刊登了一则由自彼得·施泰纳(Peter Steiner)创作的漫画,“On the Internet, nobody knows you’re a dog”,网络的隐秘性和匿名性可见一斑,同时,作者也想强调网络就是虚
发布时间:2020-06-18 20:28 | 阅读:5235 | 评论:0 | 标签:厂商供稿 联软科技 零信任

易安联网络发布零信任雷达图

作为行业内专注零信任解决方案的厂商,6月18日,易安联网络正式对外发布《Enlink零信任雷达图》,旨在把对零信任领域的深入研究及易安联网络在零信任架构下的研究矩阵做对外的展示。Enlink零信任雷达图《Enlink零信任雷达图》如《Enlink零信任雷达图》所示的众多技术模块,都是源于易安联网络多年在行业领域中的摸索,作为深耕零信任领域的网络安全厂商,以应用访问安全为核心的易安联网络目前也已成功推出基于”零信任”安全基本理论的网络安全产品——EnSDP云应用安全防护平台和SDP零信任解决方案,主要依据云安全联盟(CSA)的软件定义边界(SDP)标准规范,通过安枢(EnsBrain),安界(EnsGateWay),安众(EnsClient)三大功能组件,实现”云-管-端
发布时间:2020-06-18 20:28 | 阅读:7090 | 评论:0 | 标签:厂商供稿 易安联 零信任

“数治安全 智理未来”  2020西湖论剑·网络安全线上峰会成功召开

6月16日,以“数治安全 智理未来”为主题的2020西湖论剑·网络安全线上峰会(以下简称“峰会”)成功召开。本次峰会设立1个主论坛、6个分论坛、网络安全云上展览等特色环节,采取杭州主会场、北京分会场两地同步线上直播的形式,通过新华网、央视频移动网APP、中国青年报APP、凤凰网、浙江在线天目新闻客户端、新蓝网、杭州网、钉钉等平台向千万网友直播峰会盛况。峰会峰会现场浙江省委常委、宣传部部长朱国贤出席峰会并讲话,浙江省人民政府副省长高兴夫、浙江省人民政府副秘书长董贵波出席峰会,浙江省委宣传部副部长、省委网信办主任朱重烈出席峰会并担任开幕主持,杭州市委常委、宣传部部长戚哮虎出席峰会并致辞,主办单位和部分省市相关领导出席峰会。峰会将开展近70场专题报告,共话网络安全最新议题,共推数字世界新时代。峰会峰会现场院士担纲 大
发布时间:2020-06-17 21:37 | 阅读:5562 | 评论:0 | 标签:厂商供稿 2020西湖论剑 线上峰会

勒索软件调查:Ryuk依然是最大威胁

思科Talos事件响应(CTIR)团队近日的事件响应趋势调研显示,Ryuk依然是最大威胁,且已经连续四个季度在勒索软件威胁领域占据主导地位。调查结果显示,Ryuk的运营商正在改变策略,给受新冠疫情影响的组织带来更大的风险。CTIR总经理Sean Mason表示,Ryuk在过去一年一直是对客户的最大勒索软件威胁,尽管该团队还观测到了其他勒索软件家族,包括Phobos和Maze。Mason解释说,在过去的几个季度中,Ryuk的发展方式表明其运营商正在改变攻击策略,“我们确实看到了Ryuk的一种新的攻击趋势,不一定会借助商品木马感染,这种新手法可能会使它在一段时间内难以被发现,并导致感染增加。”CTIR发现通过Emotet和TrickBot“投放”的Ryuk勒索软件攻击事件有所减少,这是整体上使用商品木马攻击较少的原
发布时间:2020-06-17 17:03 | 阅读:6052 | 评论:0 | 标签:厂商供稿 行业动态 首页动态 Ryuk 勒索软件

警惕不明来源软件:伪装成Zoom安装包的Webmonitor RAT

1. 样本概述由于疫情影响,近期在线会议需求急剧上升,Zoom作为一款流行的在线视频会议软件被广泛使用。近日,新华三安全攻防团队注意到,有恶意攻击者假借Zoom安装包之名,用以隐藏和传播Webmonitor RAT。攻击者将后门程序捆绑在正常Zoom安装程序上诱导用户下载,运行后会释放正常的安装程序并安装,误导受害者以为安装了正常的Zoom软件,但是系统中已经被悄悄植入了远控木马。被植入的木马可以确认为RevCode Webmonitor RAT,该软件早在2017年就已经在黑客论坛上进行兜售,主要通过Web控制受害主机。这款假的安装包主要执行流程如下图,受感染的机器每次开机都会自动启动远控木马实现受害机的长期控制。下表是以ATT&CK模型分解出的样本主要技术手段。从技术手段上来看,样本在防御绕过上使用
发布时间:2020-06-15 23:56 | 阅读:6565 | 评论:0 | 标签:厂商供稿 Webmonitor RAT Zoom

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云