记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华IDOR研究系列-06-注册用户可以更改任何用户的应用程序密码权限
#bug bounty 300 个 #漏洞挖掘 164 个 #IDOR 29 个 #赏金猎人 106 个 IDOR研究系列-06-注册用户可以更改任何用户的应用程序密码权限声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
发布时间:2023-03-20 00:58 |
阅读:30430 | 评论:0 |
标签:密码
密码管理工具 Bitwarden 调整策略,缓解自动填充漏洞泄露用户信息问题
IT之家 3 月 18 日消息,热门密码管理工具 Bitwarden 于日前发布公告,宣布即将更新应用程序,彻底修复自动填充漏洞,黑客利用该漏洞可以窃取用户密码等相关信息。Bitwarden 在其 GitHub 页面创建了一个修复程序,调整了页面加载时自动填充的工作方式。Bitwarden 目前只能在受信任的网站域名下自动填充登录数据。IT之家附本次调整主要内容如下:默认禁用页面加载之后的自动填充用户在启用自动填充功能之后,Bitwarden 将仅对用户专门添加到应用程序的受信任域和 URL 使用该功能。可信域包括与用户在浏览器中访问的 URL 相匹配的域。
研报显示 2022 年超过 7.21 亿个密码在互联网上泄露
每当一个公司遭遇数据泄露时,密码是最常被泄露的信息之一。而当攻击背后的威胁者掌握了这些信息后,它们通常会在暗网上转卖,在那里它们可以被购买并用于身份和财务盗窃。
网络安全公司SpyCloud的2023年身份暴露报告证实了这一点。根据该文件,该公司的研究人员在2022年发现了7.215亿个在线曝光的凭证。在这个数字中,50%来自僵尸网络,这是一个由感染了恶意软件的计算机组成的网络,由威胁者作为一个群体控制,部署信息窃取的恶意软件。
密码工程技术人员:让数据“可用不可见”
早上九点,黄熹之走进办公室,一边查看新出的密码文献,一边和同事讨论尚未完成的产品。随着我国大数据产业快速发展以及数据交易需求不断上升,黄熹之所从事的“密码工程技术人员”作为新职业也发展壮大。相关机构预测,预计至2025年,我国隐私计算市场将达到145.1亿元,相关技术人才需求将更旺盛。推动数据大规模安全流通应用“我们的工作就是基于密码学,把需要保护隐私的明文数据进行‘加密’,使用公开的密码学算法或协议,对数据在密文状态下进行协商好的运算。除了最终的运算结果外,任何一个参与方都无法获得其他人隐私数据的信息。
发布时间:2023-03-17 17:27 |
阅读:50875 | 评论:0 |
标签:密码
无密码绕过!黑客利用ChatGPT劫持Facebook账户
Dark Reading 网站披露, 3 月 3 日- 3 月 9 日,每天至少有 2000 人从 Google Play 应用商店下载"快速访问 ChatGPT“ 的 Chrome 恶意扩展。据悉,一名威胁攻击者可能利用该恶意扩展泄露包括商业账户在内的数千个 Facebook 账户。从 Guardio 的分析结果来看,恶意 "快速访问 Chat GPT "的扩展程序承诺用户可以快速与近期大火的人工智能聊天机器人 Chat GPT 进行互动。
NIST的轻量级密码标准ASCON密码算法流程解析
ASCON简介随着物联网设备(Internet of Things,IoT)的广泛应用,大量的数据在其上被生成和传输,如何保护这些数据不被窃取和篡改受到了越来越多的关注。最常用来保护物联网设备上数据传输的轻量级密码算法包括关联数据认证加密算法(authenticated encryption with associated data,AEAD)和哈希算法。先行AEAD算法中使用的主要技术为带有Galois或Counter模式的AES算法,哈希算法为SHA-256。
发布时间:2023-03-13 14:12 |
阅读:44218 | 评论:0 |
标签:密码
可泄露用户密码,Bitwarden 密码管理器浏览器扩展发现新漏洞
IT之家 3 月 11 日消息,根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。IT之家从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。
中国信通院“互联网域名体系商用密码技术研究及试点应用”入选首届全国商用密码应用优秀案例
近日,“2023年中国网络和数据安全产业高峰论坛——商用密码创新应用分论坛”在成都举办。在授牌仪式环节,中国信息通信研究院(以下简称“中国信通院”)“互联网域名体系商用密码技术研究及试点应用”获评首届全国商用密码应用优秀案例。本次论坛以“推动密码应用创新,夯实网络安全基座”为主题,围绕基础通信、车联网、工业互联网和关键信息基础设施等重要行业和领域,对商用密码产业创新发展的新思路、新模式、新方法进行了深入探讨。在首届全国商用密码应用优秀案例授牌仪式上,为十大重要领域颁发了共计15项优秀案例奖,充分展示了工业和信息化领域密码应用取得的突出成果。
NIST抗量子密码算法被爆安全漏洞
研究人员发现在NIST选定的抗量子密码算法中发现安全漏洞。2022年7月,美国国家标准和技术研究所(NIST)宣布选定的4个抗量子加密算法,其中CRYSTALS-Kyber用于通用加密,CRYSTALS-Dilithium、FALCON和SPHINCS+用于数字签名。CRYSTALS-Kyber被加入到美国国家安全局推荐的应用于国家安全系统的加密算法套件中。2022年12月,瑞典皇家理工学院研究人员发文称在CRYSTALS-Kyber特定实现中发现一个安全漏洞,攻击者利用该漏洞可以发现侧信道攻击。侧信道攻击是通过物理参数的评测和分析来从加密系统中窃取秘密信息。
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
我们很多从事信息安全行业的人,交流时常常会提及“等保”“分保”“密评”这些概念,那么他们之间的联系与区别往往不是说的太清楚,大部分都在说他们之间的不同,而联系这块在很多公众号中是未提及的。甚至对“等保”“分保”“测评”这些词汇认知也是模棱两可的。看到我这个标题的朋友,自然会发现无论是“等级保护”“分级保护”“密码管理”,原来我在上次文章中于其后面都加了“测评”俩字,后来发现这个理解是有失偏颇的,所以本次回归其正常说法,其来源是《网络安全等级保护条例》(征求意见稿),根据征求意见稿,我个人感觉加上“工作”二字更为恰切。因为我个人认为这是较为严谨的描述,当然我接下来也会“引经据典”说明之。
聚焦自主可控,护航网络安全 | 格尔软件多个方案入选《工业和信息化领域商用密码典型应用方案》
日前,工业和信息化部和国家密码管理局联合发布《关于公布工业和信息化领域商用密码典型应用方案名单的通知》,共遴选出100个典型应用方案。格尔软件《基于全栈式云原生密码服务的基础信息网络》《零束车联业务平台安全加固方案》《上海市政务云国产密码应用服务平台》《基于信创环境的数字星网商用密码基础设施安全技术方案》《广东中烟一体化密码应用服务平台》等5个方案成功入选。
密码学 | 5.6.2 熵
#密码学 59个 5.6.2 熵在高效的密码系统中,都是用一个密钥来加密大量不同的明文,因此想要无条件安全是不可能的。于是退而求其次,我们试图构建计算安全的密码系统。不过不幸的是,任何不完全保密的信息都有可能泄露密钥等重要信息。为了研究这一现象,Shannon 引入了熵的概念,熵是系统中不确定性的度量。因此,如果我们将 视为某个实验的结果等于 的概率,那么如果单个实验的结果揭示了关于随机变量 的大量信息,则认为 的熵很小。
发布时间:2023-03-03 12:27 |
阅读:56143 | 评论:0 |
标签:密码
密码学 |5.6 信息论
#密码学 58个 5.6 信息论1948年 和 1949年,克劳德·香农(Claude Shannon)发表了两篇论文《A mathematical theory of communication》、《Communication theory of secrecy systems》,它们构成了现代密码学的数学基础。在这些论文中,他定义了完美(或无条件)安全的概念,介绍了自然语言熵和统计分析的概念,使用概率论提供了第一个安全性证明,并给出了可证明安全性与密钥、明文和密文空间大小之间的精确联系。在公钥密码中,人们感兴趣的是破解系统的计算难度。
发布时间:2023-03-02 15:59 |
阅读:74659 | 评论:0 |
标签:密码
Win10查看WIFI密码
#Windows 38个 5.45 Win10查看WIFI密码https://scz.617.cn/windows/202303012116.txt这算是个奇技淫巧,大多数人这辈子都不知道;另有一些相关行业人士早就知道,但大概率这辈子都不会用上;换句话说,这是个鸡肋技巧。不过,干咱们这行的,多知道一些总归不会错的。
发布时间:2023-03-02 01:24 |
阅读:81361 | 评论:0 |
标签:密码
基础电信企业开展商用密码应用安全性评估工作的思考与建议
作者简介张杨 中国移动通信有限公司研究院安全技术研究所高级工程师,主要从事网络与信息安全、密码应用安全等方面的研究工作。张艳 中国移动通信有限公司研究院安全技术研究所技术经理,高级工程师,主要从事网络与信息安全、终端安全、密码应用安全等方面的研究工作。彭华熹 中国移动通信有限公司研究院安全技术研究所高级工程师,主要从事网络与信息安全、业务安全等方面的研究工作。陈磊 中国移动通信有限公司研究院安全技术研究所高级工程师,主要从事信息安全测评等方面的研究工作。李邦灵 中国移动通信有限公司研究院安全技术研究所工程师,主要从事网络与信息安全、业务安全等方面的研究工作。
美国国防部服务器没密码,3TB敏感数据泄露
上周末,安全研究人员Anurag Sen发现美国国防部一台存储了3TB内部军事电子邮件的服务器在线暴露长达两周,该服务器托管在微软的Azure政府云上,供美国国防部客户使用,与其他商业客户物理隔离,可用于共享敏感的政府数据。其中许多数据与美国特种作战司令部(USSOCOM)有关,USSOCOM是美国负责执行特殊军事行动的军事单位。令人惊讶的是,暴露的服务器由于配置错误没有密码,任何人都可通过互联网访问。据Anurag Sen透露,暴露数据包含过去几年的大量内部军事电子邮件,其中一些包含敏感的人员信息。
江南天安多款密码机产品通过IPv6 Ready Logo认证
近日,北京江南天安科技有限公司旗下云服务器密码机SJJ1528、金融数据密码机SJJ1310、服务器密码机SJJ1988在下一代互联网国家工程中心-全球IPv6测试中心正式通过IPv6 Ready核心协议Phase-2测试,并荣获由国际组织IPv6 Forum颁发的IPv6 Ready Logo Phase-2认证证书(Logo ID:02-C-002311、02-C-002312、02-C-002316)。这标志着上述产品的IPv6核心协议实现已全面符合IETF RFC相关标准,其一致性和互通性得到了权威验证。
Ladon复现Joomla! 未授权漏洞读取密码CVE-2023-23752
#Ladon 63 个 #漏洞复现 18 个 #EXP 20 个 #poc 3 个 #Joomla 1 个 Ladon 10.9 20230224[+]JoomlaPwd CVE-2023-23752 未授权读取网站数据库密码(主机 邮箱 数据库
创业国度的利器--以色列之密码安全
一前 言以色列作为建国于 1948 年的中东地区的一个小国,没有多少自然资源,但却是世界知名的高科技强国,在遗传学、计算机科学、光学、工程学、物理学、医学等等高科技领域具有世界级的成就,其举国创业创新的文化与生态引领世界,在世界具有“创业国度”的美名。在密码安全领域这样的高科技领域,以色列的综合水平甚至被认为排名世界第二,仅次于美国,是“创业国度”的标志性利器,以色列这样的弹丸小国是如何一步一步走上世界密码安全强国之路的?值得我们学习借鉴。
每周安全速递²⁴⁹|Mount Pleasant中央学区泄露多名学生邮件密码
#每周安全资讯 61个 第249期 本周热点事件威胁情报1Mount Pleasant中央学区泄露多名学生邮件密码2月17日,Mount Pleasant中央学区负责人Peter Giarrizzo披露数据泄露,他表示该事件可能泄露了多名学生的电子邮件密码。数据泄露被发现后,对此事的调查发现,在2020-2021学年期间,属于该地区7年级学生的几个密码已被发布到一个共享的Google Classroom。找到此文档后,学校立即将其删除。学校仍在努力确定工作人员是否公开发布过任何其他类似信息,以及为什么会公布密码。负责人表示,数据泄露仅限于属于7年级学生的密码。
创业国度的利器:以色列之密码安全
一、前 言以色列作为建国于 1948 年的中东地区的一个小国,没有多少自然资源,但却是世界知名的高科技强国,在遗传学、计算机科学、光学、工程学、物理学、医学等等高科技领域具有世界级的成就,其举国创业创新的文化与生态引领世界,在世界具有“创业国度”的美名。在密码安全领域这样的高科技领域,以色列的综合水平甚至被认为排名世界第二,仅次于美国,是“创业国度”的标志性利器,以色列这样的弹丸小国是如何一步一步走上世界密码安全强国之路的?值得我们学习借鉴。
Kali暴力破解Wifi密码完整步骤(学习记录)
来自:CSDN,作者:疾风劲草_链接:https://blog.csdn.net/qq_38058241/article/details/127357274注:本文仅供技术学习,请勿其他用途;谢谢观看!基础环境及前置说明1.win10电脑2.VMware虚拟机3.Kali-linux镜像4.支持监听模式的无线网卡5.wifi密码字典文件所谓暴力破解就是穷举法,将密码字典中每一个密码依次去与握手包中的密码进行匹配,直到匹配成功,能否成功破解wifi密码取决于密码字典本身是否包含了这个密码。步骤1.Kali-linux连接无线网卡:虚拟机-可移动设备-连接网卡。
2022年全球最常用密码,第一名弱爆了!
综合自网络先问一下大家,你最常用的密码是什么?「12345678」还是「88888888」?其实这也正常,因为全球的人都是这么用的!11月24日,Nordpass发布了2022年全球最常用的密码名单,今年最常用的密码是「password」,除此之外123456、123456789等密码榜上有名。前十名排行如下↓无论排第一还是第十都没关系,它们破解起来,大部分连1秒都不到!在网络安全领域,这类密码有个专业名词「弱口令」。
发布时间:2023-02-20 12:01 |
阅读:92587 | 评论:0 |
标签:密码
密码加密 - 实名吓我一跳
应用场景:密码加密引言:MD5将任意长度的"字节串"变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。
Windows和Linux下压缩包密码破解工具
#压缩包 1 个 #基础教程 138 个 #网络安全 15 个 #kali工具 88 个 在平时的工作中,我们都会遇到过压缩包密码忘记的情况。当我们急需要此文件时,怎么找回压缩包的密码呢?本文让我们一起来学习吧。Linux工具在Linux中,我们常用fcrackzip这款工具来找回我们的密码。在kali中此工具默认安装。如果其他系统想要安装此工具,我们只需执行下面命令即可。
车联网密码安全那些事儿
加密在车机端中有很多的使用场景。具体来说,包括充电系统在内,从车机端到CAN总线,都存在一个信息加密的需求和要求。密钥的生成和管理是车联网安全的核心需求。由于汽车产业升级,传统汽车厂商在向面向未来的智能网联汽车厂商转变,催生出了IVI、TBOX等带有应用(APP)和互联网访问需求的车辆端系统和随之而来的数据和网联安全需求。从这个角度来说,所有带有应用和程序处理的车端系统,实际都需要对内存、缓存的数据进行加密处理,防止泄露。针对车端的应用,需要建立认证和访问控制,防止其他应用组件(LIB、SDK)等对本应用的资源(LIB、SDK)、缓存、内存的数据进行访问读取。
2023图解《商用密码应用安全性评估FAQ(第二版)》
点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自
犯罪分子使用谷歌广告针对Bitwarden密码库进行攻击
随着企业和消费者开始在每个网站使用独特的密码,使用密码管理器来跟踪所有的密码已经变得非常有必要。然而,除非你使用像KeePass这样的本地密码管理器,否则大多数密码管理器是基于云的,管理器允许用户通过网站和移动应用程序访问他们的密码。这些密码被储存在云端的 "密码库" 中,并且以加密的形式保存数据,通常会使用用户的主密码进行加密。最近LastPass的安全漏洞和Norton的凭证填充攻击说明,主密码是密码库的一个薄弱点。由于这个原因,人们发现威胁者创建了针对密码库登录凭证进行攻击的钓鱼网页,一旦他们获得了这些凭证,他们就可以完全访问你的密码库。
NIST宣布Ascon最终当选轻量级密码学标准算法
以下文章来源于网空闲话 ,作者网空闲话 网空闲话 . 网络空间安全信息分享,安全意识教育普及,安全文化建设培育。 当地时间2月7日,美国国家标准与技术研究院 (NIST) 的轻量级密码学团队宣布了他们密码算法遴选计划的胜利者-ASCON,因为它具有灵活性,包括七个系列、节能、在弱硬件上速度快,并且短消息开销低等特点,可以满足大多数需要轻量级密码学的用例的需求。Ascon密码算法将于2023年晚些时候作为NIST的轻量级密码标准发布。小型物联网设备正变得越来越流行和无处不在,用于可穿戴技术、“智能家居”应用等。但是,它们仍然用于存储和处理敏感的个人信息,例如健康数据、财务详细信息等。
发布时间:2023-02-10 18:29 |
阅读:182822 | 评论:0 |
标签:密码
CVE-2023-24055 Keepass密码管理工具漏洞复现
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。关于KeePassKeePass 是一款免费的开源密码管理器,可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中,该数据库由一把万能钥匙锁定。因此,您只需记住一个主密钥即可解锁整个数据库。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
