记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭秘第三方跟踪器是如何利用Facebook登录页面跟踪用户的

到目前为止,我已经陆续发布了如何通过网络跟踪器从网页、浏览器密码管理器和表单输入中盗取信息的文章。今天,我会继续发布我最近新发现的如何利用第三方脚本进行的隐私数据收集。具体过程就是通过登录Facebook以及其他类似的社交登录API,从网站中找到个人标识符,对用户进行跟踪。具体来说,我发现了两种类型的漏洞[1]:1.有7个第三方网站访问并滥用了Facebook用户的数据;2.有一个第三方使用自己的Facebook“应用程序”来跟踪网络上的用户;漏洞1:第三方利用了Facebook官方授予其网站的访问权限当用户点击“登录Facebook”时,他们会被进行这样的提示:你所访问的网站有权访问你Facebook的某些个人资料信
发布时间:2018-04-27 12:20 | 阅读:124890 | 评论:0 | 标签:技术 应用安全

一张图看懂程序猿:过去都是泪点,现在都是笑点

阅读本文,请自带Rap~作为一个老程序员给我一分钟带你了解全宇宙第一神秘的群体:程序员过去我主要工作写代码,找漏洞,补漏洞和需求方、安全部门,扯皮,扯皮,扯皮自从遇到一个叫“泰睿”的人之后生活和工作都发生彻底变化了作为一个开发者常用工具和必备技能变了最讨厌的话和最常YY的事也改变了跟安全人员本质矛盾和对自我定位都发生变化了1 常用工具变了有了“泰睿”之后,用“嘴”和安全人员扯皮的时间大幅减少!2. 必备技能换了使用“泰睿”后,用来找安全问题和修复Bug时间大幅减少!3. 最讨厌的一句话改了使用“泰睿”前,最讨厌的一句话。“程序又出现安全bug了”。使用“泰睿”后,最讨厌的一句话,“产品需求又发生变化了”
。4. 最常YY的事儿转移了使用“泰睿”前,最常YY的事儿,就是“编码间,bug灰飞烟灭”;使用“泰睿”后,
发布时间:2017-11-25 09:40 | 阅读:78114 | 评论:0 | 标签:厂商供稿 应用安全 梆梆安全

AsTech推出500万美元额度的漏洞担保金

应用安全咨询公司AsTech如今为其“典范安全项目(Paragon Security Program)”客户,提供更高金额的数据泄露担保。消费者世界中,担保很常见,今天的网络安全市场上却不是这样。但是,一小部分网络安全公司,已经开始提供客户担保了。AsTech就是其中之一。7月13日,该安全咨询公司宣布调高其网络安全担保,客户若遭遇网络入侵/数据泄露,获得的保证金将从100万美元升至500万美元。虽然担保额度增加是个新举措,AsTech却不是一家初创公司,该公司创立时间可追溯到1997年。CEO格雷格·雷柏称:“过去20年来我们见识过很多安全事件。我们的业务就是查找和修复漏洞,然后培训开发人员不要在新代码中再次引入漏洞。”AsTech的典范安全项目是一个托管安全项目,帮助公司企业保护应用安全。这500万美元的担
发布时间:2017-07-18 15:30 | 阅读:94136 | 评论:0 | 标签:行业动态 AsTech 安全漏洞 应用安全 担保金 数据泄露 漏洞

选择应用安全解决方案 首先要回答这9个问题

应用安全购买决策的时候有许多因素需要考虑,企业在提升自身安全风险管理准备度上承担的压力比以往任何时候都大。事实上,超过80%的安全攻击都针对的是软件应用,应用漏洞成为了头号网络攻击目标。 想要在整个产品生命周期保持安全,公司需要一套全面的应用安全工具包,并要回答一系列关键问题,以帮助正确选择解决安全风险所需的工具。 开源安全厂商 Black Duck Software 给出了为什么询问这些关键问题可以帮助你确定正确应用工具组合的原因。 1. 你开发的是什么类型的应用(例如:Web、移动、装机、IoT等等)? 移动和 IoT App 通常需要专业工具(例如智能手机渗透测试工具),而标准动态分析安全测试(DAST)工具则可用于测试大多数装机和基于Web的应用。 2. 你的应用连接的是什么类型的网络(例如:互联网、
发布时间:2017-05-07 20:30 | 阅读:79607 | 评论:0 | 标签:术有专攻 安全预算 应用安全

2016云栖大会 : 看珊瑚灵御如何做好企业移动安全

10月16日,为期四天的2016杭州·云栖大会顺利收官,来自全球58个国家和地区的4万名科技精英现场参会,超过700万人在线观看大会直播,成为全球规模最大的科技盛会之一。 在此次大会上,珊瑚灵御CMO刘鹏应邀参加安全专场的演讲。在题为“企业移动化的应用安全防护”演讲中,刘鹏针对移动互联网的趋势及安全问题进行深入浅出的全面分析,企业移动办公化趋势在飞速的发展,在给我们带来便捷的同时安全问题也日益凸显,通过生动的案例阐述说明,让我们认识到移动互联网的安全也是企业信息化安全重点保护对象。 北京珊瑚灵御科技有限公司CMO 刘鹏做题为“企业移动化的应用安全防护”的主题演讲 针对企业移动安全问题,刘鹏进行了全面的分析,从多个角度说明,其中包括: 1、系统层面,漏洞频发、轻松root获取系统后门导致移动终端易被攻击; 2、
发布时间:2016-10-20 14:10 | 阅读:87755 | 评论:0 | 标签:厂商供稿 应用安全 珊瑚灵御 移动安全 移动

打开应用的安全新姿势:运行在Docker里

通常,新技术都会引发安全顾虑。然而,有两份报告都宣称,在容器内运行应用程序比在容器外更安全。 任何新技术进入人们视线的时候,安全问题通常都是人们接纳的障碍。但是,对于Docker容器,有2家公司就认为,安全应该是促使人们采纳这一技术的驱动力。 分析公司Gartner和网络安全专家 NCC Group 发布了研究报告,详细说明容器安全现状。Docker公司安全总监内森·麦考利说:“重点在于,Gartner认为应用程序在Docker容器内运行更安全,并且将这一观点推送给了他们的企业用户。再结合上 NCC Group 确认Docker在容器安全领域领袖地位的报告,就更具重磅意义了。” Gartner分析师乔戈·弗里奇写道,部署在容器里的应用程序,实际上比直接运行在裸机操作系统上要更安全,因为“应用程序和用户都被隔离
发布时间:2016-09-05 07:00 | 阅读:85242 | 评论:0 | 标签:牛闻牛评 Docker 应用安全

是网络安全重要还是应用程序安全重要?

引言:飞速发展的云计算和移动应用程序使企业网络的边界得到了扩展,单纯的网络安全已经不足以很好的保护组织的网络,暴露在互联网上供无数人随时随地进行访问的应用程序,同样需要得到很好的保护。看过电影《大魔域》的人都知道,主人公Atreyu的目的就是要寻找幻想国的边界。然而令他失望的是,幻想国根本就没有边界,因为幻想国是人类幻想的产物。在某种意义上讲,幻想国和网络安全有着异曲同工之处。曾经的网络安全就像早期还是一座城堡的幻想国一样,只须守住城池即可,但随着边界的不断扩张,关于如何更好地保护好企业的网络安全使企业免受入侵,成为了一个难以具体限定和进退其难的问题。另外,关于到底是在网络安全中投入更多的时间和资源,还是在应用程序安全中投入更多的时间和资源问题,也和保护企业的安全同等地重要。边界造成的困惑据弗雷斯特研究公司(F
发布时间:2016-02-27 04:20 | 阅读:85575 | 评论:0 | 标签:术有专攻 应用安全 网络安全 资源分配

这家初创公司通过CPU拦截恶意软件

一家有着军方和学术界背景的初创公司,通过分析硬件性能揪出恶意软件——不是软件也不是网络设备行为,而是硬件!PFP网络安全的检测系统通过对比处理器当前射频输出与正常输出基线的差异来检测异常。一旦检测出可能代表恶意活动的异常,就触发警报,然后交给其他工具进行分析,找出到底是什么问题。这套系统可用于监控执行相同任务的大批量相似设备,比如在电网、化工厂中用到的数据采集与监控(SCADA)网络中的设备。美国能源部下属24个国家实验室之一的萨瓦纳河国家实验室正考虑将这套系统用于保护其智能网格中继。也可用于出厂设备的检测,从新出厂的大量设备中检测出残次品或被篡改过的产品。这项技术源自弗吉尼亚理工大学2006年至2010年所作的一项研究,并受到美国国防部、国防高级研究计划局(DARPA)和国土安全部(DHS)的资助。研究人员原
发布时间:2015-01-31 02:45 | 阅读:73534 | 评论:0 | 标签:应用安全 牛工具 牛技术 初创公司 硬件检测

新浪微博安全招贤启事

微博是一个提供微型博客服务的类Twitter网站。用户可以通过网页、WAP页面、手机客户端、手机短信、彩信发布消息或上传图片。2014年3月27日,新浪微博正式更名为“微博”,微博于2014年4月17日在美国纳斯达克正式挂牌上市。工作地点:北京海淀区中关村安全测试工程师(应用安全方向)职位描述:负责核心业务的应用安全测试与风险评估,推动落地安全解决方案自动化安全检测工具与日志分析系统的研发与功能&性能优化负责核心项目的白盒代码审计(PHP)公司内部安全编码与培训(应用安全/移动安全)跟踪安全社区的安全动态,并进行漏洞分析、挖掘和前沿安全攻防技术的研究岗位要求:熟悉常见的安全漏洞原理,如(SQLi,XSS,CSRF),能够独立挖掘web或移动客户端安全漏洞熟练使用php/python/pe
发布时间:2014-05-20 01:10 | 阅读:81120 | 评论:0 | 标签:招聘 weibo 安全 应用安全 微博 移动安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云