记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华天地和兴成为全球首家获得IEC62443 CB国际标准认证的工业网络安全企业
IEC62443是国际公认的工控安全领域的黄金标准,由IEC国际电工委员会和ISA国际标准化协会联合制定,正逐步被越来越多的国际制造商、系统集成商、运维商、业主、设计单位所采用,以确保其产品、系统在整个生命周期中的网络安全。近日,经过国际知名检测认证机构德国DEKRA集团的检测与评估,天地和兴凭借贯穿整个产品安全开发生命周期的专业管理流程,顺利通过IEC62443-4-1工业网络安全产品开发生命周期的审核并成功取得了CB及DEKRA SEAL国际双认证。 作为我国专业从事工业网络安全的领军企业,天地和兴是全球首家且国内目前唯一获得该项国际标准CB认证的工业网络安全企业。
《数据安全管理认证建设指引》白皮书发布
在近日举办的2023数据安全技术创新和管理认证研讨会上,安全牛联合美创科技、观安信息、绿盟科技、天融信、亿赛通、奇安信6家国内数据安全治理与服务代表性厂商,共同发布了《企业数据安全管理认证建设指引白皮书》研究报告,旨在推动各类企业组织数据安全建设工作标准化、制度化、常态化的开展。报告主笔分析师、谷安研究院高级研究员李欣韦在报告发布时表示:随着数据的大规模产生、共享和应用,数据泄露、丢失、被篡改等问题也逐渐浮出水面,这给个人、企业和社会带来了巨大的风险和损失。
通知 | 信安标委征求国家标准《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》意见
#2023年信安标委文件发布 2个 扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063关于征求国家标准《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)意见的通知信安秘字〔2023〕27号全国信息安全标准化技术委员会归口的国家标准《信息安全技术 个人信息跨境传输认证要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。
构建技术与管理并重的能力体系——2023数据安全技术创新与管理认证研讨会召开
2023年3月16日,由安全牛主办的2023数据安全技术创新与管理认证研讨会在北京圆满落幕,近百位甲方用户单位代表和网络安全厂商代表齐聚一堂,从数据安全技术的建设应用、管理认证和创新发展等视角,剖析当前国内数据安全行业的应用需求和发展现状,并展望数据安全技术的发展演进趋势。超过三千人次嘉宾在线观看会议直播。安全牛总编辑 陈伟安全牛总编辑陈伟在会议致辞时表示:保障数据安全已经成为了国家和企业的共同责任。
Nacos身份认证绕过漏洞
阅读: 10一、漏洞概述近日,绿盟科技CERT监测发现Nacos官方修复了一个身份认证绕过漏洞。在默认配置下,由于未对密钥进行修改,未经身份验证的攻击者可通过对token.secret.key默认值进行碰撞,从而伪造身份访问后台,可实现对配置文件的读取、修改密码等操作,请受影响的用户尽快采取措施进行防护。Nacos是构建云原生应用的动态服务发现、配置管理和服务管理平台。
奇安信物联网网关首批通过物联网安心产品认证
近日,奇安信物联网网关SSDW产品率先通过泰尔实验室、物联生态安全联盟、中国信通院的联合认证,产品在硬件安全、系统安全、联网安全、应用安全、数据安全等方面等,均达到《物联网关安全能力测试方法(第一阶段)》(IOT SA-Gateway-2021-1/FT-B03-0455-01)标准相关要求,获得《物联网安心产品检测证书》,成为首批获得该项证书的两款产品之一,也是唯一获得该证书的网络安全公司。
进攻性安全人才的五大认证
三年疫情期间,知名漏洞赏金平台HackerOne讲述过一个感人的故事:一位巴基斯坦贫困山区小伙封控期间自学漏洞挖掘技术成功逆袭拿下百万漏洞赏金。进攻性安全(白帽黑客、道德黑客、渗透测试和企业安全研究人员)是一条令人兴奋的职业道路,需要多种技能和旺盛的创造力。但这同时也是一个学无止境的职业,因为网络犯罪分子的策略、技术和程序同样在高速发展中。近年来,随着主动安全和网络安全弹性在企业安全战略中的重要性不断提升,进攻性安全人才成了企业网络安全人才市场的香饽饽。对于有志进入企业从事进攻性安全研究工作的白帽黑客,获取权威安全认证是提高身价和待遇的捷径之一。
2023数据安全技术创新与管理认证研讨会 丨 议程预告
随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《关键信息基础设施安全保护条例》“三法一条例”的陆续发布,从国家、社会与个人已经逐步形成了加强数据安全保护的态势。2023年1月中旬,工业和信息化部等十六部门联合发布的《关于促进数据安全产业发展的指导意见》指出,到2025年,我国数据安全产业基础能力和综合实力将明显增强,产业规模迅速扩大,数据安全产业规模将超过1500亿元,年复合增长率超过30%。
全国首批!企业微信获“卓越级”安全等级认证
3月3日,在中国信息通信研究院(以下简称“中国信通院”)主办的“高质量数字化转型创新发展”大会上,企业微信通过测评,获得办公即时通信软件安全能力最高等级“卓越级”认证,也是全国首批获此认证的产品之一。这也意味着,企业微信在应用APP安全、认证安全、应用层安全、通信安全、服务端安全、数据安全、安全管理能力等7大维度,均全方位符合最高安全等级标准。企业微信一直十分重视信息与数据安全,达成国内首个信息安全领域认证“大满贯”,包括国家网络安全等级保护三级认证、ISO27018公有云个人信息安全认证等。
美国网络安全官员敦促微软和 Twitter 加强安全实践 普及多因素认证
联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议,以更好地保护用户的安全。伊斯特利说,使用这些公司的多因素认证(MFA)的用户数量”令人失望”,但赞扬了苹果公司在iCloud用户中的MFA高使用率。
周一,伊斯特利在卡内基梅隆大学发表演讲,其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称,95%的苹果iCloud用户使用多因素认证,并解释说,高采用率是由于该公司决定将该功能作为默认功能。
长亭雷池WEB应用防火墙通过IPv6 Enabled Security 认证
近日,北京长亭未来科技有限公司旗下长亭雷池(SafeLine)WEB应用防火墙在下一代互联网国家工程中心-全球IPv6测试中心正式通过IPv6 Enabled Security Logo测试,并荣获由国际组织IPv6 Forum颁发的IPv6 Enabled Logo认证证书(Logo ID:C1-CN-00000008)。这标志着上述产品在IPv6网络协议安全和IPv6网络功能防护方面得权威验证,能够有效保障用户在IPv6环境下的网络安全。
聚力网络和数据安全,云众可信实战演练能力再获认证
2月23日,由工业和信息化部、四川省人民政府共同主办的2023年中国网络和数据安全产业高峰论坛在成都拉开序幕。在“铸网2022”网络安全演练表现突出单位名单发布仪式上,启明星辰荣获工业和信息化部“铸网2022”实网演练优秀技术支撑单位等多项荣誉称号,网络安全实战演练能力再获权威认可。启明星辰“云众可信红蓝网络攻防演习平台”为本次实网演练活动提供了“零故障、零事故、零失误”的技术平台支撑,保障演练活动顺利圆满完成。“云众可信红蓝网络攻防演习平台”是依托启明星辰多年安全实践经验,结合企业在网络攻防方面的实际业务需求,自主创新研发的基于真实环境,提供覆盖攻防演练全生命周期管理的安全实战演练平台。
江南天安多款密码机产品通过IPv6 Ready Logo认证
近日,北京江南天安科技有限公司旗下云服务器密码机SJJ1528、金融数据密码机SJJ1310、服务器密码机SJJ1988在下一代互联网国家工程中心-全球IPv6测试中心正式通过IPv6 Ready核心协议Phase-2测试,并荣获由国际组织IPv6 Forum颁发的IPv6 Ready Logo Phase-2认证证书(Logo ID:02-C-002311、02-C-002312、02-C-002316)。这标志着上述产品的IPv6核心协议实现已全面符合IETF RFC相关标准,其一致性和互通性得到了权威验证。
Mintegral获2022金瑞营销奖及网络安全等级保护三级认证,为全球增长保驾
近日,由第三方权威机构艾瑞咨询主办的 2022 年度第十七届“iResearch Marketing Awards 金瑞营销奖”获奖名单正式揭晓,致力于表彰在网络营销领域表现突出的互联网营销企业及重大贡献者,帮助广告营销从业者总结当前市场趋势和行业坐标,并为下一步市场动态指明方向。 凭借出众的全球化视野与营销能力,汇量科技旗下程序化互动式广告平台 Mintegral 获称「年度最佳大数据营销平台」;Mintegral 与 SayGames《Race Master 3D - Car Racing》合作的全球推广案例,荣获「年度最佳整合营销案例奖」。
全球首个云渗透测试认证专家课程发布!腾讯安全领衔编制
2月20日,国际云安全联盟CSA发布了“云渗透测试认证专家CCPTP”课程体系,这是全球首个云渗透测试能力培养课程及人才认证项目,有效地弥补了云渗透测试认知的差距和技能人才培养的空白。腾讯安全在该项目中担任核心课程编撰单位。CSA是全球中立权威的非营利产业组织,在全球设立四大区,包括美洲区、欧非区、亚太区和大中华区,现有1000多家单位会员,13万多名个人会员,CSA以其中立性、权威性和专业性,在云计算领域享有盛誉。
cissp ccsp pmp 27001 itil等国际安全大佬认证即将开班,特惠组团!
近期开班证书样例官方机构授权备考交流群(免费领取备考资料)未尽事宜可扫描上方二维码添加好友咨询精彩推荐美韩联合警告关键部门小心朝鲜勒索软件攻击2023.02.13溯源“西安环卫网事件“背后黑产域名抢注引流手法2023.02.10匿名者泄露了俄罗斯 128GB 数据,揭露了FSB 的秘密2022.02.09注:本文由E安全编译报道,转载请联系授权并注明来源。
【漏洞通告】 Jira Service Management Server 和 Data Center 身份认证绕过漏洞
漏洞描述Jira Service Management Server和Data Center是Atlassian旗下的一款面向ITSM(IT服务管理)的企业级解决方案,可高效协助IT团队对客户需求进行分类处理。美创安全实验室监测发现Atlassian官方发布了Jira Service Management Server和Data Center身份认证绕过漏洞的风险通告,漏洞编号:CVE-2023-22501,漏洞等级:高危。该漏洞允许攻击者在某些情况下模拟其他用户并获得对Jira Service Management的访问权限。
【技术原创】Zimbra-SOAP-API开发指南6——预认证
0x00 前言本文将要继续扩充开源代码Zimbra_SOAP_API_Manage的实用功能,添加预认证的登录方式,分享开发细节。0x01 简介本文将要介绍以下内容:预认证计算
8大操作系统联合认证!国产密码证书落地再迎新高度
近日,湖南麒麟信安科技股份有限公司、中科方德软件有限公司、超聚变数字技术有限公司宣布加入 “商用密码证书可信计划”,统信软件技术有限公司也在UOS操作系统加入该计划的基础上新增USmart操作系统,共同推动基于国产密码数字证书的信创环境安全访问体系持续完善。自2021年8月“商用密码证书可信计划”发布至今,奇安信可信浏览器先后推动国内6家主流操作系统厂商、8大操作系统加入该计划,累计共18家CA厂商通过联合认证。这意味着该可信计划得到了众多操作系统厂商和主流CA厂商的广泛认可,推动国产密码证书在浏览器平台的落地应用迈向了新的高度。
漏洞深度分析|Apache iotdb-web-workbench 认证绕过漏洞(CVE-2023-24830)分析
项目介绍IoTDB-Workbench是IoTDB的可视化管理工具,可对IoTDB的数据进行增删改查、权限控制等。项目地址https://github.com/apache/iotdb-web-workbench漏洞概述Apache iotdb-web-workbench 由于硬编码了jwt token加密密钥,导致攻击者可以伪造token,从而绕过认证访问敏感接口。
2023年十大顶级云安全认证
随着云计算的普及,云安全已经成为发展最为迅猛的网络安全细分市场之一。许多云安全专业人士都期望通过获取相关权威认证来提高学习水平,进一步打开职业发展空间。在网络安全行业数十年历史中,存在一些业界耳熟能详的老牌知名认证,例如(ISC)²的CISSP(于1994年发布),ISACA的CISA(可以追溯到1978年)。这些老牌认证在不断增加云安全的知识内容,但并不能取代专业的云安全认证。但是,如何选择云安全认证依然困扰着很多专业人士,因为云安全认证大多诞生不久,且近年来认证数量增长很快,容易“挑花了眼”。
Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证
来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram 等应用的登录系统中发现新的漏洞,任何人都可以绕过 Facebook 的双因素身份验证。研究员 Gtm Mänôz 向 TechCrunch 表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于 SMS 的双因素认证”。Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta 没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。
Apache Shiro身份认证绕过漏洞(CVE-2023-22602)通告
阅读: 6一、漏洞概述近日,绿盟科技CERT监测发现Apache官方修复了一个身份认证绕过漏洞。当在2.6+版本的Spring Boot中使用Apache Shiro,且Shiro与Spring Boot使用不同的路径匹配模式时,无需身份验证的攻击者可以用此漏洞构造特制的HTTP请求绕过身份验证访问后台功能,请相关用户采取措施进行防护。Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。使用Shiro的API,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的Web和企业应用程序。
Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证
IT之家 1 月 31 日消息,来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram 等应用的登录系统中发现新的漏洞,任何人都可以绕过 Facebook 的双因素身份验证。研究员 Gtm Mänôz 向 TechCrunch 表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于 SMS 的双因素认证”。Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta 没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。
实力认证 | 2023年度CAPPVD漏洞库技术支撑单位名单公示
2023年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称“CAPPVD漏洞库”)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2021-2022年度的支撑情况开展能力评定,最终确定31家单位入选为2023年度CAPPVD漏洞库技术支撑单位,梆梆安全凭借在移动应用安全和物联网安全行业专业的安全技术能力、自主研发的支撑工具平台、优质高效的安全服务能力,成功入选并荣获技术支撑单位证书。2021-2022年度,梆梆安全积极参与CAPPVD举行的各项主题活动并分享技术创新与行业趋势,一如既往地全力支撑国家移动互联网APP产品安全漏洞管理工作。
CVE-2022-25237 Bonitasoft 认证绕过和RCE漏洞分析及复现
前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。
一、漏洞原理
漏洞简述
Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;
Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。
Bonita Web 2021.2版本受到认证绕过影响,因为其API认证过滤器的过滤模式过于宽泛。
通过添加恶意构造的字符串到API URL,普通用户可以访问需特权的API端点。
发布时间:2023-01-11 17:11 |
阅读:305528 | 评论:0 |
标签:漏洞 Bonitasoft Bonitasoft 认证绕过 CVE-2022-25237 RCE漏洞分 CVE 分析 R
行业 | 可信计算产品联合认证工作取得阶段性成果
扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063可信计算产品联合认证工作近日取得阶段性成果,1月5日,中关村可信计算产业联盟和公安部第三研究所在京共同主办首批可信计算认证产品发布会,14款可信计算产品检测顺利通过专家评审并获颁证书。可信计算产品联合认证是落实安全可信相关国家法律法规和政策要求,进一步推进、推广安全可信产品的一项重要举措。
发布时间:2023-01-07 00:15 |
阅读:227066 | 评论:0 |
标签:认证
再添软实力!中电安科首批通过可信计算产品认证
日前,中关村可信计算产业联盟和公安部第三研究所共同推进的可信计算产品联合认证工作,首批14款可信计算产品检测工作顺利通过专家评审,中电安科工控安全监测审计系统凭借其在工控网络异常行为检测和深度分析方面的突出能力,领跑行业首批通过可信计算产品联合认证。可信计算产品联合认证是落实安全可信相关国家法律法规和政策要求,进一步推进、推广安全可信产品的一项重要举措。在此背景下,中关村可信计算产业联盟和公安部计算机信息系统安全产品质量监督检验中心共同组织了此次可信计算产品联合认证检测工作。经过一年多的精心筹备和组织,包括中电安科工控安全监测审计系统在内的14款可信计算产品凭借着出色的表现通过评审认证。
发布时间:2023-01-05 19:21 |
阅读:121050 | 评论:0 |
标签:认证
论个人信息出境认证与安全评估、标准合同的关系
文│中央财经大学副教授 张金平个人信息跨境流动是当今数字经济全球化的常态,同时个人信息保护也是国际共识,《全面与进步跨太平洋全面伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)和《数字经济伙伴关系协定》(DEPA)等多边条约都对成员的个人信息保护作出明确要求。我国《个人信息保护法》在设计个人信息跨境提供(简称“出境”)监管制度时,结合国内监管需求和国际监管经验,在第 38 条第 1 款规定了个人信息出境安全评估、认证和标准合同的三种主要合法出境的方式。目前,国家互联网信息办公室已经出台《数据出境安全评估办法》,并公布《个人信息出境标准合同规定(征求意见稿)》。
专题·个人信息保护认证 | 论个人信息出境认证与安全评估、标准合同的关系
#《关于实施个人信息保护认证的公告》出台解读 8个 扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063文│中央财经大学副教授 张金平个人信息跨境流动是当今数字经济全球化的常态,同时个人信息保护也是国际共识,《全面与进步跨太平洋全面伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)和《数字经济伙伴关系协定》(DEPA)等多边条约都对成员的个人信息保护作出明确要求。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
❤用费0款退球星,年1期效有员会
