记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Coremail邮箱系统漏洞复现

     该漏洞已经提交,以下内容仅限学习    在蓝队游啊游的时候,微信群里有老哥发了一张截图,内容说coremail邮箱系统漏洞攻击事件,这就让我这本身困意慢慢顿时充满精神。    利用方法都在上面了,那就找随便找个资产试试(不能确定百分百成功嗷,成功几率咱也不知道)。
发布时间:2021-04-17 10:18 | 阅读:7319 | 评论:0 | 标签:漏洞 AI

Project Zero 对Windows Server Containers 容器逃逸漏洞的研究

这是一篇简短的研究文章, 内容涉及我在Windows Server Containers上进行的一项研究项目,Microsoft在2021年3月修复了我在Windows Server Containers容器中发现的四个特权提升漏洞。0x01 Windows容器介绍Windows 10及其与之对应的服务器增加了对应用程序容器化的支持。Windows中的实现在概念上与Linux容器相似,但是也有很大的不同。众所周知的Docker平台支持Windows容器,从而可以使相关项目(例如在Windows上运行的Kubernetes)可用。你可以在MSDN上的Windows容器上阅读一些背景知识。
发布时间:2021-04-15 11:48 | 阅读:2655 | 评论:0 | 标签:漏洞 AI windows 容器逃逸

Akamai报告其史上第三大DDoS攻击事件!欧洲博弈网站惨遭824Gbps大流量攻击

知道创宇云防御 Author 宇妹 知道创宇云防御 恶意流量清洗服务-抗D保。Web业务系统防入侵服务-创宇盾。安全CDN网页访问加速服务-加速乐。 根据腾讯发布《2020年DDoS威胁白皮书》,2020年DDoS攻击次数同比增长135%。DDoS攻击形式不断演变,比以往更复杂、频率更大、危害更大,预计2021年DDoS攻击形式将更加严峻。报告发出后不久,欧洲某业务网站遭遇了一场流量峰值达到824Gbps的大规模DDoS攻击(Akamai表示是其平台防御的第三大DDoS攻击)。
发布时间:2021-04-14 14:03 | 阅读:8108 | 评论:0 | 标签:ddos 攻击 AI

英伟达推出面向网络安全的AI框架Morpheus

在当地时间今天上午的GTC 2021虚拟主题演讲中,NVIDIA宣布了一个 "云原生 "应用框架Morpheus,旨在为网络安全合作伙伴提供可用于检测和缓解网络安全攻击的AI技能。利用机器学习,Morpheus可以识别、捕获威胁和异常情况,包括敏感数据的泄露、网络钓鱼企图和恶意软件,并对其采取行动。Morpheus从今天开始提供预览版,开发者可以在NVIDIA的官网页面上申请早期访问:https://developer.nvidia.com/morpheusMarkets and Markets预测,到2026年,AI在网络安全市场的价值将达到382亿美元。
发布时间:2021-04-13 11:40 | 阅读:8814 | 评论:0 | 标签:AI 网络安全 安全 网络

On the Insecurity of SMS One-Time Password Messages Against Local Attackers in Modern Mobile Devices

作者:Zeyu Lei1, Yuhong Nan1, Yanick Fratantonios2, Antonio Bianchi1 单位:1Purdue University(普渡大学), 2EURECOM(欧洲通信学院) & Cisco Talos(思科安全智能研究
发布时间:2021-04-09 01:00 | 阅读:8490 | 评论:0 | 标签:mobile AI

DIANE-Identifying Fuzzing Triggers in Apps to Generate Under-constrained Inputs for IoT Devices

作者:Nilo Redini, Andrea Continella, Dipanjan Das, Giulio De Pasquale, Noah Spahn, Aravind Machiry, Antonio Bianchi, Christopher Kruegel and Giovanni Vigna 单位:UC Santa Barbara, University of
发布时间:2021-04-09 01:00 | 阅读:8349 | 评论:0 | 标签:app AI

Defense Mechanisms Against DDoS Attacks in a Cloud Computing Environment-State-of-the-Art and Research Challenges

作者:Neha Agrawal;Shashikala Tapaswi 单位:Amity University Gwalior; Indian Institute of Technology Indore 来源:IEEE COMMUNICATIONS SURVEYS & TUTORIALS 2019.11 连接:Defense Me
发布时间:2021-04-09 01:00 | 阅读:7401 | 评论:0 | 标签:ddos AI

POP and PUSH-Demystifying and Defending Against Port-Oriented Programming

作者:Min Zheng∗, Xiaolong Bai∗, Yajin Zhou†⋆ , Chao Zhang‡§ and Fuping Qu∗ 单位:∗ Orion Security Lab, Alibaba Group,† Zhejiang University,‡ Institute for Network Science
发布时间:2021-04-09 01:00 | 阅读:8372 | 评论:0 | 标签:AI

时间同步软件 Domain Time II 漏洞已存在14年,大量明星企业易受供应链攻击

 聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
发布时间:2021-04-08 21:26 | 阅读:7862 | 评论:0 | 标签:漏洞 攻击 AI

活动 | coremailSRC邀你来找茬,发现漏洞快提交还有奖励可领!

漏洞提交地点:https://coremail.butian.net/ 活动简介2020年4月20日,Coremail论客安全应急响应中心(Coremail SRC)正式上线启用,面向公众收集安全漏洞信息与安全情报。Coremail SRC旨在联合众多安全专家、白帽子研究员共同发现潜在的安全威胁,为用户提供全方位的安全保护。 活动时间2021年4月1日~4月10日 参与方式参与者可在Coremail SRC测试平台进行漏洞挖掘,然后通过补天漏洞响应平台(https://coremail.butian.net/)提交漏洞报告即可。
发布时间:2021-04-06 19:57 | 阅读:14275 | 评论:0 | 标签:漏洞 AI src

赏金计划 |coremail论客邮件安全邀你发现恶意样本,提交还有奖励可领!

活动时间2021年4月1日-2021年4月30日恶意附件样本提交奖励方案参与方式为了更好地保护企业邮件安全,coremail论客邮件安全发起“恶意附件样本提交激励计划”。如果您收到了可疑或明显恶意的电子邮件(含木马病毒),请直接转发至cac-team@coremail.cn上传举报。奖金计划coremail论客邮件安全准备了丰厚的现金奖励,不限数量,根据样本质量,将分三档奖金计划进行激励。
发布时间:2021-04-06 17:22 | 阅读:7887 | 评论:0 | 标签:AI 安全

基于AI的xx专题研究

xx是深网中的一小部分,是必须通过特殊的软件、特殊的配置才能访问的拥有特殊域名的Web站点,搜索引擎无法对其进行直接检索。它的网址不同于一般的网址,它以顶级域名后缀“.onion”结尾,且一般的浏览器无法对其进行访问,只有通过暗网的浏览器才能是必须通过特殊的软件、特殊的配置才能访问的拥有特殊域名的Web站点,搜索引擎无法对其进行直接检索。
发布时间:2021-04-06 17:22 | 阅读:7790 | 评论:0 | 标签:AI

媒体采访 | 知道创宇:AI+大数据,源头防控数据泄露

近日,《常见类型移动互联网应用程序必要个人信息范围规定》(下简称《规定》)由国家互联网信息办公室、工业和信息化部、公安部、国家监督管理总局联合印发,并将于今年5月1日起正式实施。《规定》明确了常用移动互联网应用程序(App)收集必要个人信息的范围,并要求运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。对此,北京电视台采访了知道创宇安全专家潘少华。知道创宇安全专家潘少华接受北京电视台采访个人信息保护从减少不必要的信息收集开始互联网自诞生以来,极大提升了人们的生产生活效率,数字政务、平台经济、社交网络……互联互通使得人与人之间交流打破了时空限制。
发布时间:2021-04-05 11:33 | 阅读:17540 | 评论:0 | 标签:大数据 泄露 AI

KubraKai:监控方案中的捣蛋派

Kubernetes???等等,什么是Kubernetes?随着行业正在转向“容器化”的世界,越来越多的公司正在使用Kubernetes(K8s)作为容器编排工具,从而能够为运行现代的、面向云端的应用程序提供DevOps的抽象。Kubernetes由谷歌于2014年开发,目前由云原生基金会维护,通过对容器(Containers)的利用和管理,任何公司都能够在具备硬件成本竞争力的数据中心运行自己的代码和程序。而以此达到的可扩展性,能够与世界上最大的公司相比拟。KubraKai,解决方案中的捣蛋派抛开炒作不谈,Kubernetes仍然有缺点。
发布时间:2021-04-05 08:55 | 阅读:15854 | 评论:0 | 标签:AI

AI审核时代,互联网内容安全的最后守门人

#内容安全 9个 “网络空间不是法外之地,清朗网络我们守护。“而我们是谁?2020年,国家网信办动作不断,严厉打击各类互联网违法违规行为。公开信息显示,全国网信系统去年依法约谈网站4282家,对4551家网站给予警告,暂停更新网站1994家,会同电信主管部门取消违法网站许可或备案、关闭违法网站18489家。净化网络环境的任务是长期的,2021年,国家网信办打击互联网违法违规行为将成常态。监管通报可能会导致平台停运、停更,并伴随着网民的巨大争议。
发布时间:2021-04-01 21:16 | 阅读:13321 | 评论:0 | 标签:AI 安全

容器运行时Containerd基础

#Docker 36个 本文目录:一、安装Containerd二、运行一个busybox镜像三、创建CNI网络四、使containerd容器具备网络功能五、与宿主机共享目录六、与其它容器共
发布时间:2021-04-01 21:15 | 阅读:6762 | 评论:0 | 标签:AI

黑产瞄上人脸识别漏洞 国家级AI安全底座建设迫在眉睫

刷脸支付,刷脸乘车,刷脸签到……这些应用都需要采集人脸信息,但你想过自己的人脸信息或许会被盗用吗?3月30日,新华每日电讯报道一起破解AI人脸识别技术,注册“皮包公司”用于虚开增值税普通发票的案件,涉案金额超过5亿元。在该案件中,犯罪嫌疑人从他处低价购买他人高清头像及身份信息,利用手机App进行处理让照片“动起来”,从而制作包括点头、张嘴、眨眼、摇头等动作在内的视频。掌握了这些视频,犯罪嫌疑人便可在人脸认证环节顺利通过认证……无独有偶,《人脸识别应用公众调研报告(2020)》指出,六成受访者认为人脸识别技术有遭到滥用的趋势,三成受访者表示已因人脸信息泄露、滥用而遭受损失。
发布时间:2021-04-01 21:02 | 阅读:10554 | 评论:0 | 标签:漏洞 AI 安全 人脸

SunCrypt勒索软件:eCh0raix新型衍生变种

介绍恶意软件作者在编写新的恶意软件时通常会重用自己写过的代码,因此在做恶意软件的关联分析时,常通过代码段的对比来作为判别标准,但需要注意的是,这类代码需要具有强烈的标识性,能将其归因到具体的组织或个人。随着新型攻击组织和恶意软件的不断涌现,“老酒装新瓶”现象也时常发生,例如GandCrab运营团队在2019年5月间宣布将停止勒索软件活动,但不久后又出现了一种名为REvil(也被称为Sodinokibi)的新型勒索软件,两者的代码具有很强的相似性,表明当GandCrab勒索软件关停期间,其作者用GandCrab的部分代码又开发出了一款新的勒索软件。
发布时间:2021-04-01 13:38 | 阅读:12803 | 评论:0 | 标签:AI 勒索

智能设备分析第二篇: 华为智联旗下小豚 AI 摄像头的完整分析(下)

作者:Yimi Hu & Light @ PwnMonkeyLab原文链接:https://mp.weixin.qq.com/s/Vag9k6feE9IONJYWhkq_pw简介本篇我们继续分享一些关于华为智联旗下小豚AI摄像头的研究内容,在上一篇文章中,我们已经通过串口顺利登录设备的Linux操作系统,接下来我们还会介绍两种登录设备系统的方法,可以在串口无法使用时发挥作用。下文中,我们需要编译可以在摄像头设备中正常运行的程序,所以开始之前,先要把SDK开发环境配置好,比如说交叉编译器等。好在我们买到的SDK还不错,该有的文档、必要的脚本一个都不差,按照指示步骤逐步操作即可。
发布时间:2021-04-01 13:38 | 阅读:11176 | 评论:0 | 标签:AI 智能

腾讯Blade Team研究入选AI顶会,Deepfake能力或比想象中更强大

计算机视觉领域世界三大顶会之一的CVPR 2021论文接收结果于近日出炉,接收率约为27.3%,竞争十分激烈,腾讯安全研究团队Blade Team以其在AI安全领域的突破性发现成功入选。此次腾讯Blade Team被收录的论文题为《MagDR:Mask-guided Detection and Reconstruction for Defending Deepfakes》,首次公开了一种能够消除对抗样本对Deepfake的干扰攻击的方法,该方法为防止深度伪造能力的滥用提出了创新思考。同时,该发现也能用于提升AI图像处理的安全性。
发布时间:2021-04-01 13:38 | 阅读:8279 | 评论:0 | 标签:AI deepfake

智能设备分析第一篇: 华为智联旗下小豚 AI 摄像头的完整分析(上)

作者:Yimi Hu & Light @ PwnMonkeyLab原文链接:https://mp.weixin.qq.com/s/tBzJH2fN2UadWxgDnpLGvg简介诸位好久不见,[胖猴小玩闹]专题从这篇起将开始一个新的系列,即智能设备分析系列。旧的系列并没有结束,而且文章也已经写好了,只是在发送之前又不小心发现了一些漏洞,所以就暂且放一放吧。作为新系列的开篇,我们打算分享一下华为智联旗下的小豚AI摄像头,这也是我们在2020年某AIoT安全峰会上的分享内容。
发布时间:2021-04-01 10:53 | 阅读:14987 | 评论:0 | 标签:AI 智能

一种实现ISAIEC 62443操作技术标准的零信任应用简化模型

原文标题:一种实现ISA/IEC 62443操作技术标准的零信任应用简化模型。本文译自https://lookbook.tenable.com网站“Simplifying Adoption of ISA/IEC 62443 Using theZero Trust Model for Operational Technology”白皮书。一、简介根据波耐蒙研究所(PonemonInstitute)的一项研究,在依赖操作技术(OT)和工业控制系统(ICS)的所有组织和公司中,有一半由于网络事故而遭受了操作技术(OT)和工业控制系统(ICS)的中断或影响,导致工厂或生产设备停机。
发布时间:2021-03-31 15:32 | 阅读:11157 | 评论:0 | 标签:AI

实战有效,运营高效!360AISA全流量威胁分析系统护航实网攻防演习

近日, 360政企安全集团组织开展了一场为期三天的网络安全实战攻防演习,秉持“实兵、实网、实战、实效”原则,依托360新一代实网攻防靶场平台,完全还原真实战场。在本次攻防演练中,攻击队采用了社会工程学攻击、物理近源攻击、无文件攻击以及0day漏洞攻击等多种攻击方式。在第一天的攻防演习中,攻击队通过以“公司全员新春福利”为主题的多组钓鱼邮件发送至全体同事邮箱发起攻击。
发布时间:2021-03-25 14:35 | 阅读:13321 | 评论:0 | 标签:AI 攻防

【胖猴小玩闹】智能设备分析: 华为智联旗下小豚AI摄像头的完整分析(下)

1. 简介本篇我们继续分享一些关于华为智联旗下小豚AI摄像头的研究内容,在上一篇文章中,我们已经通过串口顺利登录设备的Linux操作系统,接下来我们还会介绍两种登录设备系统的方法,可以在串口无法使用时发挥作用。下文中,我们需要编译可以在摄像头设备中正常运行的程序,所以开始之前,先要把SDK开发环境配置好,比如说交叉编译器等。好在我们买到的SDK还不错,该有的文档、必要的脚本一个都不差,按照指示步骤逐步操作即可。在开发文档中,可以找到配置SDK相关的章节,如下图:图1-1 配置SDK开发环境按照上图中的SDK安装方法,逐步配置完成安装SDK。
发布时间:2021-03-25 14:35 | 阅读:14492 | 评论:0 | 标签:AI 智能

“深度伪造”乱象调查:技术门槛低,AI换脸淫秽视频打包卖

文|吴佳灵 曾玥近期,针对部分语音社交软件和涉“深度伪造”技术的应用未履行安全评估程序,国家互联网信息办公室、公安部指导各地网信部门、公安机关依法约谈了11家企业。“深度伪造”技术是什么?有专家向南都记者介绍,“深度伪造”是指基于深度学习等制作音视频的合成技术,通俗来讲,可以把它理解为一种能够复刻、复现个人生物识别信息的技术。尽管存在一些正向应用,但深度伪造技术也暗藏着财产侵害、人身侵害、危害公共安全甚至国家安全的风险。
发布时间:2021-03-25 08:14 | 阅读:27835 | 评论:0 | 标签:AI

360加码AI安全基础研究,打造国家级人工智能“安全底座”

人脸识别系统频曝漏洞,自动驾驶汽车事故频发……近年来,人工智能领域安全事件频发,如何保障人工智能安全发展成为摆在行业面前的一道必答题。日前,由科技部牵头部署的“科技创新2030‘新一代人工智能’2019年度定向项目启动会暨实施方案论证会”在360公司举办。会上,国家科技部及北京市科委的多位领导莅临指导,来自中科院信工所、中国科学技术发展战略研究院、清华大学等机构、院校的专家学者一致通过了项目实施方案。该项目是360牵头承建的“安全大脑国家新一代人工智能开放创新平台”的重要项目之一,将重点解决人工智能本身存在的安全风险、人工智能创新环境匮乏及在网络安全领域创新成果落地难等问题。
发布时间:2021-03-23 21:51 | 阅读:17290 | 评论:0 | 标签:AI 人工智能 智能 安全

大咖话安全第六期 | Joe Cai:浅析第三方风险管理

第三方风险任何企业在发展的过程中,都避免不了第三方的介入。换句话说,第三方就是伴随着企业高速发展应运而生的,它既能为企业实现既定的战略目标做出贡献,同时也会带给企业一些意料之外的安全隐患。例如第三方已经成为数据泄露的主要途径之一,如何管理第三方风险势必成为每家企业的必修课之一。本期《大咖话安全》我们就第三方这个话题将与嘉宾进行一次深入的探讨,看一看在第三方风险管理中,信安从业者需要关注的要点和应对方法有哪些。
发布时间:2021-03-22 20:17 | 阅读:10069 | 评论:0 | 标签:AI 安全

阿里云同时入选 Gartner 两大 AI 魔力象限报告,安全 AI 落地应用

近日,国际权威研究机构 Gartner 陆续发布2021年数据科学和机器学习平台魔力象限和 2021 年云 AI 开发者服务魔力象限。阿里云凭借 AI 基础设施、产品矩阵和开发者服务等优势,同时入选这两大AI报告。Gartner 2021 年数据科学和机器学习平台魔力象限 Gartner 2021 年云 AI 开发者服务魔力象限得益于阿里云在机器学习和人工智能领域的丰富探索和技术实力,诸多云原生安全产品已将AI落地应用,并基于云上丰富的实战场景不断进行模型的丰富、优化和训练,让安全变得更加智能化、自动化、简单化。
发布时间:2021-03-22 17:42 | 阅读:12891 | 评论:0 | 标签:AI 安全

恶意的火狐扩展程序可以接管Gmail账户

最近发现了一种新型网络攻击,它通过使用一个名为FriarFox的恶意Mozilla Firefox浏览器扩展插件来控制受害者的Gmail帐户。研究人员说,在1月和2月观察到的针对西藏的攻击活动与TA413组织有关,TA413是一个高级持续威胁(APT)组织。研究人员说,这种攻击的幕后组织打算通过监视受害者的Firefox浏览器数据和Gmail信息来收集受害者的隐私。安装扩展插件后,FriarFox会允许网络犯罪分子对用户的Gmail账户和Firefox浏览器的数据进行各种各样的控制。例如,网络犯罪分子能够搜索、阅读、标记、删除、转发和存档邮件,接收Gmail通知,并使用受害者的账户来发送邮件。
发布时间:2021-03-22 13:15 | 阅读:13269 | 评论:0 | 标签:AI

网络攻击的题,AI是个好答案

迈入后疫情时代,人们已逐渐适应通过线上进行日常生活及办公的“新常态”。随着大众对网络的依赖程度越来越高,如何能有效保障网络安全,也变得尤为重要。IEEE高级会员、河海大学教授韩光洁博士表示,“如今,人工智能技术,可以通过提高网络入侵检测的准确性,帮助我们有效抵御网络攻击,从而加强网络安全。”IEEE专家Steven Furnell、Marcos Simplicio 、Aiyappan Pillai和Raul Colcher也分享了他们对网络安全的相关见解。网络攻击:不可忽视的网络安全隐患网络攻击,通常是指针对计算机系统、基础设施、计算机网络或个人计算机设备的攻击行为。
发布时间:2021-03-22 09:58 | 阅读:21173 | 评论:0 | 标签:攻击 AI 网络

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云