- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全
攻防实战:数据窃取技术详解
一、概述(Overview)数据窃取是指未经授权地、隐蔽地将敏感数据从受控的内部网络复制并转移到攻击者控制的外部位置的过程。 网络犯罪分子攻击公司的目的各异,但多数情况下最终目标是数据泄露,即将窃取的敏感数据在暗网出售或公开。 二、数据窃取的核心用途(CoreUseCasesofDataExfiltration)直接窃取数据(DirectDataTheft/TraditionalExfiltration):-**场景**:将收集到的敏感数据从组织网络单向移出到攻击者控制的服务器 通常涉及持续的数据发送和接收。三、基于常见网络协议的数据窃取技术#####A.TCP套接字窃取(TCPSocketExfiltration)原理与适用场景:直接利用TCP套接字建立连接并传输数据。 DNS数据窃取(DNSDataExfiltration)DNS数据窃取是一种将敏感数据编码后,通过一系列DNS查询发送到攻击者控制的DNS服务器的网络攻击。
56541编辑于 2025-12-31 - 来自专栏Khan安全团队
XSS 从 PDF 中窃取数据
<script>x=newXMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/hosts’);x.send();</script><script>x=new XMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/passwd’);x.send();</script>
33910编辑于 2025-04-28 - 来自专栏程序人生 阅读快乐
Java 8实战
本书全面介绍了Java 8 这个里程碑版本的新特性,包括Lambdas、流和函数式编程。有了函数式的编程特性,可以让代码更简洁,同时也能自动化地利用多核硬件。 全书分四个部分:基础知识、函数式数据处理、高效Java 8 编程和超越Java 8,清晰明了地向读者展现了一幅Java 与时俱进的现代化画卷。
58810发布于 2018-10-10 - 来自专栏FreeBuf
防范数据窃取从了解其手法做起
数据窃取是针对组织攻击链中的最后一个阶段。攻击者窃取数据的技术可谓花样百出,网上也有大量关于数据窃取方面的技术文档以及工具。 工欲善其事必先利其器,防范数据窃取必须先熟悉其使用的手段。文中所提及的大多数技术涉及直接的内部到外部数据窃取。需要说明的是这并不是一个完整版本,如果你知道的更多,那么请在评论处留言并告知我们! Anon paste站点例如pastebin甚至是github,都为我们提供了一个数据窃取的简易通道。许多技术组织通常都会允许Github的使用。 X509证书可以被嵌入到二进制数据中,因此可用于传输数据。 www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/ 磁:ODINI和MAGNETO攻击可以利用计算机处理器产生的磁信号来窃取数据
73530发布于 2018-08-21 - 来自专栏安恒网络空间安全讲武堂
用css绕过同源策略跨域窃取数据
最后我们就 可以通过这样的方式完成跨域窃取敏感信息,数据甚至可能包含csrf所需的token,或者更敏感的个人信息。 攻击的一些前提约束 要窃取的数据必须在payload1和payload2之间。 要窃取的数据不能同时存在单引号和双引号,否则会破坏解析的结构。 (数据最后要被解析为css一个属性的值) 要窃取的数据不能包含换行符(css值不支持多行) 这些条件在现代的编码风格下是很难遇到,尤其是不允许出现换行。 我们需要一个可以写任意字符串的属性,这样才能导入我们要窃取的数据。”font-family”是最佳的选择。 PoC (Chrome 43, Safari 8 or iOS 8): http://innerht.ml/csstheft/phpinfo.html ?
1.5K90发布于 2018-02-06 - 来自专栏大前端666
Vue实战—菜单栏商品展示数据交互(8)
上篇我们将菜单栏,商品展示结构完成,本次我们为这两个部分接入数据。 1556704730382.png 菜单栏接入数据 导入组件,定义需要的数据格式 <script> // 导入BScroll 滚动组件 import BScroll from "better-scroll "; // 导入Food 商品页面 import Food from "components/Food/Food"; export default { data() { //准备需要的数据,初始化组件 : {} }; }, //引用组件 components: { BScroll, Food } }; </script> 通过created钩子发起请求获取数据 之前我们说过在created钩子,mounted钩子内可以发起请求,请求需要的数据。
1.2K01发布于 2019-07-22 - 来自专栏小工匠聊架构
Java 8 - Stream实战
---- Pre Java 8 - Stream流骚操作解读 Java 8 - Stream流骚操作解读2_归约操作 都学了这俩,是不是该出来练一练了? ? 练习 基础数据 Trader raoul = new Trader("Raoul", "Cambridge"); Trader mario = new Trader("Mario" ---- (8) 找到交易额最小的交易 Optional<Integer> minValue = transactions.stream().map(Transaction::getValue () .min(comparing(Transaction::getValue)); ---- 附 Trader & Transaction package com.artisan.java8. toString(){ return "Trader:"+this.name + " in " + this.city; } } package com.artisan.java8.
39210发布于 2021-08-17 - 来自专栏网络安全
DeepSeek 恶意 Python 包,正在窃取你的数据
研究人员发现,Python 软件包索引(PyPi)中植入了恶意的、模仿 DeepSeek 的软件包,这些代码实际上携带着信息窃取程序。 研究人员指出,“deepseeek” 和 “deepseekai” 在执行时会释放信息窃取程序,以窃取敏感数据,包括 API 密钥、数据库凭证和权限。
51910编辑于 2025-02-06 - 来自专栏小工匠聊架构
Java 8 - Optional实战
---- Pre Java 8 - Optional全解相信你已经了解,有效地使用 Optional 类意味着你需要对如何处理存在缺失值进行全面的反思。
53520发布于 2021-08-17 - 来自专栏做全栈攻城狮
Python开发实战教程(8)-向网页提交获取数据
基础没有学习的话建议先查看文章学习基础目录:Python开发实战系列教程-链接汇总,持续更新。进行学习。 最近几天感冒中,四肢乏力以及最近比较忙导致,更新较慢。还请见谅。 概述 很多时候我们需要给网页提交数据,例如:登陆界面 ? 贴吧的帖子的发布: 这些都要求我们进行数据的提交。而众所周知,很多时候我们也需要使用python发送请求获取数据。 ? 天气情况中文天气情况拼音风向风级温度体感指数数值体感度指数体感度指数说明体感温度紫外线指数数值紫外线指数紫外线指数说明空调指数数值空调指数空调指数说明污染指数数值污染物扩散条件污染指数说明洗车指数数值洗车指数洗车指数说明穿衣指数数值穿衣指数穿衣说明感冒指数数值感冒指数感冒指数说明运动指数数值运动指数运动指数说明天气预报日期生活日期指数日期 此接口get请求提交数据代码 post提交数据: ? 本文章即兴可能 尚有许多问题,还请有问题的话 请在下方讨论区。进行讨论。 几天之后,文章将更新有规律。感谢支持,做全栈攻城狮。 下篇:Python教程:操作数据库,MySql的安装详解
1K30发布于 2018-12-20 - 来自专栏大数据文摘
“窃取用户数据”?看阿里如何应对
支付宝与付费通终止合作后,网上突然出现很多支付宝“窃取用户数据”的言论。商务合作终止固然遗憾,但“盗窃”的罪名更重大,尤其是涉及到大家非常关注的数据问题。 毫无疑问我们非常看重数据,数据将会成为改善全社会商业环境的重要资源,我们坚信数据的力量和价值。阿里巴巴从五年前就确定“开放的数据平台”作为自己的战略目标,并且重兵布局云计算和大数据。 基于这样的理解,我们认为数据的商业价值在于运用而不在控制,我们认为数据只有在交换、分享中才能发挥更大的价值,数据会越用价值越高。因此,我们并不担心获取数据的途径,更绝不会用不光彩的手段去获取数据! 如何有效地发挥这些数据的价值,建立一种数据交换以及数据标准的能力,我们的思考才刚刚开始。 4、大数据是无数用户的个体数据积累起来的,但看起来运用和发挥数据价值似乎变成了大机构的专利。这其中如何具体保护客户的隐私和利益?大数据对于每个人的价值又在哪里?
69950发布于 2018-05-21 - 来自专栏火绒安全
AgentTesla病毒解析:利用钓鱼邮件窃取终端隐私数据
当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。 ͼƬ2.png AgentTesla病毒样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。 AgentTesla病毒的主要危害是窃取用户终端中的隐私数据,隐私数据包括用户浏览器登录凭证、FTP软件登录凭证、电子邮件登录凭证、键盘记录信息、屏幕截图、用户系统配置信息等。
73620编辑于 2022-05-20 - 来自专栏AILearning
【机器学习实战】第8章 预测数值型数据:回归
第8章 预测数值型数据:回归 <script type="text/javascript" src="http://cdn.mathjax.org/mathjax/latest/MathJax.js? * (xMat.T*yMat) return ws def regression1(): xArr, yArr = loadDataSet("input/8. ], yHat) plt.show() 完整代码地址: https://github.com/apachecn/MachineLearning/blob/master/src/python/8. ,并生成数据矩阵 def setDataCollect(retX, retY): scrapePage(retX, retY, 'input/8.Regression/setHtml 例子中有 8 个特征,消除其中两个后不仅使模型更易理解,同时还降低了预测误差。对照上图,左侧是参数缩减过于严厉的结果,而右侧是无缩减的效果。 方差是可以度量的。
2.2K60发布于 2018-01-05 - 来自专栏EdisonTalk
MongoDB入门实战教程(8)
、时序数据 比如:智慧城市、智慧交通场景下的监控数据 痛点总结: 数据点采集频繁,数据量太多,索引也很大! 即 利用文档内嵌数组,将一个时间段的数据聚合到一个文档里。 5 总结 本文简单介绍了MongoDB的模型设计中的三大类常用设计模式:表现形式类、数据访问类 和 组织结构类。 本系列教程目录: MongoDB入门实战教程(1) MongoDB入门实战教程(2) MongoDB入门实战教程(3) MongoDB入门实战教程(4) MongoDB入门实战教程(5) MongoDB 入门实战教程(6) MongoDB入门实战教程(7) 参考资料 唐建法,《MongoDB高手课》(极客时间) 郭远威,《MongoDB实战指南》(图书) 作者:周旭龙 出处:https://edisonchou.cnblogs.com
78950发布于 2021-06-29 - 来自专栏xingoo, 一个梦想做发明家的程序员
【Spring实战】—— 8 自动装配
xml version="1.0" encoding="UTF-8"? xml version="1.0" encoding="UTF-8"?
690100发布于 2018-01-17 154个数据库被黑客窃取?ASML回应
1月8日消息,一位网名为“1011”的黑客在暗网论坛BreachForums上发文称,已成功入侵荷兰半导体设备供应商ASML的系统,并获得了该公司旗下的154个SQL格式的数据库。 该黑客声称,此次窃取的信息涵盖多类敏感数据,包括磁盘加密密钥、用户数据(用户名/密码)、软件信息以及特定设备的详细信息。 如果消息属实,这将远远超出一般的客户数据泄露事件,将会对ASML公司带来严重的负面影响。这意味着攻击者攻破了ASML的安全系统,并可以访问ASML公司高度敏感的数据。 不过,ASML在最新发布的声明中否认了公司遭黑客窃取数据的说法。 “ASML注意到2026年1月6日在BreachForums上发布的一篇帖子,该帖子声称公司信息被泄露。 所提及的文档中没有来自ASML的数据。”ASML在声明中写道。 第三方的安全研究团队经过分析后也认为,黑客“1011”兜售的所谓ASML的数据实际上毫无用处。
8810编辑于 2026-03-19浏览器“隐私”扩展被曝窃取AI对话数据
浏览器“隐私”扩展被曝窃取AI对话数据据Koi Security的研究报告,四款声称保护隐私的流行浏览器扩展程序实则背道而驰。 这些恶意插件一直在窃取超过800万用户的聊天机器人对话文本,并将其发送回开发者。 达迪克曼解释道,数据收集功能通过硬编码的配置标志默认启用。“没有面向用户的开关可以禁用此功能。停止数据收集的唯一方法是彻底卸载该扩展。” 他说,“要么是审核没有检查从某中心自家AI产品(Gemini)窃取对话的代码,要么是检查了但不认为这是个问题。” 该政策允许在有限场景(例如安全或业务所有权变更)下将数据传输给第三方,但这些场景不包括将数据传输给数据代理。
32210编辑于 2026-01-01- 来自专栏腾讯安全应急响应中心
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证
图片 1.png 0x02 手法分析 radar-cms包 恶意功能触发方式相对常见,在package.json 中的postinstall字段添加了一段恶意命令,功能是在安装radar-cms包时,窃取 图片 2.png 其中 kubeconfig 文件 是用于配置k8s集群访问信息的文件。 此外,k8s 的组件都可以使用 kubeconfig 连接 apiserver,client-go 、operator、helm 等其他组件也使用 kubeconfig 访问 apiserver。 相比于之前发现的多起NPM投毒案例,此次投毒的目的有些许变化,此前投毒以控制主机为主要目的,而此次更加倾向于攻击云原生基础设施,窃取关键配置文件,这可能与云原生的火热发展有关。
98210发布于 2021-02-24 - 来自专栏数据猿
美国大规模窃取全球数据 该用什么来保障中国数据安全?
斯诺登曾说不想生活在一个一言一行都被记录的世界,但近十年来,美国的窃取数据行动不断被曝光,中国的数据安全又将走向何方? 美国的窃取数据丑闻不止于此,自2013年斯诺登曝光棱镜计划开始,美国的数据窃取行为就如同浮出的冰山一角,其水下的庞大组织逐渐曝光。 在已公布的资料中,中国目前主要面临三种数据窃取风险。 图源:维基百科 首先是技术上的攻击,不同的技术将针对不同的通信环节。 2021年全球社交平台用户量排名,图源:Hootsuite 但在2020 年 8 月 6 日,美国前任总统特朗普发布行政命令,以Tik Tok存在安全风险为由要求字节跳动在 45 天内将 TikTok 中国信创产业政策 可以预见,接下来围绕数据安全的全球攻防战,将愈发激烈。美国系统性攻击他国网络、窃取他国数据的行为,将会持续进行。
1K30编辑于 2022-09-04 - 来自专栏玄魂工作室
CTF实战8 SQL注入漏洞
是我们的第二个实战课程 我们还是那句话先 重要声明 该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关 SQL注入漏洞产生的原因 SQL 注入(SQL Injection) 是程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患 用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作 获取数据库数据库,提权 那么第一问题来了 那如何判断一个SQL注入点呢 判断注入点 最简单的方法,引入单引号 http://host/test.php? php + mysql Jsp + oracle Jsp + mysql 如果你发现了一个网站是用php的,那这个网站的数据库很有可能就是MySQL 当然我们也可以在单引号报错里面知道是什么数据库 获取数据库列表 id=12 UNION SELECT null, null, name,null FROM master..sysdatabases 获取当前数据库名 id =12 UNION
2K30发布于 2018-07-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号