- 综合排序
- 最热优先
- 最新优先
- 来自专栏顶象技术业务安全专栏
11月业务安全月报
11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰”IT军团“入侵俄罗斯中央银行导语:随着数字化的深入普及,业务愈加开放互联。 全国首个《信息安全技术关键信息基础设施安全保护要求》发布11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB 国外安全热点以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备 该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响。 2.7万份文件泄露,乌克兰”IT军团“入侵俄罗斯中央银行近日,乌克兰黑客组织——”IT军团“(IT Army)声称已成功俄罗斯中央银行,窃取了2.7万份内部文件。
77550编辑于 2022-12-02 - 来自专栏从ORACLE起航,领略精彩的IT技术。
Oracle 11g 安全加固
1.安全加固的检查方向 2.安全加固检查safeCheck.sh 3.安全加固执行safeExec.sh 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式 ,可以考虑删除scott账号 1.6.dba权限账户检查 select * from dba_role_privs where granted_role='DBA'; 1.7.数据库账户口令加密存储 11g prompt =========================== prompt == 7.数据库账户口令加密存储 prompt =========================== prompt 11g more $ORACLE_HOME/network/admin/sqlnet.ora #添加如下一行 #SQLNET.EXPIRE_TIME=10 针对第9和第10步骤中的sqlnet.ora配置文件示例 : 注意如果是ASM实例,sqlnet.ora配置文件是grid用户下$ORACLE_HOME/network/admin/sqlnet.ora的。
68041编辑于 2023-08-24 - 来自专栏Android 开发者
聚焦 Android 11 : 隐私和安全
Android 安全工程主管 Sudhi Herle 上期 #11WeeksOfAndroid 系列文章中内容我们介绍了 联系人和身份,本期我们将聚焦 隐私和安全 。 Android 11 也持续在这些领域取得重要进展,本文中我们将分享有关 Android 隐私和安全的一系列更新和资源。 但首先,让我们快速浏览一下 Android 11 中那些最为重要的更新,用以保护用户隐私并提高平台的安全性。 Android 11 将为用户提供对敏感权限的更多控制权。 分区存储 在 Android 10 中,我们引入了 分区存储,该功能为外部存储提供了筛选视图,便于用户访问应用特定的文件和媒体集合。 而 Android 11 为其添加了新的模块,同时保持了现有模块的安全属性。例如,可提供密码学原语的 Conscrypt 模块,在 Android 11 中同样能够通过 FIPS 验证。
1.7K30发布于 2020-10-16 - 来自专栏腾讯云开发者社区头条
腾讯云11·11:千亿订单背后的安全“暗战”
这些能力通过多款产品,如业务安全(天御)、主机安全(云镜)、数据安全(数盾)、移动安全(乐固)、账号安全(祝融)、网站与流量安全、内容安全与风控安全,为客户提供安全保障。 本次我们将重点放在电商客户最常遇到的网络安全和业务安全展开介绍。 高防 IP 基于公网 IP 回源,在其他云或 IDC 机房的业务,都可以接入腾讯云高防 IP 的防护 网络安全防御实践 大禹是腾讯云 AI 安全战略的网站安全防御系统,大禹网站高防可抵御 SYN Flood 腾讯云天御系统安全监测方案 腾讯天御产品通过腾讯积累的安全大数据和防刷引擎,精准识别“薅羊毛”的恶意行为,避免企业被刷带来的巨大经济损失。其防御过程大概如下: 1 . 同时,通过提供完整的鉴权会话管理服务,来保证用户的信息安全。
7.1K41发布于 2017-11-13 - 来自专栏For XX - 专注于技术本身
Win10Win11关闭打开应用时弹出打开文件-安全警告弹框
Win10/Win11关闭打开应用时弹出"打开文件-安全警告"弹框 1.开始菜单搜索internet 选项 2.选择安全-自定义级别 3.勾选启用(不安全) 确认即可,再次打开应用就不会弹出安全警告框了
72.9K21编辑于 2022-06-10 - 来自专栏娱乐心理测试
xcode11新增SceneDelegate文件
好久之前跟新到Xcode11,跟新完成后打开以前老项目并未有什么太大变化,也就没有在意,今天新建一个项目,创建完成后,发现多了个SceneDelegate的.m和.h文件,这是什么鬼?它有什么用呢? 原来在iOS13中,AppDelegate的文件结构发生了变化: iOS13以前:AppDelegate处理App生命周期和UI生命周期; iOS13以后:处理 App 生命周期和新的 Scene Session 生命周期,在AppDelegate.h文件中没有了window属性,而是在SceneDelegate中,可见AppDelegate不管理window而是交给SceneDelegate。 makeKeyAndVisible]; } 二.SceneDelegate适配 场景一:不需要支持多个scene,需要兼容iOS13以下,按以往的Appdelegate管理window的方式适配: 打开info.plist文件 2.删掉SceneDelegate文件,注释以下代码: - (UISceneConfiguration *)application:(UIApplication *)application configurationForConnectingSceneSession
2.2K21发布于 2019-12-11 - 来自专栏嘉为动态
微软安全公告—2016年11月
微软于北京时间2016年11月8日发布了14个新的安全公告,其中6个为严重等级,8个为重要等级。 ---- 2016年11月新的安全漏洞 以下是所有安全公告的内容,供您参考。 但是,攻击者必须首先诱使用户在网页或电子邮件中打开经特殊设计的文件或程序。 2013)卸载信息使用控制面板中的添加删除程序详细信息https://technet.microsoft.com/library/security/MS16-133 公告标识:MS16-134标题公用日志文件系统驱动程序安全更新程序 Windows 虚拟硬盘驱动程序不正确地处理用户对某些文件的访问。攻击者可以通过利用此漏洞在不打算提供给用户的位置中操作文件。
1.2K10发布于 2018-12-21 - 来自专栏鸿鹄实验室
国内外安全技术分享(2019年11月11日)
https://ijustwannared.team/2019/11/07/c2-over-rdp-virtual-channels/ 2、Bypassing AngularJS bind HTML ?
35420发布于 2021-04-15 - 来自专栏绿盟科技安全情报
【安全更新】微软11月安全更新多个产品高危漏洞
通告编号:NS-2020-0065 2020-11-11 TAG: 安全更新、Windows、Office、Exchange Server、Defender 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 北京时间11月11日,微软发布11月安全更新补丁,修复了112个安全问题,涉及Microsoft Windows、Microsoft Office、Microsoft Exchange 在nfssvr.sys文件的某函数中,某处字符串ANSI转换为UNICODE后,调用了memcpy,从而造成了缓冲区溢出。 攻击者还可以通过诱使用户打开恶意的文件或网络资源进行利用,达到本地提权或沙箱逃逸的目的。目前该漏洞PoC已公开,并发现在野利用。 攻击者可通过诱导用户打开特制文件来进行利用,成功利用此漏洞的远程攻击者可在目标系统上执行任意代码。
1.3K10发布于 2020-11-16 - 来自专栏啄木鸟软件测试
软件安全性测试(连载11)
"); } 5)使用安全WEB开发框架
2K20发布于 2020-02-10 - 来自专栏Mirror的技术成长
web安全——文件上传
文件上传本身不是漏洞,但如果文件上传功能的限制出现纰漏,允许了不合法且影响网站安全的文件的上传 可以将不合法且影响网站安全稳定性的文件等内容上传的均为“文件上传漏洞” 黑方将文件上传后可通过手段执行以及上传的脚本文件 而文件上传功能是大多web应用均具备的功能(例如图片、附件、头像等)正常的将文件上传是合法的。 move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 10 // No 11 uploaded' ][ 'size' ]; 10 $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 11 而在安全领域下有一个名词:绕过(过狗) 通过Burp代理进行访问后拦击数据包并修改后释放上传 ?
95430发布于 2020-11-13 - 来自专栏用户7881870的专栏
文件系统安全-基于ntfs文件系统的安全设置
NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族的限制级专用的文件系统。 NTFS取代了老式的FAT文件系统。NTFS 提供长文件名、数据保护和恢复,并通过目录和文件许可实现安全性。NTFS 支持大硬盘和在多个硬盘上存储文件。 第五步:将D盘格式化为ntfs文件系统。 第六步:在D盘中创建一个test.txt文件,在里面添加内容为123456。 第七步:右键test文件,点击属性,进入属性界面。 第十三步:打开本地磁盘D,点击test文件,可以访问。 第十四步:切换用户到test2。 第十五步:打开本地磁盘D,点击test文件,无权访问。
95530发布于 2021-05-18 - 来自专栏刘庆红的专栏
iOS 11 安全区域适配总结
导语 本文主要是对iOS 11下APP中tableView内容下移20pt或下移64pt的问题适配的一个总结。 原因分析 原因是iOS 11中Controller的automaticallyAdjustsScrollViewInsets属性被废弃了,所以当tableView超出安全区域时系统自动调整了SafeAreaInsets 安全区域的概念 系统自动调整tableView内容偏移量,是根据安全区域来调整的。安全区域是iOS 11新提出的,如下图所示: 安全区域帮助我们将view放置在整个屏幕的可视的部分。 通过设置iOS 11新增的属性addtionalSafeAreaInset; iOS 11之前,大家是通过将Controller的automaticallyAdjustsScrollViewInsets 那样写是不规范的,只实现高度,而没有实现view,但代码这样写在iOS 11之前是没有问题的,iOS 11之后应该是由于开启了估算行高机制引起了bug。
5.2K20发布于 2017-09-14 - 来自专栏嘉为动态
Red Hat安全公告—2016年11月
在2016年10月份至2016年11月份Red hat CVE漏洞库发布了7个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。 安全公告每月更新一次,旨在查找解决严重的漏洞问题。 ---- 2016年11月新的安全漏洞 以下是所有安全漏洞的内容,供您参考。 CVE名称等级影响组件发布时间CVE-2016- 7054Importantopenssl、openssl098e、openssl097a2016/11/10CVE-2016- 8864Importantbind 、bind972016/11/1CVE-2016- 8705Importantmemcached2016/10/31CVE-2016- 8704Importantmemcached2016/10/31CVE ,请以网站上的安全公告内容为准。
73660发布于 2018-12-21 - 来自专栏测试邦
11款常用的安全测试工具
AppScan 一款安全漏洞扫描工具,支持Web和移动,现在安全测试做漏洞扫描非常适用,它相当于是"探索"和"测试"的过程,最终生成很直观的测试报告,有助于研发人员分析和修复通常安全测试工具用这个 它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 Drozer MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。 官网:https://www.tenable.com/downloads/nessus 参考:https://www.cnblogs.com/cheyunhua/p/8084459.html 11. zap 它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。
11.2K30发布于 2019-09-16 - 来自专栏腾讯Bugly的专栏
iOS 11 安全区域适配总结
原因分析 原因是iOS 11中Controller的automaticallyAdjustsScrollViewInsets属性被废弃了,所以当tableView超出安全区域时系统自动调整了SafeAreaInsets 安全区域的概念 系统自动调整tableView内容偏移量,是根据安全区域来调整的。安全区域是iOS 11新提出的,如下图所示: ? 安全区域帮助我们将view放置在整个屏幕的可视的部分。 通过设置iOS 11新增的属性addtionalSafeAreaInset; iOS 11之前,大家是通过将Controller的automaticallyAdjustsScrollViewInsets 五、遇到的另外一个与安全区域无关的tableView内容下移的问题 我的作品页面的tableView下移了约40pt,这里是否跟安全区域有关呢? ? 那样写是不规范的,只实现高度,而没有实现view,但代码这样写在iOS 11之前是没有问题的,iOS 11之后应该是由于开启了估算行高机制引起了bug。
2.1K100发布于 2018-03-23 - 来自专栏美码师
补习系列(11)-springboot 文件上传原理
一、文件上传原理 一个文件上传的过程如下图所示: ? 指定内容传输编码; 二、SpringBoot 文件机制 SpringBoot 的文件上传处理是基于Servlet 实现的。 从Servlet 3.0规范之后,提供了对文件上传的原生支持,进一步简化了应用程序的实现。 以 Tomcat 为例,在文件上传之后通过将写入到临时文件,最终将文件实体传参到应用层,如下: ? 、文件后缀、文件大小,这里不做展开。 既然解释了文件上传,自然避免不了文件下载, 文件下载非常简单,只需要包括下面两步: 读文件流; 输出到Response; 这样,尝试写一个Controller方法: @GetMapping(path
3.4K30发布于 2019-01-23 - 来自专栏网络安全615
WEB安全基础 - - -文件上传(文件上传绕过)
: 绕过方法: 绕过文件内容检测 方法: 常见图片类型的文件幻数如下: 文件加载检测 1. 第五步,使用中国蚁剑密码连接 连接成功 点开目录列表,找到了文件上传成功的文件 绕过服务端检测 服务端的代码通常检测三个点:MIME类型、文件内容、文件后缀 绕过MIME类型检测 MPEG 文件 .mpg,.mpeg video/mpeg 10. AVI 文件 .avi video/x-msvideo 11. 绕过文件内容检测 一般通过检测文件内容来判断上传文件是否合法 方法: 1. 通过检测上传文件内容开始处的文件幻数来判断。 2. 文件加载检测 一般是调用API或函数对文件进行加载测试。 gif 文件幻数检测就要在文件开头写上下面的值: Value = 47 49 46 38 39 61 要绕过 png 文件幻数检测就要在文件开头写上下面的值: Value
5.3K20编辑于 2022-11-19 - 来自专栏全栈工程师修炼之路
安全之文件解析漏洞
注意:本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。 0x01 IIS 5.x/6.0解析漏洞 其中IIS 6.0解析利用方法有两种,目录解析后缀解析; (1) 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS当作asp文件来解析并执行。 /xx.asp/xx.jpg (2) 第二种,在IIS6.0下,分号后面的不被解析,IIS6.0 都会把此类后缀文件成功解析为 asp 文件 wooyun.asp;.jpg { /xx.asp;.jpg IIS 7.5/ Nginx <8.03畸形解析漏洞 nginx是一款高性能的web服务器,使用非常广泛其不仅经常被用作反向代理,也可以非常好的支持PHP的运行,Nginx解析漏洞这个伟大的漏洞是我国安全组织
1.7K10发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
安全之文件解析漏洞
注意:本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。 0x01 IIS 5.x/6.0解析漏洞 其中IIS 6.0解析利用方法有两种,目录解析后缀解析; (1) 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS当作asp文件来解析并执行。 /xx.asp/xx.jpg (2) 第二种,在IIS6.0下,分号后面的不被解析,IIS6.0 都会把此类后缀文件成功解析为 asp 文件 wooyun.asp;.jpg { /xx.asp;.jpg IIS 7.5/ Nginx <8.03畸形解析漏洞 nginx是一款高性能的web服务器,使用非常广泛其不仅经常被用作反向代理,也可以非常好的支持PHP的运行,Nginx解析漏洞这个伟大的漏洞是我国安全组织
76120编辑于 2022-09-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号