2022年4月 第7页
-
Python安全编码与代码审计
1 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 2 XSS 未对输入和输出做过滤,场景: defxss_test(request): name=request.GET['name'] returnHttpResponse('hello%s'%(name)) 在代码...
-
钱伯斯坐镇思科安全领域 势为思科成功的“关键”
思科前任***执行官约翰·钱伯斯将在网络巨头思科的安全领域里发挥比最初所预想的更重要的作用——合作伙伴表示,这一重要决定将有助于思科在与对手竞争时取得优势。 思科向记者证实,新CEO查克·罗宾斯敦请钱伯斯在他董事会执行主席的新岗位上担任“安全执行发起人”的角色。瑞银分析师Amitabh Passi的最近一份报告指,思科头等大事是安全,钱伯斯将被赋予该安全重任。 合作伙伴表示,钱伯斯是个深受尊重和全球知名的人物,如果思科有效地利用这些,就可以在安全领域获得极大的优势。 “他认识所有大公司的老总,跟全球所有的***人...
-
微软发布紧急安全补丁 涵盖所有Windows版本
昨晚微软已经面向国内用户发布邀请函,确认将于7月29日晚上19点至21点在北京水立方朝阳区天辰东路11 号召开Windows 10发布会。今天微软发布了一款紧急安全补丁来关闭允许执行远程代码的漏洞。根据微软表示所有受支持版本的Windows系统都受到影响,如果用户打开嵌入OpenType字体的特殊定制文档或者访问未受信任的网页就存在执行远程代码的风险。 如果你目前正使用微软所支持的Windows系统,你应该尽快运行Windows Update来获得更新。鉴于微软对补丁更新的节奏,意味着这个漏洞的危险程度相当高,小...
-
传统帐号密码是累赘 未来3/4用户将使用替代解决方案
用户名和密码这种传统的组合方式已经沿用多年,但对敏感数据的保护上正逐渐暴露种种短板和弊端。科技服务和咨询公司Accenture对横跨六大洲的2.4万消费者进行的问卷调查中,发现60%的消费者认为密码是累赘的,未来全球超过四分之三的用户可能使用替代解决方案来更好的保护个人隐私。 Accenture的互联网和社交部门总管Robin Murdoch表示:“全球范围内通过输入用户名和密码这种传统方式即将可能过时。消费者使用这种传统保护方式的频率正逐步降低,因为对包括邮件地址、移动手机号码和购买历史等私人数据的保护变得不再...
-
破解“动物农场”高级间谍平台Dino
安全公司ESET的研究人员对代号“动物农场”的APT黑客小组开发的高级间谍平台Dino进行了一番深入细致的分析。 2014年3月,一家法国出版物发表了几张斯诺登泄露的幻灯片时,动物农场使用的一款恶意软件便曝光于人前了。该幻灯片属于加拿大通信安全局(CSE),描述了一个代号为“雪景球行动”的任务。 文件揭示了行动中用到的一些工具和一份目标组织清单,还提到行动背后的小组很有可能受到法国情报机构的支持。 自从幻灯片曝光,很多安全公司获取了有效恶意软件样本和与CSE在文件中所描述的类似的代码。 过去几个月里,ESET...
-
EMM工具的自我修养
企业移动管理(EMM)产品是从不同类型的移动管理工具演变而来,因此它们可能差别很大。那么,在你购买之前,你会对哪些功能和特性抱有期待? 随着劳动力变得更加移动化,相关产品也在不断发展,以帮助企业***限度地提高商业利益,同时满足可视性和控制的业务需求。曾经移动设备是由企业购买IT配置,仅少数特权人员拥有,那个时代已经一去不复返,现在用户会整天保持联网,使用两台或三台移动设备来进行个人和商业活动。并且,很多时候,这些智能手机和平板电脑都是消费类设备,由员工自己拥有。 这种转变导致很多企业摈弃旧有的单一操作系统移动设...
-
“心脏又出血了” OpenSSL再现高危漏洞
据外媒报道,“心脏出血”漏洞——OpenSSL协议又有新麻烦了。一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘“高危”漏洞。 OpenSSL再现高危漏洞(图片来自cnbeta) OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,早前的Heartbleed很危险,因为黑客可以利用OpenSSL,通过网站和服务器窃取数据,即使这些数据是加密的。 现在,技术人员再次发现OpenSSL新漏洞,虽然该漏洞的本质仍然是未知数,但工程师对它“高危”的定性已经引起了人们的...
-
网络安全法草案公布并征求公众意见
网络安全法草案7月6日起在中国人大网上全文公布,并向社会公开征求意见。 长期以来,社会各界十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,十二届全国人大常委会把制定网络安全方面的立法列入了今年的立法工作计划中。 刚刚结束的十二届全国人大常委会第十五次会议初次审议了网络安全法草案。草案共7章68条。关于保障网络产品和服务安...
-
爬取QQ空间3000万用户 玩玩大数据分析
这是我近期使用C#写的一个QQ空间蜘蛛网爬虫程序。程序断断续续的运行了两周,目前总共爬了3000万QQ数据,其中有300万包含用户(QQ号,昵称,空间名称,头像,***一条说说内容,***说说的发表时间,空间简介,性别,生日,所在省份,城市)的详细数据。 目前已经爬到我的第7圈好友(depth=7)共3000万数据。 爬虫主程序运行界面: 爬虫程序设计: 大致设计思路是模仿工厂的生产车间,使用三大独立循环线程组(GetWaitList,CrawlerQQInfos,SaveData)。 详细设计图:...
-
你准备好把公司迁移到更安全的云上了吗?
云端?当你在谈论”云”的时候,你到底在谈论什么? 人们对于各种基于云的产品以及解决方案之间的细微差别可能有多种多样的认知。对本文而言,云的概念就是一种将计算处理、存储过程剥离,并利用“别人的电脑”的机会。 在云端化的过程中,很重要的一点就是在提升价值的同时保护信息。 我们要解决什么问题? 我们每天都在听闻各种网络安全的坏消息,人们持续关注着安全失误、缺乏控制,还有人悲观地认为未来越变越多的云将带来一场灾难,是这样吗? 并不完全是。 随着我们的大脑充满了负面信息,不断从恶劣结果角度考虑风险,很容易认为云会带来另一...