漏洞与安全设计

     

Spring中防止跨站脚本 (XSS)攻击

28 11K

跨站点脚本攻击是一种流行且广泛的攻击,攻击者将脚本注入到 Web 应用程序中。Web 应用程序通常使用相同的来源策略,这可以防止页面上的脚本在来源不匹配的情况下访问来自不同来源的数据。因为 Sprin.

Spring Boot中配置AuditListener实现操作留痕审核

34 10K

Spring Boot Data 提供支持透明地跟踪谁创建了实体或更改了实体以及这些事情发生的时间。所有记录均清晰保存。例如,如果一位用户进入该站点并登录该站点。然后这些时间会保存在数据库中,当用户再.

保护API安全的16种最佳实践

33

通过以下 16 项实践保护您的API:.身份验证: 验证访问 API 的用户身份。授权 : 确定已验证用户的权限。数据删除 : 隐藏敏感数据以进行保护。加密:对数据进行加密,只有授权方可解码。错误处理.

谷歌安全2规则:三个选择中只能取两个

36
当您编写代码来解析、评估或以其他方式处理来自互联网的不可信输入时,我们希望遵循一个简单的规则,以确保这样做足够安全!我们喜欢遵循一条简单的规则,以确保这样做足够安全。2规则是从以下选项中选择不超过 2.

Spring框架爆CVE-2024-22233漏洞

429

VMware Spring Framework 6.0.15/6.1.2中发现漏洞:已被宣布为关键漏洞。受此漏洞影响的是HTTP Request Handler组件的一些未知功能。使用未知输入进行操作.

启用 Java SSL 调试日志记录

55 6K

Java 安全套接字层 (SSL)调试对于开发人员和管理员诊断和解决与在应用程序中建立安全连接相关的问题至关重要。启用 SSL 调试可以深入了解握手过程、密码套件协商和其他安全相关活动。 在本教程中,.

AWS大模型修复了一数据泄露攻击漏洞

40

Johann是目前最好的AI黑客之一:几周前,亚马逊发布了 Amazon Q for Business 的预览版,Johann查看后发现存在通过渲染 markdown/超链接的数据泄露角度,并将其报告.

Apache Struts 2 中发现新的严重 RCE 漏洞CVE-2023-50164

53 3K

2023 年 12 月 20 日,NIST 更新了 CVE,以反映struts-core中的新路径遍历漏洞。这就是CVE-2023-50164,也列在 Snyk漏洞数据库中,CVSS 严重程度为 9..

Rustls 有望超越 OpenSSL

107 2K

Rustls 是一种用 Rust 编写的高质量 TLS 实现,旨在取代 OpenSSL 等不太安全的替代方案。本文探讨 Rustls 性能跟踪的最新进展,并提供 Rustls 0.22.0 和 Ope.

道德黑客 – 所需的技能、角色和责任

58

黑客攻击是指为获取系统访问权限而实施恶意活动的流程和方法。黑客攻击的目的是访问对个人、企业或组织重要的机密信息和数据。它的目的是突破系统的漏洞以获取收益和利润。黑客行为不属于法律认可的活动,如果被发现.

SSH协议中发现新安全漏洞CVE-2023-48795

813

德国波鸿鲁尔大学的一组研究人员发现了 Secure Shell (SSH) 协议中的新安全漏洞,攻击者可能会利用该漏洞破坏 SSH 连接的完整性。该漏洞名为 Terrapin Attack,编号为(C.

新攻击通过故障注入绕过OpenSSH、OpenSSL和MySQL安全检查

123

一篇题为“混乱:寄存器和堆栈变量的定向损坏”的新论文揭示了一个严重的安全漏洞,该漏洞可能允许黑客绕过 OpenSSH、OpenSSL、MySQL 和 SUDO 等广泛使用的软件中的身份验证检查。该漏洞.

OpenSSH漏洞CVE-2023-51385可能允许远程执行代码

1396

OpenSSH 中发现了一个高严重性漏洞,攻击者可能利用该漏洞在目标系统上执行任意命令。 被跟踪为CVE-2023-51385的漏洞源于在 OpenSSH 中使用 ProxyCommand 或 Pro.

上下文溢出攻击:大模型提示黑客技术

100

HackAPrompt是有史以来第一次全球性的Prompt Hacking竞赛!为了3.5万美元奖金,超过3000名黑客提交了60万条恶意提示。参与者必须欺骗人工智能(GPT-3、Flan-T5 或 .

隐私安全是无价的,但保护隐私的Signal却很昂贵

86

Signal 是世界上使用最广泛的真正私人消息传递应用程序,我们的加密技术提供了除 Signal 应用程序本身之外的额外隐私层。自 2013 年推出以来,信号协议(我们的端到端加密技术)已成为私人通信.

谷歌发现新的英特尔CPU漏洞:Reptar

126

谷歌安全研究人员发现了一个新的 CPU 漏洞,影响英特尔台式机、移动设备和服务器 CPU。 这个被称为“ Reptar ”(CVE-2023-23583)的漏洞是谷歌研究人员今年迄今为止披露的第三个主.

网络勒索团伙LockBit大案盘点

78

根据FBI统计数据,自2020年以来全美共发生约1700起与LockBit相关的勒索案件,受害人累计向LockBit支付约9100万美元赎金。 波音销售网站瘫痪,大量敏感数据被窃; 中国工银美国子公司.

中国研究可用量子计算机破解2048位RSA加密

133

中国研究人员声称他们可以使用现有的量子计算机破解 2048 位 RSA 加密,这一说法令人震惊。如果属实,这一说法将重塑整个科技世界和互联网,因为它将让所有数字化事物都面临风险。中国研究人员最近发表了.

欧洲数字身份eID在理事会和议会之间达成临时共识协议

98

为了确保所有欧洲人拥有可信且安全的数字身份,欧洲理事会主席和欧洲议会代表今天就欧洲数字身份(eID) 新框架达成了临时协议。修订后的法规构成了欧洲数字身份的明显范式转变,旨在确保个人和企业普遍获得安全.

警告:新版Outlook会向微软发送密码、邮件和其他数据

101

新的免费Outlook会将敏感数据发送给 Microsoft。在没有通知或询问的情况下,Microsoft 授予自己对新 Outlook 用户的 IMAP 和 SMTP 访问数据的完全访问权限。也就是.

Okta安全漏洞的教训

124

Okta 的数据泄露事件导致 20 亿美元的市值损失,这提醒我们,改善安全状况和减少漏洞比以往任何时候都更加重要。从初创公司到大型企业,成千上万的公司都使用多普勒作为秘密的真相来源来磨练自己的安全态势.

科技公司CEO因滥用IP地址被判处五年徒刑

103

一名科技公司首席执行官因 IP 地址诈骗被判处 5 年监禁,他创建了 20 个假身份空壳公司,从 ARIN 购买 IP 地址,而ARIN 不知道所有地址都流向同一买家。Amir Golestan 是南.

为何Http3没有Http2快速重置(CVE-2023-44487)攻击?

235

让我们从一个简单的自动售货机的类比开始: HTTP/2 就像一个效率非常低的系统:每次有人购买一件物品时,都需要立即由一名(非常劳累的)员工全天候(24/7)进行补充。它始终保持充足的库存。 HTTP.

Nginx如何应付HTTP/2 快速重置攻击?

252 2K

最近发现的与 HTTP/2 协议相关的漏洞:CVE-2023-44487:在某些情况下,可以利用此漏洞对 NGINX Open Source、NGINX Plus 以及实现 HTTP/2 规范服务器端.

谷歌:HTTP/2“快速重置”DDoS 攻击

267 3K

谷歌的云客户已成为基于 HTTP/2 的新型 DDoS 攻击的目标,攻击在 8 月份达到顶峰,最大的攻击每秒超过 3.98 亿个请求。HTTP/1.1:每次连接 1 个请求在 HTTP/1.1 中,每.

攻击macOS的CVE-2022-32947漏洞演示

162

演示了一种利用 CVE-2022-32947 攻击 macOS 的黑客技术。该演示由 Lina 和 Cyan 执行,他们在 GitHub 上的视频中演示了该漏洞。该黑客攻击涉及利用 GPU 中的漏洞来.

能够运行自己的根证书颁发机构吗?

99

这是作者对 2023 年运行自己的根证书颁发机构的美好世界的短暂尝试……它能在 Apple 设备和 Linux 浏览器中使用。本文讨论运行自己的根证书颁发机构 (CA) 来生成 X509 证书的过程,.

Horcrux:将文件分割成加密片段的开源工具

70

Horcrux 是一款允许用户将文件分割成加密片段的工具,从而无需记住密码。它使用 Shamir 秘密共享方案将加密密钥分解为可以重新组合以创建原始密钥的部分,这需要一定的阈值才能完成。用户可以选择碎.

免费下载软件Free Download Manager有后门

637 1 2K

Free Download Manager是 Linux 上管理下载的流行工具,其官方linux下载版本存在后门。这个恶意包是通过官方网站传播,导致机器被感染三年多。攻击涉及基于 DNS 的后门和 B.

缩短Session会话有效期并不能增加安全性

266

登录到 Web 应用程序时,会话不会永远保持有效。通常,会话在登录后的固定时间后或用户闲置一段时间后过期。这些时间应该是多长?在某些Web应用程序中,会话会被设置为过期:过一段时间就会注销,需要再次进.