行业新闻与博客
BookStack 受到 RCE 安全漏洞的打击
BookStack 中最近修复的严重漏洞使仅通过访问图像上传功能即可将恶意软件推入易受攻击的系统成为可能。
利用 BookStack 中的远程执行代码漏洞(CVE-2020-5256)的利用场景-一个用于构建自托管 Wiki 的应用程序-集中在不受信任的用户有权将图像上传到该应 ...
Google Cloud Security 发现为南美研究人员提供了 $ 31k 的 bug 赏金
更新发现了 Google Cloud 组件中的一个关键漏洞,已为安全研究人员带来了 31,337 美元的漏洞赏金。
Ezequiel Pereira 在该领域的研究很落后,他发现了 Google 的 Cloud Deployment Manager 中的一个安全漏洞,该安全漏洞带来了远程代码执 ...
如何通过反向代理执行 HTTP 标头走私攻击
研究人员发现了一种通过反向代理来发起 HTTP 标头走私攻击的新技术。
这种方法是由渗透测试员 Robin Verton 和来自 Telekom Security 的网络安全研究员 Simon Peters 共同开发的,可以用于规避网站身份验证检查。
走私者的海湾
HT ...
机器学习技术应用于破解验证码
F-Secure 表示,使用其基于 AI 的 CAPTCHA 破解服务器 CAPTCHA22 破解 Microsoft Outlook 的基于文本的 CAPTCHA 时,其准确性达到了 90%。
在过去的两年中,这家安全公司一直在使用机器学习技术来训练能够解决特定 CAPTCH ...
Web 应用程序攻击几乎占所有数据泄露的一半
根据(5月19日)发布的两份独立报告的发现,针对 Web 应用程序的攻击已日益普遍,成为造成数据泄露的最大原因。
Verizon 2020 年数据泄露调查报告(DBIR)报告称,有 43% 的违规事件可追溯到针对 Web 应用程序的攻击-是去年结果的两倍多。
绝大多数(8 ...
深入探讨:机器学习的进步如何改善 DDoS 攻击检测
来自美国,中国和沙特阿拉伯的一组研究人员展示了人工智能(AI)算法如何帮助检测其他方法失败的分布式拒绝服务(DDoS)攻击。
随着互联网连接设备的数量呈指数级增长,并且攻击者的方法变得越来越复杂,针对 Web 服务器查找和过滤有害 DDoS 流量正成为日益严峻的挑战。
他 ...
EFF 发布 Certbot 1.0,以帮助更多网站加密流量
旧金山-电子前沿基金会(EFF)今天发布了 Certbot 1.0:这是一个免费的开源软件工具,可帮助网站加密其访问量并确保其网站安全。
Certbot 于 2015年首次发布,自那时以来,它已通过自动部署 Let's Encrypt 证书帮助超过 200 万的网站管理员启用 HTTP ...
研究人员演示 SHA-1 哈希函数的实际突破
计算机科学家已经对 SHA-1(一种老化但仍被广泛使用的哈希算法)进行了更合理,更实用的攻击。
SHA-1(安全哈希算法 1)是一种加密哈希函数,最早于 1990年代开发,在许多应用程序中一直活跃使用。
尽管已被更现代的哈希算法所取代,但 SHA-1 仍被 GnuPG / ...
如何在 HTTPS 网站上查找和修复混合内容警告
仅支持 HTTPS 并不总是足够的-您还需要知道如何识别和修复混合内容错误
如果您最近将网站从不安全的 HTTP 连接迁移到更安全的 HTTPS 连接,则可能仍然会遇到接收混合内容警告的问题。更糟糕的是,您的站点可能对站点访问者而言是不安全的,从而导致他们快速单击“后退”按 ...
DigiCert 领导了增强 EV SSL 证书的计划
与其他几个证书颁发机构合作,DigiCert 对 EV SSL 验证流程提出了 4 项增强功能
“在互联网上,没人知道你是狗。”
漫画家彼得·施泰纳(Peter Steiner)早在 1993年就在漫画中写下了这些字眼。漫画很有趣,很多人都在笑,但它 ...
