搜索精彩内容
包含"access control"的全部内容
收到“订单、付款收据、分析报告”PPT,请勿打开,为GorgonGroup黑客组织投递的攻击邮件 – 作者:腾讯电脑管家
一、背景近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码...
SecWiki周刊(第322期) – 作者:SecWiki
安全资讯[法规] 网络安全审查办法https://mp.weixin.qq.com/s/nAjbLxdDnflhc_89y0e01Q安全技术[Web安全] 2020攻防演练弹药库https://blog.riskivy.com/2020%E6%94%BB%E9%98%B2%E6%BC%94%E...
数字新基建成本优化:从谷歌DeepMind实践我们体会到了什么? – 作者:宇宸de研究室
近日新基建、数字新基建的标题到处飞,几天前信通院发表了一篇《“新基建”数据中心能否摘掉“能耗大户”的帽子?》的文章。文中指出:“从各类数据的表面来分析,数据中心无疑是“能耗大户”。...
通过LiferayPortal JSONWS反序列化漏洞(CVE-2020-7961)分析及Poc构造深入学习JODD反序列化 – 作者:木子
一、背景 这是一篇 4 月份复现 LiferayPortal rce(CVE-2020-7961)漏洞时的笔记,当时忙着做渗透没空整理,现在发出来就当是学习 JODD 反序列化的记录吧,里面 2 个 Gadget com.mchange.v...
复活Navex:使用图查询进行代码分析 – 作者:斗象智能安全平台
从了解到修复 Navex, 其中花了一年多, 从对自动化代码审计一无所知到学习PL/Static Analysis, 翻阅十几年前的文档, 补全Gremlin Step, 理解AST, CFG, DDG, PDG, CPG, ...
通过GIF图片可对Microsoft Teams用户账户进行劫持 – 作者:clouds
近期,以色列安全公司cyberark通过Microsoft Teams的子域名劫持漏洞结合GIF图片传播,可以针对使用Microsoft Teams的组织机构实现用户数据窃取和全部Teams账户劫持。该攻击场景下,用户只需浏览...
超全!CIS Controls中英双语对照 – 作者:吞龙
A.什么是CIS? CIS是一个社区驱动的非营利组织,负责管理维护CIS Controls®和CIS benchmark™,全球公认保护IT系统和数据的最佳实践。CIS领导全球IT专业人士不断...
ModSecurity OWASP核心规则集的两种配置模式 – 作者:wangzi2049
本文主要介绍OWASP核心规则集的两种配置模式。 OWASP规则的官方Github地址:https://github.com/coreruleset/coreruleset。 OWASP V3版本核心规则集目前支持两种配置模式: 异常评分模式(默认...
揭秘—暗网中购买公司网络访问的业务非常火爆,增长迅速 – 作者:比特梵德中国
最新研究表明,在暗网中出售公司网络的访问业务非常火爆,与2019年第四季度相比,此类非法访问的广告在2020年第一季度增加了69%。 当您阅读有关针对一家大公司的勒索病毒攻击的新闻报道时,该...
最新ZZCMS代码审计初探 – 作者:MustaphaMond
本次代码审计的目标是zzcms的最新版本201910。下载地址为http://www.zzcms.net/about/6.htm。这次审计的主要范围是 /admin 默认后台管理目录(可任意改名) /user 注册用户管理程序存...