您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

2023年最需要注意的九大安全威胁

时间:2023-12-21 12:37:09  来源:FreeBuf.COM  作者:

2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的新型攻击者。当新型攻击者纷至沓来,逐波递进;旧有的威胁者野心勃勃,不断优化攻击方法与策略,全球网络安全形势不可避免地向着更糟糕的方向演进。

随着盘踞于暗网深处的勒索软件犹如夜魔般蔓延开来,成为全球企业与组织的噩梦;借助AI,社会工程学攻击越发深入洞察人心,借助“人”这个巨大的安全漏洞轻松绕过安全防护措施;而越来越多的恶意AI大模型,也让发起网络攻击的门槛大大降低,也让大规模网络攻击的实施变得更简单。

网络攻击趋利化和专业化是近年来日渐确定的趋势。2023年全球的勒索软件赎金从虚拟货币市场追踪的总金融可能达到8.98亿美元,其中仅上半年受害者就向勒索软件团伙支付了4.49亿美元赎金。话不多说,分享一下2023年个人对网络安全事件的总结,以及哪些安全风险和攻击威胁值得网安人注意,还请大家指教。

1、数据库裸奔——下一个是谁

有人疑惑为什么要把它放在第一个位置,其原因是这样的操作无法原谅。很难想象,在不断强调网络安全意识的今天依旧有很多企业的数据库在互联网中裸奔——没有密码,没有任何防护措施,人人皆可以访问。在这些企业之中不乏用户量达到千万级别的现象级产品的企业。

在11月,安全研究人员就发现一个名为WeMystic的算命网站,其数据库就在互联网上公开,没有任何保护措施,并直接暴露了该平台用户的34GB敏感数据。WeMystic 除了为用户提供占星术、精神健康和神秘主义等内容外,还有专门的在线商店,售卖天然宝石、脉轮、塔罗牌、手链和其他产品。

由于WeMystic 使用 MongoDB 存储用户数据。MongoDB是一种基于文档的分布式数据库,也是目前应用最为广泛的NoSQL数据库之一。但是,WeMystic在使用该数据库时,竟然没有任何保护措施,连密码都没有,就这样开放式存在于互联网中。

10月,媒体也报道了一个类似的案例。安全研究人员发现印度领先的医疗中心Redcliffe Labs 的数据库无任何保护,其中包含 1200 多万条记录。这些数据包括敏感的患者数据,如医疗诊断扫描、测试结果和其他医疗记录。数据库总容量为 7TB,包含约 12347297 条记录。

而Redcliffe Labs 是印度领先的医疗中心之一,提供 3600 多种不同的健康和疾病测试,拥有 250 万用户,在印度拥有 2000 多家健康和样本采集中心。但就是这样一家医疗巨头,其安全建设体系竟然也存在如此庞大的漏洞。

出现这样的问题,安全负责人应该为此负全部责任,安全部门也应该为此付连带责任。

2、供应链漏洞——依旧是巨雷

自2020年SolarWinds供应链事件爆发,到2021年年底爆发的Apache Log4j2漏洞事件,软件供应链漏洞屡屡成为网安大事件制造者,与孤立的安全攻击相比,成功的供应链攻击规模大得大,影响也深远得多。据Gartner研究预测,到 2025 年,45%的公司将遭受供应链攻击。

11月8日,勒索软件组织Lockbit利用Citrix Bleed漏洞对工商银行(ICBC)美国分行 ICBCFS发起攻击,使得部分系统中断,但并未波及总行以及其它境内外的附近机构。ICBCFS 是中国工商银行位于纽约的全资子公司,专门提供全球机构客户的清算、执行、融资与设施管理服务。据外媒报道,在被攻击后,工商银行无法进入其系统,因此暂时拖欠纽约梅隆银行90亿美元的未结算交易,且纽约梅隆银行是美国公债的唯一结算代理行,导致对其业务造成显著影响。

事实上,Citrix Bleed漏洞的受害者不止工商银行美国分行。Lockbit勒索软件组织利用Citrix Bleed漏洞连环攻击了包括波音、DP World等大型企业,给全球金融、货运和关键基础设施运营带来巨大威胁和损失。

2023年最需要注意的九大安全威胁

根据日本威胁研究人员Yutaka Sejiyama的调查结果,截至11月中旬,超过10400台在线暴露的Citrix服务器容易受到Citrix Bleed漏洞利用攻击。

大多数服务器位于美国(3133台),其次是德国1228台、中国733台、英国558台、澳大利亚381台、加拿大309台、法国301台、意大利277台、西班牙252台、西班牙244台。荷兰215家,瑞士215家。Sejiyama通过shodan扫描发现许多国家的大型关键基础设施组织中也存在易受攻击的服务器,而这些服务器在Citrix Bleed漏洞公开披露整整一个月仍然没有修补。

3、买通内部人员——社工的舞蹈

顾名思义,内部威胁不涉及第三方,而是涉及内部人员。在这种情况下; 它可能是组织内部了解组织一切的个人。内部威胁有可能造成巨大损失。 小型企业中的内部威胁十分猖獗,因为那里的员工可以访问多个包含数据的帐户。这种形式的攻击的原因有很多,可能是贪婪、恶意,甚至是粗心。内部威胁很难预测,因此很棘手。

Hitachi ID 进行的调查显示,勒索软件团伙正在最大努力招募目标公司的内部人员,以提供金钱的方式协助进行勒索软件攻击。Hitachi ID 对100家大型(超过5000名员工)北美IT公司的调查显示,有65%的员工收到黑客需要协助建立初始访问的消息。

大多数情况下,黑客们使用电子邮件或社交媒体来联系员工,报价20-50万美元,也有在100万美元以上。也有一半的勒索软件团伙甚至在没有任何内部人员帮助的情况下攻击了目标公司。这表明,勒索团伙一旦确认攻击对象,就会想办法进行渗透,直至达成目的。

此次调查的结果反映出,内部威胁通常在制定网络安全计划时被忽视、低估甚至没有被考虑到。36%的管理者表示,更关注外部威胁,内部威胁不在考虑范围。内部人员往往更容易获取内部信任,他们因为各种压力或金钱诱惑,给黑客及竞争对手提供方便,泄露数据。研究表明,85%的数据泄露事件和内部人员有关。

随着各类新型网络攻击方式的出现,社会工程学不仅没有衰弱,反而迎来了更大的发展。相比直接攻击系统的高科技黑客攻击,社会工程学的攻击手段更难以发现和防范。这是因为它并不直接攻击系统,而是通过欺骗或诱导人工作人员,那些正常的系统日志和安全检查可能完全没有记录。

4、深度欺骗——合成的照片与声音

自从人工智能的概念在《银翼杀手》和《终结者》等虚构电影中变得更加主流以来,人们就开始质疑这项技术能继续创造出什么样的无限可能性。直到现在,在不断增强的计算机能力和媒体的广泛关注下,我们才看到人工智能以一种既可怕又令人兴奋的方式吸引了全球观众。随着人工智能等技术的日益普及,我们极有可能看到具有破坏性结果的创造性和复杂性攻击的发生。

10月,肯尼亚媒体报道,有黑客冒充非洲联盟委员会主席穆萨-法基(Moussa Faki)与多位欧洲领导人进行视频通话,其中,黑客在通话过程中使用的深度伪造技术引起了广泛关注。

深度伪造(Deepfake)是今年来发展迅猛的基于人工智能的图像合成技术,常用于对视频或照片进行“换脸”,近些年已经在国际上搞了不少“大事”。比如曾有人用奥巴马的脸骂特朗普是笨蛋,也有人用乌克兰总统泽连斯基的脸“帮”乌克兰发表投降声明。

欧洲官员也不是第一次被Deepfake盯上了,就在去年,包括柏林在内的几个欧洲大城市的市长也中招过,有人假冒基辅市长与他们通话,用的也是深度伪造技术。这些上当的官员们具体中了什么圈套我们无从得知,但有人猜测,或许是有人想通过这种手段窃取机密信息。

在仍然持续的俄乌冲突中,深度伪造技术就已开始“大显其手”。2022年3月,泽连斯基和普京分别宣布投降的两段虚假视频在推特等社交平台上疯传,虽然视频本身的伪造技术还显得有些拙劣,但对这场冲突持对立立场的受众而言,无疑都是喜闻乐见的结果,从而在一定程度上促成了这些虚假视频的传播。

2023年5月,一张由AI生成的美国五角大楼爆炸的图片又在全球社交平台上病毒式传播,甚至导致美国股市应声下跌。虽然这张照片同样存在一些肉眼可见的破绽,但对于全世界许多不满美国的人而言,任何关于美国负面的信息往往会在第一时间对其深信不疑。

此外,AI生成语音诈骗的增加也是一个令人担忧的现象,并预计会在未来一年出现继续增长趋势,给个人和组织带来重大风险。这些骗局通常涉及社会工程策略,骗子使用心理操纵技术欺骗个人采取特定行动,例如披露个人信息或执行金融交易。AI生成的语音在这方面发挥着至关重要的作用,因为它们可以向受害者灌输信任和紧迫感,使他们更容易受到操纵。

AI的最新进展极大地提高了AI生成语音的质量。它们现在可以非常逼真地模仿人类的语言模式和细微差别,这使得区分真实和虚假的声音变得越来越困难。此外,AI语音生成工具的可访问性和可负担性也进一步扩大其采用率。即使是没有技术专长的人也可以很容易地利用这些工具来制造令人信服的人造声音,从而使骗子有机可施。

5、操纵AI大模型——未来新威胁

大模型安全一直是饱受网安行业的关注与重视。在2023年欧洲黑帽大会上,康奈尔大学的研究人员将展示他们开发的一种攻击,该攻击利用图像和声音向多模态LLM注入指令,导致模型输出攻击者指定的文本和指令。他们的概念验证攻击示例针对的是PandaGPT和LLaVa多模态LLM。

研究人员在一篇题为“滥用图像和声音进行多模态LLM中的间接指令注入”的论文中写道:“攻击者的目标是引导用户与多模态聊天机器人之间的对话。”为此,攻击者将提示融入图像或音频片段,并操纵用户询问聊天机器人有关它的问题。

例如,研究人员将一条指令混合到在线可用的音频片段中,导致PandaGPT响应攻击者特定的字符串。如果用户将音频片段输入聊天机器人,并要求描述声音,模型的响应将指导用户访问一个恶意URL。

一个最近的例子是谷歌DeepMind和六所大学的研究人员进行的一项研究,该研究表明,通过简单地引导ChatGPT重复某些单词,如“诗歌”和“公司”,可以操纵ChatGPT重复大量其训练数据——包括敏感和个人身份信息。

5月,德国萨尔兰大学CISPA亥姆霍兹信息安全中心和Sequire Technology的研究人员发表了一份报告,描述了攻击者如何通过将隐藏的提示注入模型在响应用户输入时可能检索的数据中来利用LLM模型。研究人员得出结论:“LLM功能的易扩展性通过自然提示可以实现更直接的攻击策略。

6、网络钓鱼——AI加持

虽然AI被限制“作恶”,但在各路大神的操作下,“越狱”已经不是一件很困难的事情。此外,还有不少专门被用于“网络犯罪”的AI大模型问世,其中比较有名的“邪恶GPT”版本是WormGPT和FraudGPT,两者都能快速实现钓鱼邮件骗局。

IBM 的一项新研究表明,当前的生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件,并且可以为攻击者节省大量时间。

在IBM针对一家未透明名称的全球医疗保健公司1600 名员工进行的测试中,各有一半的员工分别收到了来自由真人和AI编写的钓鱼邮件,结果显示,14% 的员工误入了真人编写的钓鱼电子邮件并点击了恶意链接,11% 的员工则陷入了由AI大模型编写的钓鱼邮件。

这意味着,在网络钓鱼攻击领域,AI和真人的差距已经比较小。但在入门容易度/可操作性/成本方面有着天差地别。而且AI大模型正在不断学习进步,例如WormGPT生成的邮件不仅极具说服力,而且策略十分巧妙,充分展示了其在进行复杂性网络钓鱼和BEC攻击方面的能力。

现在的生成式AI技术已经能够完美地排除掉这些传统钓鱼邮件的识别特征。更可怕的是可怕的是,避免语言错误只是生成式AI在钓鱼邮件上展现的基本技能,更强的欺诈和混淆能力更为致命。

8月,国际安全研究团队Perception Point与Osterman Research公司联合发布了名为《人工智能在电子邮件安全中的作用》的报告,揭示了网络犯罪分子如何利用AI来增加和复杂化电子邮件威胁(如网络钓鱼和BEC攻击)的惊人趋势,并指出网络罪犯正在迅速采用AI工具以推动其利益,而有91.1%的组织称他们已遭受到了被AI增强的电子邮件攻击。

7、零日漏洞——武器商的生意

随着企业安全体系建设日益完善,零日漏洞已经成为黑客/攻击者手中必不可少的武器之一。2023年,个人感受对于零日漏洞的利用越来越频繁,且往往出手就是王炸,针对一系列的企业发起网络攻击或勒索攻击。

据Dragos发布的报告显示,零日漏洞和已知的未修补漏洞是勒索软件组织2023年三季度高度依赖的最新技术。与2023第二季度相比,Cl0p勒索软件受害者暴增了340%。这可能是由于Cl0p在操作中使用的MOVEit零日漏洞造成的。Cl0p勒索软件组织通过大规模MOVEit数据盗窃活动勒索受害者,赚取了近亿美元。Dragos预测,在2023年四季度,尝到甜头的勒索软件组织会继续在其攻击活动中优先考虑零日漏洞。

零日漏洞利用代码方面的交易日渐庞大,目标客户不仅是网络犯罪分子,还有国家政府和NSO Group之类的公司,NSO在其Pegasus软件中使用零日漏洞利用代码,让客户可以访问觊觎的移动设备。

零点击漏洞利用代码可以在最终用户不知情的情况下部署,是最受追捧的工具,但单点击漏洞(比如显然由Intellexa兜售的漏洞)也很受欢迎,如果它们可以用来攻击IOSAndroid/ target=_blank class=infotextkey>安卓等常见的操作系统,那就更吃香了。

据谷歌专门跟踪主要软件开发商的新零日问题的Project Zero声称,去年发现了 58个零日漏洞。据Project Zero声称,今年到目前为止已经有23个被打上补丁的零日漏洞,不过没有列出那些仍在外面肆虐的漏洞,比如那家匿名组织兜售的漏洞。

8、对边缘设备的攻击

威胁形势正在悄然发生变化,主要集中在经常被忽视的边缘设备领域。这些不起眼的组件(包括防火墙、路由器、VPN、交换机、多路复用器和网关)正成为高级持续威胁(APT)组织的新阵地。这次的不同之处在于威胁的微妙性;它并非关乎容易预见的物联网漏洞,而是边缘设备本身带来的不太明显的挑战。

边缘设备有其独特的复杂性。然而,问题在于它们固有的检测入侵的能力。与传统的网络组件不同,它不像连接另一个IDS或IPS那么简单。从设计上讲,通往数字世界的门户是第一道也是最后一道防线。这使得它们既是目标也是盲点。APT组织不断发展的策略,加上边缘设备架构的多样性,构成了一个巨大的挑战。在强大的入侵检测方面,MIPS或ARM等平台的解决方案仍处于起步阶段。在这场持续不断的“猫鼠大战”中,这显然是一个“老鼠”得心应手,而“猫”仍捉摸不透的领域。

9、近源攻击——攻防演练中兴起

这两年近源攻击开始越来越流行,并且被认为是突破企业安全防线的有力突击技术。不同于通过有线网络进行安全性检测的传统方式,近源渗透测试是指测试人员靠近或位于测试目标建筑内部,利用各类无线通信技术、物理接口和智能设备进行渗透测试。近源渗透涉及到的测试对象非常多,包括wifi、蓝牙、RFID、ZigBee、蜂窝、Ethe.NET等各类物联网通信技术,甚至包括智能设备的嵌入式安全。

分享部分近年来近源攻击中攻击队常用的工具,防守方可以有的放矢。

  • 无线网卡:外接无线网卡主要是用来配合kali破解无线密码的,现在一般是通过抓握手包然后跑包来破解。还有其他的方式可以通过伪造SSID钓鱼等等。
  • WIFI 大菠萝:大菠萝不是吃的那个玩意,可以说是一个钓鱼WiFi。最新版本的大菠萝功能更强大,其实可以替代上面的外接无线网卡了。大菠萝可以捕获握手包并模仿目标AP,甚至可以完全模仿首选网络,从而实现中间人攻击。
  • EMP干扰器:当前电子设备和电路的工作频率不断提高,而工作电压却逐渐降低,因此对电磁脉冲(EMP)的敏感性和易损性也不断增加。同时,电子系统中的集成电路对电磁脉冲比较敏感,往往一个较大的电磁脉冲,就会使集成块产生误码、甚至电子元器件失效或烧毁等。
  • 变色龙:变色龙主要有三种使用方法,第一种是随机化UID进行模糊测试、第二种是支持IC卡的仿真、第三种是存储多张虚拟化卡。

网络环境正在不断变得更加复杂,这是目前为止最为复杂的时期。无论是勒索软件家族还是国家行为体组织,网络犯罪分子都在不断调整策略,以更加智慧、迅捷和协调的方式行动。预计在可预见的将来,这种情况将持续存在。为了摆脱升级的攻击并在威胁的竞争中取得优势,各行各业都需要采纳一种持久保持警觉、可应对并且适应新威胁的网络战略。这是我们在未来一年以确保领先于网络犯罪分子的方法。



Tags:安全威胁   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03  Search: 安全威胁  点击:(106)  评论:(0)  加入收藏
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21  Search: 安全威胁  点击:(96)  评论:(0)  加入收藏
Android用户目前面临的六大安全威胁
译者 | 陈峻审校 | 重楼如今,各种出色的Android设备已能让我们无缝地利用生活中的碎片时间,开展各类工作、娱乐、创作、以及交流等活动。不过,目前随着越来越多的安全威胁在我...【详细内容】
2023-09-27  Search: 安全威胁  点击:(428)  评论:(0)  加入收藏
渲染“安全威胁”,澳政客盯上TikTok和微信!
渲染“安全威胁”,澳政客盯上TikTok和微信!澳专家:歇斯底里澳大利亚广播公司(ABC)3日爆料称,澳大利亚国会参议院下属的一个社交媒体委员会发布最新报告称,脸书、推特、TikTok和微信...【详细内容】
2023-08-04  Search: 安全威胁  点击:(77)  评论:(0)  加入收藏
无线网络常见安全威胁
1、无线网络安全研究现状在过去的几十年中,为满足人们的需求,无线通信基础设施和服务一直在激增。根据国际电信联盟2013年发布的最新统计数据,全球移动用户数量已达到68亿个,现...【详细内容】
2023-06-09  Search: 安全威胁  点击:(235)  评论:(0)  加入收藏
您应该了解的五种网络安全威胁
网络安全威胁在不断演变,企业必须采取积极措施来抵御这些威胁。通过了解最常见的网络安全威胁并实施最佳实践来保护网络,可以降低遭受网络攻击的风险并保持业务平稳运行。数据...【详细内容】
2023-05-16  Search: 安全威胁  点击:(324)  评论:(0)  加入收藏
2021年云计算面临的5大网络安全威胁
转载自 企业网D1Net随着网络攻击者随着技术的进步不断创新,组织采用的云计算服务将面临更多的网络安全威胁。毫无疑问,冠状病毒疫情为网络攻击者创造了更多的攻击机会。根据思...【详细内容】
2021-02-04  Search: 安全威胁  点击:(379)  评论:(0)  加入收藏
美国电信网络遭DDOS攻击,DDOS属于哪类网络安全威胁?
今天看到一则新闻,美国电信网络遭DDOS攻击,全国网络几乎瘫痪,攻击导致电话和电信也无法使用,可见DDOS如此强大。什么是DDOS?若从互联网上的成百上千的网站集中攻击一个网站,则称为...【详细内容】
2020-06-17  Search: 安全威胁  点击:(933)  评论:(0)  加入收藏
在线安全威胁:隐藏在SSL中的加密恶意软件
每次通过手机,平板电脑或计算机连接到Internet时,都将承受一定程度的风险。黑客继续寻找新方法来利用安全漏洞并破坏设备或数据。我们需要时刻保持警惕,以避免危险的恶意软件和...【详细内容】
2019-11-20  Search: 安全威胁  点击:(536)  评论:(0)  加入收藏
CentOS7更改ssh端口的详细教程(缓解安全威胁)
1. 前言本文主要讲解如何修改CentOS 7默认的SSH端口号。ssh协议默认端口号为TCP 22,这个端口也是端口扫描软件重点扫描的对象,也是黑客最感兴趣的端口号之一。2. 修改ssh配置...【详细内容】
2019-10-30  Search: 安全威胁  点击:(708)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(96)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(130)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(119)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(145)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(209)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(208)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(230)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(342)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(248)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(371)  评论:(0)  加入收藏
站内最新
站内热门
站内头条