Axonius,凭什么在RSAC 2019 创新沙盒大赛上力拔头筹

美国当地时间3月4日,万众瞩目的RSAC 2019在旧金山开幕,在有着“网络安全风向标”之称的创新沙盒环节中,10家入围网络安全厂商现场展示自家的前沿技术,这10家厂商涵盖了各种技术,包括:资产管理、DevOps、云安全、数据安全和固件安全等。

阅读全文 “Axonius,凭什么在RSAC 2019 创新沙盒大赛上力拔头筹” »

Web漏洞分析之——顺瓜摸藤

在分析一些漏洞时,能从相关的漏洞预警和描述中获取的情报往往很少。

很多时候,只能通过漏洞描述或者补丁中找到漏洞触发点,然而如何利用,如何找到从入口贯通到漏洞触发点的利用链,这时候就需要我们顺瓜摸藤了。

有时候,顺着一个瓜(漏洞触发点),还能摸到很多条藤(利用链)。

阅读全文 “Web漏洞分析之——顺瓜摸藤” »

WordPress 5.0.0 远程代码执行漏洞分析CVE-2019-8942、CVE-2019-8943

近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞。代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码。据漏洞披露者文中所介绍,这个漏洞在WordPress核心中被发现已经超过6年。

阅读全文 “WordPress 5.0.0 远程代码执行漏洞分析CVE-2019-8942、CVE-2019-8943” »

远程SHELL中进程因TCP连接中断而失去控制的预防及救急方案

在一个SSH会话里执行vi,后因TCP连接中断而失去控制。重新登录后发现原SSH会话对应的伪终端还在,其中的vi进程也在。有什么办法重新获取对vi的控制?本文通过设计一个实验复现问题并给出救急方案。另外,本文介绍了两个成熟的工具screenify、reptyr,第一次听说的朋友会感谢我的。

阅读全文 “远程SHELL中进程因TCP连接中断而失去控制的预防及救急方案” »

浅谈容器技术在商业银行云计算环境下的应用

随着互联网金融业务的兴起,各种以互联网为依托的互金企业,为与日俱增的用户提供方便快捷、稳定高效的金融类业务服务,然而这对于传统商业银行来说却造成了大量业务机会的流失。互联网金融、IT能力变革、快速应用交付……这些关键词准确地反应了当前商业银行所面临的IT现状。国内商业银行不仅要在业务层面上不断创新,对IT基础设施和应用架构也需要持续的升级改造,才能够应对这种势如破竹的互联网金融服务冲击。基于业务发展的需要和快速进步的金融科技技术,越来越多的商业银行借助云计算技术发展的东风,也开始建设适合自身的基于容器技术的云平台。希望通过容器云可以更快速地支持业务创新的落地,例如通过微服务架构,更灵活、更高效的解决业务快速上线的效率问题。

阅读全文 “浅谈容器技术在商业银行云计算环境下的应用” »

学习手册:区块链技术浅谈

区块链技术是金融科技领域当下最受人关注的方向之一。区块链作为一个新兴技术,具备去中心化、防篡改、可追溯等众多金融领域十分需要的特点。它可以实现多方场景下开放、扁平化的全新合作信任模型,而这些都为实现更高效的资源配置,更具体地说是金融交易,提供了有效手段。在可见的未来,区块链技术将为人类商业社会的快速发展带来更多发展机遇和成长空间。 阅读全文 “学习手册:区块链技术浅谈” »

IoT物理攻击场景解析及探索

绿盟科技格物实验室在物理入侵方面,曾经进行过一些有趣的验证性尝试。这里写出我们的思路, 期望引起安全从业者的思考。面对物理入侵,我们的防护是否需要创新的模式与架构调整,才能适应新形式下的安全防护的需要?本文介绍格物实验室近期通过向第三方公开展示的两个小成果来对物理安全的攻击场景和可以造成的后果进行一个简要的说明。

阅读全文 “IoT物理攻击场景解析及探索” »