【供应链安全】通过安全事件看IT产品供应链安全风险
回顾去年的安全事件:Xmanager和Xshell后门事件、Xcode非官方版本恶意代码污染事件、思科Juniper网络设备存在“心脏出血”漏洞、Juniper VPN后门事件……通过以上事件可以发现企业在进行软件开发、设备采购、系统运维等阶段都存在着安全风险,如何有效的针对IT产品供应链进行防范与控制成为企业面临的极大挑战,本文将结合相关案例针对该问题进行简单阐述。
【翻译】Oracle VirtualBox虚拟机逃逸漏洞分析
本文介绍了两个近期公布的Virtual Box 虚拟机逃逸漏洞,问题存在于 Oracle VirtualBox 5.1.30和5.2-rc1中。漏洞的发现归功于独立安全研究人员Niklas Baumstark。目前漏洞已被提交至 Beyond Security 的 SecuriTeam。
DedeCMS最新版前台任意用户登录漏洞分析
DedeCMS最近又有一个缺陷被爆出来,可以绕过一些判断条件从而导致前台任意用户登录,配合上一个重置密码漏洞,可以达到从前台登录管理员账户并修改dede_admin表里的密码,也就是真正修改了管理员密码。下面来简单分析一下。
【虚拟化安全】全面虚拟化安全风险列表&专业安全建议
本文罗列了服务器虚拟化、桌面虚拟化、网络虚拟化、存储虚拟化及应用虚拟化5种虚拟化方式可能存在的安全风险,并为各种风险提供了安全建议。快来检测一下你的虚拟化环境安全吗?
【技术分析】RPO攻击技术浅析
RPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的。
【干货分享】全球架构师峰会见闻
ArchSummit全球架构师峰会是InfoQ中国团队推出的面向高端技术管理者、架构师的技术大会。大会中展示了先进技术在行业中的最佳实践,以及技术在企业转型、发展中的推动作用。本篇文章分享了此次大会中的精华内容,包括企业IT架构改进和优化的思路、微服务架构模式,以及大数据平台的构想。
命令注入ISO:Basilic 1.5.14利用
命令注入是一种攻击,攻击者试图传递恶意载荷,这些载荷会被应用程序不当处理并在系统shell里执行。此漏洞会导致脆弱应用程序的宿主机上出现远程代码执行。
OpenRASP技术分析
OpenRASP 将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。本文主要针对OpenRASP进行原理介绍和应用。
电脑运行慢?原来是帮黑客免费挖矿
目前常用的Windows激活工具KMSpico被发现带有挖矿病毒“Trojan/Miner”, 在疑似KMSpico激活工具官网“http://kmspi.co”中下载该工具,电脑将被植入门罗矿工病毒“Trojan/Miner”,利用被入侵的电脑疯狂挖掘门罗币。
大话态势感知1:态势感知“神经中枢”ESB企业数据总线
讲态势感知,主要来自军事领域,战场态势感知。实际上是一个体系。下图是导弹防御态势感知体系的例子,从这个图上,我们看到,为了拦截战略导弹,需要构建反导态势感知体系。