【数据安全】一文读懂数据内容识别核心技术
小王所在企业因为办公文件通过网络出口被泄露到了互联网上被有关部门通报了……
去年单位刚刚在网络出口部署了具有拦截敏感文件外发功能的设备,为什么还会出现这种情况呢?
那我们就要从数据防泄漏通用技术说起了。
小王所在企业因为办公文件通过网络出口被泄露到了互联网上被有关部门通报了……
去年单位刚刚在网络出口部署了具有拦截敏感文件外发功能的设备,为什么还会出现这种情况呢?
那我们就要从数据防泄漏通用技术说起了。
struts2框架是一个比较容易出问题的框架,本篇文章分享strusts2的三种调用方式:制定method调用方式、感叹号!调用和通配符调用,以及漏洞的利用方式。
CVE编号获得易,正式公开难!有价值更难!!
获得CVE编号并不等于这个漏洞是有价值的,甚至说这个漏洞都不一定是真实存在的。这主要源于CVE编号颁发机构开放式的工作模式,后面我们会详细介绍。
哈希长度扩展攻击(hash length attack)是一类针对某些哈希函数可以额外添加一些信息的攻击手段,适用于已经确定哈希值和密钥长度的情况。这里推荐有python扩展的HashPump,HashPump是一个借助于OpenSSL实现了针对多种散列函数的攻击的工具,支持针对MD5、CRC32、SHA1、SHA256和SHA512等长度扩展攻击。
近几年,云、大数据、物联网、人工智能等技术广泛应用,软件开发过程引入敏捷开发和DevOps实现开发运维工作自动化、版本快速迭代。迅速扩张的攻击面也伴随而来,攻击者总是能找到新的攻击面。在此背景下,时隔4年我们再次迎来OWASP Top 10(十大Web应用安全风险)的正式更新。
现在的绝大多数安全厂商,始终还在对用户强调SQL注入,XSS等常见攻击的重要性、危害性以及用户的WEB防护是多么多么不堪一击,但从攻击者的角度来看,其最终目的并不是通过SQL注入、XSS等攻击形式获得用户数据,而是获得这些数据后如何加以利用,从而达到最终的目的。OAT自动化威胁手册主要描述黑客获得用户数据后,如何利用应用程序漏洞达到最终目的提供了有意义的见解。
这篇文章主要是基于我在看雪2017开发者峰会的演讲而来,由于时间和听众对象的关系,在大会上主要精力都集中在反序列化的防御上。前面的Fastjson PoC的构造分析涉及得很少,另外我在5月份分享的Fastjson Poc构造与分析限制条件太多,所以写下这篇文章。
MVCC(Multi-Version Concurrency Control,多版本并发控制):在并发操作数据库时,读操作可能会产生不一致的数据,为了避免这种情况,需要实现数据库的并发访问控制,使得每次读取到的数据都一致,最简单的方式便是加锁访问。也就是,将所有操作串行化,这样就不会出现不一致的情况。但是,串行化的读操作会被写操作阻塞,导致性能下降。
2016年里全球发生了许多安全事件,包括希拉里邮件门事件、NSA再陷泄密风波, SWIFT系列攻击事件,台湾第一银行ATM欺诈取现事件等。通过事件的披露并结合信息安全专家的分析,我们看到在这些安全事件再次印证人的因素永远是信息安全控制中最为脆弱的环节。