【安全报告】网络安全威胁月报 201709
绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。
ansible部署使用小结
ansible官方介绍定义为简单、免代理、强大的开源IT自动化工具。本人理解强大在于可实现批量系统配置、批量程序部署、批量命令运行等功能,而说简单则是仅仅需要在管理机上安装,只需要能够ssh被管理主机即可轻松实现管理,而且入门使用也是非常快捷方便。
认识CSRF及其在Django中的防护
在阅读某产品的代码时,发现了很多CSRF的使用,而且写法不一样。查了查资料,发现说法不一,实践是检验真理的唯一标准,于是搭个小项目进行验证。在此简单总结,分享给需要的同学。
PostgreSQL数据库触发器简介
PostgreSQL数据库触发器是在PostgreSQL数据库中经常会遇到的,在本篇文章中,我将简单的介绍下触发器,并用一个父子表的例子演示编写触发器的过程。
完美解决WinSCP使用私钥文件登录设备
在日常工作中,我们经常使用SecureCRT、Putty、WinSCP等工具在Windows系统上登录连接unix/linux服务器或产品设备。一般情况下,我们都是使用root、develop等帐号再加上对应帐号密码登录到设备,但是有的设备只提供了公钥+私钥的方式登录连接到设备,这时候,作为客户端,就需要使用设备端提供的私钥文件来登录连接设备。
【干货分享】通信安全:IOS客户端证书校验方法
随着移动互联网的发展,互联网应用也在与日俱增,传统的金融行业,如银行的手机银行业务,现在热门的互联网金融企业,其移动应用都在不断的更新,同时,移动客户端的安全性也受到了前所未有的威胁,如盗版app,SQL注入,任意用户密码重置等漏洞,但这些漏洞的进一步利用很多情况下都依赖于中间人攻击,也就是客户端与服务端进行通信时未采用安全的https方式进行通信,而是采用不安全的http方式进行通信。本文就https基于SSL安全传输中相关问题进行了探索研究,以便在以后的客户端安全测试当中有一定的帮助。
【行业安全】农信信息系统安全防护建设
农村信用合作社是银行类金融机构,农村信用合作社又是信用合作机构,所谓信用合作机构是由个人集资联合组成的以互助为主要宗旨的合作金融机构,简称“农信”,由省政府负责成立各省省级联社,对本省信用社进行统一管理,并接受人民银行和银监会监管。
就农信本身而言,几乎所有的业务都运行在IT基础设施之上, 尤其是新出现的金融产品和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。信息系统和信息安全已经成为操作风险管理的重要内容。 信息的保密性、完整性、 有效性以及信息系统可用性对银行业务的成败起着至关重要的作用。
【技术创新】多维度钓鱼检测技术
网络钓鱼频发,诱骗手段的不断进化,能从单纯的信息窃取演变为大规模APT攻击,不断威胁着个人与企业的信息、财产安全。本文介绍了一种多维度钓鱼检测技术方案:由情报匹配与模型检测相结合的钓鱼URL检测方案,区别于仅从URL本身特征去检测,该方案融入了其他的关联特征如whois信息、网页元素与其他网页链接的特征、图像视觉特征,是一种多层次、多维度的检测技术。
【预警通告】Joomla! 内容管理系统 LDAP注入漏洞
昨日,Joomla! 发布了新版本3.8.0,其中修复了一个存在多达8年之久的LDAP注入漏洞,该漏洞影响3.7.5及其之前的所有版本。通过该漏洞,攻击者可以通过盲注(blind injection)的技巧来获取管理员账户密码,从而控制配整个Joomla!。使用版本1.5至3.7.5并且配置了LDAP验证的Joomla!均受该漏洞影响。