Fastjson 远程反序列化程序验证的构造和分析
fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
【威胁通告】Intel多款产品提权漏洞
当地时间5月1日(北京时间5月2日上午),英特尔(Intel)官方发布安全公告,公告表明Intel旗下产品英特尔主动管理技术(AMT),英特尔标准可管理性(ISM)和英特尔小型企业技术版本中的固件版本6.x,7.x,8.x 9.x,10 .x,11.0,11.5和11.6存在提权漏洞,可以使无特权攻击者获取这些产品的高级管理功能权限,CVE编号:CVE-2017-5689。 普通用户基于Intel的PC不受影响。
【威胁通告】HP智能管理中心多个未指定的远程执行代码漏洞
近日,HP官方发布安全通告,在HPE智能管理中心(iMC)PLAT中已经发现了潜在的安全漏洞。这些漏洞可以远程利用,以允许代码执行。
银行业金融机构信息科技外包管理体系建设及落地经验分享(上)
面对日益加剧的竞争及技术变革的加快,IT外包以精专业、高效率、低成本等优势,成为了国内各大金融机构提高竞争力的重要手段之一。但IT外包强势进驻的同时,给各金融机构带来了巨大的安全隐患,近年来外包风险事件越来越多,也引起了监管单位的重视。
《非银机构信息科技指导意见》解读(上)
2016年12月,银监会发布了[2016]188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。
从菜地到满汉全席-绿盟安全态势感知平台
最近大数据分析、机器学习火的不行,一听就是高大上,云山雾绕的。大数据分析真的这么难么?下面我们就用蔬菜从采摘到制作的过程为例,来揭开大数据分析神秘的面纱。
【威胁通告】软件集成平台Jenkins多个漏洞
当地时间2017年4月26日(北京时间2017年4月27日),软件集成平台Jenkins官方发布了安全通告,包含了更新修复程序,修复了数个安全漏洞(CVE-2017-1000356,CVE-2017-1000353,CVE-2017-1000354,CVE-2017-1000355)。
OWASP Top 10 2017更新解读
近几年,云、API等技术广泛应用,软件开发过程引入敏捷开发和DevOps实现开发运维工作自动化、版本快速迭代。迅速扩张的攻击面也伴随而来,攻击者总是能找到新的攻击面。在此背景下,时隔4年我们再次迎来OWASP Top 10更新。目前发布的release candidate版本,还处于公开征求意见阶段,预计今年7月或8月会正式发布。
恶意样本分析手册——工具篇(下)
近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式的增长,直接威胁到个人隐私、支付安全等方面,无疑成为网络安全防护工作的重要目标。但海量恶意样本文件,给恶意软件研判分析工作带来了巨大的压力,如何进行恶意样本分析,如何提高效率,都成为实际的问题。
恶意样本分析手册——工具篇(上)
近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式的增长,直接威胁到个人隐私、支付安全等方面,无疑成为网络安全防护工作的重要目标。但海量恶意样本文件,给恶意软件研判分析工作带来了巨大的压力,如何进行恶意样本分析,如何提高效率,都成为实际的问题。
2016 DDoS Threat Trend
In this report, we present a multi-dimensional analysis of DDoS attack data and botnet data and summarize and analyze typical attack events in 2016, revealing threats of DDoS attacks and the overall threat trend in 2016.