SAP知名内存数据库管理系统HANA被曝存在安全漏洞,其静态加密密钥居然存放在数据库中。SAP HANA是SAP有史以来发展最快的产品。漏洞概述ERPScan的研究人员在阿姆斯特丹举行的黑帽大...
安全建设需求:生态级公司vs平台级公司
事实上并不存在我说的这种分类,即生态级公司和平台级公司之间没有必然需要这么做,必然需要那么做的条条框框,但是两者的安全建设需求之间确实不仅仅是量的差别而是质的差别。创业型公司一定需要CSO吗?...
利用无线电波窃取计算机密码
根据安全研究人员的最新报告,电脑中的加密密钥可以通过无线电波而泄漏,攻击者只需要廉价的消费级装备即可获取密钥。在过去,已经有相关专家谈论到有可能通过分析无线电波和电磁辐射来窃取计算机中的敏感数据。而这...
使用sqlmapapi.py批量化扫描实践
0x00 前言sqlmap可谓是sql注入探测的神器,优秀的探测功能可以让任何一个使用者无基础挖掘sql注入。wooyun上关于sqlmap的文章已经有6篇了,都没有科 普sqlmapapi.py。因...
记一次服务器沦陷后的分析
0x01 前言在这个open的互联网时代, 风险几乎无处不在,无时不有。如果对安全不重视的话,就会被挨打。接 到一个哥们的江湖救急,说他的测试服务器被机房电话投诉流量过大,把出口带宽都跑完了,自己上去...
安全科普:详解Windows Hash与破解
概述1.1 hashHash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值...
GPS安全性的一点科普
GPS的安全性并不是一个新话题。最著名的例子恐怕要算2011年伊朗劫持美国无人机[1]。2011年12月4日,美国的一架RQ-170无人机,在伊朗领空飞行。伊朗军方并没有击落它,而是使用了某种GPS欺...
表情当密码,这事靠谱么?
对于密码,我们究竟还能做些什么呢?密码密码,难说爱你通常我们建议用户采用独特、复杂、最好包含一个怪异字符的密码,却得到用户“任性地”根本无法记住这些密码的回应,特别是对于登录不同网站时最好设置不同密码...
网站建设针对沙箱检测的逃逸技术小讨论
一. 沙箱技术实现特点 (((本文仅仅讨论沙箱的逃逸技术问题,不涉及高大上的架构性问题及APT防御性问题,避免问题的无限扩大化。)))用沙箱动态行为分析检测malware是近几年补充传统AV杀软...
技术分析:Femtocell家庭基站通信截获、伪造任意短信漏洞
阿里移动安全团队与中国泰尔实验室无线技术部的通信专家们一起,联合对国内运营商某型Femtocell基站进行了安全分析,发现多枚重大漏洞,可导致用户的短信、通话、数据流量被窃听。恶意攻击者可以在免费申领...