Aggregator

API成最大的攻击向量，2023年29%的网络攻击针对API。

1.Lockbit团伙公布入侵Crinetics制药公司 2.Blackbasta勒索团伙公布新的受害公司 3.RA Group勒索团伙公布物流公司Gimex全部数据

在本篇文章当中，让我们跟随团队成员T4x0r的脚步，深入学习权限维持的相关骚姿势~

XZ-Utils是一款开源的无损压缩命令行工具，是用C语言编写的跨平台工具，可以用于类Unix系统和Windows系统。这款工具目前是大多数Linux发行版本的默认工具之一。

2024年4月12日，安全牛第十一版《中国网络安全行业全景图》正式发布。

写给新手朋友入门，有了靶场丰富自己思路，也巩固自己的技术当然新手老手都可以玩玩。这期盘点渗透靶场，排名不分前后还有其他靶场欢迎留言提出！

昨天『代码审计』知识星球里有同学向我提了一个有趣的问题：

简单来说就是，在Java的Nashorn脚本中，如果不允许使用小括号(、)和中括号[、]，如何执行任意命令？

0x01 浏览器JavaScript无括号XSS

我们知道，Nashorn脚本本质上是JavaScript，而无括号的XSS Payload其实是一个老问题了。因为JavaScript在执行函数的时候需要使用括号，所以解决问...

Delve into the crucial practice of file scanning within uploader applications, and learn defensive measures to safeguards against malicious threats like malware.

Learn how far cybersecurity has come from scattered resources to consolidation the future.

纵观软件安全开发周期，编码阶段的安全活动是最好实现技术管控，最容易发现代码中的漏洞，最容易做自动化安全扫描的。经过实践之后，认为可以在该阶段开展： 1、编码安全规范：根据业务开发语言和历史发现的安全问题，量身定制编码安全规范，在SDL的体系文件中定位为三级规范性文件，做到有据可循； 2、编码安全培训：对编码安全规范、安全扫描工具及扫描的结果研判方法进行技术分享，配合考试等方式提升开发人员的安全意识； 3、静态代码扫描：对自研代码进行安全扫描，一般都能实现自动化触发、扫描结果推送到开发邮箱，有的甚至在IDE上开发时就检测漏洞，提醒开发人员及时修复漏洞； 4、开源组件扫描：针对第三方组件（开源或自研），也要进行漏洞扫描和协议合规性分析，同样可以实现自动化触发和扫描，但处理扫出的问题就比较棘手了； 5、引入安全SDK：其实不一定是具体的SDK，有的是改良过的开发框架或库，有的是全局filter，尤其是在技术栈统一的公司更可能落地。在开发编码时，开发人员正确使用安全SDK，从源头解决常见的web漏洞。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL 1/100问：SDL与DevSecOps有何异同？ SDL 2/100问：如何在不同企业实施SDL？ SDL 3/100问：SAST误报太高，如何解决？ SDL 4/100问：SDL需要哪些人参与？ SDL 5/100问：在devops中做开发安全，会遇到哪些问题？ SDL 6/100问：如何实施安全需求？ SDL 7/100问：安全需求，有哪些来源？ SDL 8/100问：安全需求怎么实现自动化？ SDL 9/100问：实施安全需求，会遇到哪些难题？ SDL 10/100问：安全需求和安全设计有何异同及关联？ SDL 11/100问：设计阶段应开展哪些安全活动？ SDL 12/100问：有哪些不错的安全设计参考资料？ SDL 13/100问：安全设计要求怎么做才能落地？ SDL 14/100问：有哪些威胁建模方法论？ SDL 15/100问：有哪些威胁建模工具？ SDL 16/100问：如何开始或实施威胁建模？ SDL 17/100问：威胁建模和架构安全评审，有何异同？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

As we regularly observe in this blog, ransomware is devious and endlessly inventive. It’s this ability to find new variations on the same basic extortion template that has made it the most successful commercial form of cybercrime yet invented. Excepting the occasional technical hack (including a talent for spotting weaknesses everyone else has overlooked), most […]

The post Ransomware Groups Experiment with a New Tactic: Re-Extortion appeared first on Ransomware.org.

Lyons served as director of NIST from 1990 to 1993 and guided the organization as its mission expanded in support of U.S. industry.

APT组织Lazarus 在Rootkit（获取内核权限）攻击中使用了微软的0day漏洞;APT组织Kimsuky利用软件公司产品安装程序进行伪装展开攻击;NoName057(16)组织DDoSia项目持续更新;

Should children’s apps come with ‘warning labels’? Here's how to make sure your children's digital playgrounds are safe places to play and learn.

不写长文了，简单记录下这一年。启程2023年4月10日，赶早班飞机到了北京坐车从机场高速去公司的路上，空气中

前言

腾讯安全科恩实验室《Order Matters: Semantic-Aware Neural Networks for Binary Code Similarity Detection》论文入选人工智能领域顶级学术会议AAAI-20。研究核心是利用AI算法解决大规模二进制程序函数相似性分析的问题，本文将深入对该论文进行解读，完整论文可以通过访问以下链接获取: Order Matters: Semantic-Aware Neu for Binary Code Similarity Detection