2019年1月9日,Imperva发布报告,显示2018年Web应用漏洞状况并不太好,共报告了17,142个漏洞。 2018年记录的Web应用漏洞比上年增长21%。Web应用漏洞类型多样,其中最常见的是跨站脚本(XSS)漏洞——占所有报告漏洞的14%,且比2017年翻了一番。但最大的问题还是注入漏洞,比上年增长了588%,占2018年度Web应用漏洞的19%。

前言 近日BUGX平台收到一个基于POSCMS开发的交易所高危漏洞。此漏洞利用XSS（Cross Site Scripting）+CSRF（Cross-site request forgery）组合型通用漏洞,漏洞可把普通会员提升为交易所管理员权限,登录管理后台进行敏感操作。已导致多家交易所中招。 我们第一时间联系了框架开发人员,沟通无果,故发布本文章,

近期,我们发现了一种新型钓鱼方式,如果用户访问攻击者特制的页面,可能会产生一种虚假的“安全感”。 概述 目前,涉及到加密货币的许多网站,特别是需要用户输入机密信息的平台,都会建议用户检查URL地址栏,从而查看是否包含正确的SSL证书(有些平台中,会特定为EV证书)和正确的URL。因此,许多用户对这一点记忆深刻,并将其作为第一项检查的内容。但近期,我

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02

近年来,互联网上安全漏洞显著增多。互联网安全的话题也被技术博客和论坛讨论得越来越频繁:安全性非常重要,尤其是在REST API的世界中。 根据Jitterbit公司2018年API集成状态报告: APIs 正在改变商业 令人印象深刻的是,现在有64%的组织机构正在创建用于内部或外部用例的APIs。虽然现在有四分之一的受访者根本没有创

安全公司Proofpoint警告称,最近针对某美国大银行的用户发起的网络钓鱼攻击使用伪造字体逃避检测。 这种新出现的网络钓鱼样式使用伪造网页字体渲染精心编制的网络钓鱼页面并盗取用户凭证。在浏览器中渲染时,此类网络钓鱼页面使用被盗标志假冒该银行,就像典型的网络钓鱼页面会做的那样。 该新型网络钓鱼工具与众不同的地方在于,页面的源代码中包含非预期的编码显示文本

现在,也许黑客正在测试贵公司防火墙的防守力量,寻找一个随时可以发起攻击所需要的一个漏洞。通常这个漏洞可能不是一个具体的“漏洞”,而是一个“人”(公司员工)。 人为的漏洞,也许只需员工下载一个不良附件,再点击其恶意链接,或者给攻击者发送一条重要信息。因此,安全不再是简单的事,而是一个可能对公司业务产生影响的事件。 Social-Engineer公司首席运营官Michel

前言 众所周知,AMSI会对获取shell造成麻烦,这篇文章将介绍如何在早期解决此类问题。 什么是AMSI？ AMSI全称为“ANTI MALWARE SCAN INTERFACE”,即反恶意软件扫描接口。顾名思义,它要做的就是扫描,检测和阻止任何有害的东西。 还是不知道这是什么玩意？你可以查看下方截图： 显然,如果你

近日安全专家发现了新的Skype漏洞,允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响,允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现,后者又向微软报告了这个漏洞。   Kunushevci表示该漏洞可以在不解锁手机的情况下,接通Skype来电之后能够访问照片、查看联系人、发送短

幽灵/熔断漏洞爆发1周年：Intel都干了些啥？ 距离震荡整个处理器行业的Spectre幽灵、Meltdown熔断安全漏洞爆发,已经过去整整一年了,Intel受到的冲击最为严重。虽然漏洞修补工作仍然远未完成,安全威胁也越来越多,但是一年来,Intel也确实做出了卓有成效的努力。 Intel高级副总裁、产品保证及安全业务