如何发现 NTP 放大攻击漏洞

如何发现 NTP 放大攻击漏洞

固若金汤 2个月前 (10-22) 铁匠

原文:http://jamesdotcom.com/?p=578 NTP 漏洞相关的文章在 Drops 已经有过了,并且不止一篇,之所以又翻译了这一片文章,是觉得文章的整体思路很不错,希望对看这篇文章的你有所帮助。 BTW:本文翻译比较随意,但是并没有破坏原文含义。 0x00 简介 NTP 放大攻击其实就是 DDoS 的一种。通过 NTP 服务器,可以把很小的请求变成很大的响应,这些响应可以直接指

PHP两版本大限将至,全球近七成网站需紧急更新

PHP两版本大限将至,全球近七成网站需紧急更新

固若金汤 2个月前 (10-22) 中国互联科技有限公司

作为最受欢迎的服务器端语言,PHP 各版本已经被全球近8成的网站采用。而根据PHP 给出的各版本的生命周期,2019年1月1日开始,PHP 5 最后一个版本 5.6 将不再受支持,与此同时,PHP 7 第一个版本 PHP 7.0 也将在2018年 12月 3 日不再更新。而全球仍然有超过六成的网站采用这个两个版本,如不及时升级,将面临不可估量的安全风险。 根据 W3Techs 最新的统计数据,在已

职场告诉我们,信息安全行业最需要的是这十大证书

职场告诉我们,信息安全行业最需要的是这十大证书

固若金汤 7个月前 (05-30) 中国互联科技有限公司

获得安全行业证书,是大多数信息安全行业从业者要做的第一件事儿,也是入职名企、面试成功、获取高薪的重要砝码。在当今的社会工作中,一个人的能力表现往往决定了一个人的生活质量,而一个人的能力表现往往又体现在工作相关能力证书的获取上。 面对如今国内信息安全市场的火热,拥有国际信息安全认证的人才,要比没有证书的拥有更完善的知识储备,而这种专业的知识储备会推动他们事业的发展。 面对众多的职业证书,哪些才是和你

云数据存储:漏洞及避免漏洞方法

云数据存储:漏洞及避免漏洞方法

固若金汤 8个月前 (04-10) 铁匠运维网•小编

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自己的服务器因而可降低耗电量。信息存储和备份创建变得更加便宜和简单。 这些年来,大量的数据被转移到云端,包括个人档案、照片、文件和受版权保护的内容。付费和免费云服务用户基数继续增长。根据调查公司Research 和 Markets的数据显示云

没错,区块链真的是最具颠覆性的数据安全技术

没错,区块链真的是最具颠覆性的数据安全技术

固若金汤 8个月前 (04-10) 铁匠

虽然区块链技术大多与加密货币联系在一起,作为推动比特币及比特币价格飙升的创新技术而为人所知,但专家眼中区块链将会彻底改变的行业却还有很多很多。 区块链可提供透明性、去中心化、效率、安全和其他一系列好处,彻底革新多个行业,改善数据世界的安全性。它将改变的行业包括但不限于: 银行业 供应链管理 保险 云存储 政府 慈善 在线音乐 能源管理 房地产 零售业 专家们眼中区块链将彻底颠覆的行业还有很多,有些

像黑客一样思考:应对安全问题所需的心理模型

像黑客一样思考:应对安全问题所需的心理模型

固若金汤 11个月前 (01-25) 铁匠运维网•小编

在信息安全领域,人们常常被要求“像黑客一样思考”。但是问题是,如果你想到的只是一个非常狭义的黑客(例如,只会攻击Web应用程序的黑客),那么它可能会对你的思维模式和业务开展方式产生负作用。 俗语有言“一知半解,害已误人”,孤立的事实并不能很好地呈现事情本来面目。正如传奇投资人Charlie Munger曾经所言,“如果你只是记住一些孤立的事实,那么你不能真正知道任何事情。如果不将事实与心智模型的网

如何恢复受损伤的硬盘?

如何恢复受损伤的硬盘?

网络安全工程师 1年前 (2017-12-04) 铁匠运维网•小编

使用修复软件、找专业硬盘维修厂商,没有那么难。 我们都有硬盘受损的经历。比如,多次强制断电、读写时没有正常插拔、有强烈摔碰、或者被雷劈了。 你在用电脑读写硬盘时突然拔出,有可能造成分区表损坏。所以一般来讲,用户都知道推出硬盘时,要点击电脑右键“安全弹出”。从纯技术角度看,如果异常断电,且时间恰好可能会导致磁盘磁头在写完数据后回摆时,不能正常归位,多次发生会导致磁头异常,确实存在磁盘无法正常读写的概

你是如何发现网站遭到ddos攻击的?

你是如何发现网站遭到ddos攻击的?

固若金汤 1年前 (2017-11-06) 铁匠

随着网络攻击的简单化,如今ddos攻击已经不止出现在大型网站中,就连很多中小型网站甚至是个人网站往往都可能面临着被ddos攻击的的风险。或许很多站长对来势迅猛的ddos攻击并不是很了解,导致网站遭遇攻击也不能被及时发现,造成防御不及时,带来经济损失。 为了让站长们能够及时发现ddos攻击,下面我们就详细介绍一下网站受ddos攻击的表现: 网站遇到ddos攻击的表现之一:服务器CPU被大量占用 dd

硬件黑客技术——扩展你渗透的攻击面

硬件黑客技术——扩展你渗透的攻击面

固若金汤 1年前 (2017-11-06) Seagate

一、前言 为了充分利用待评估的硬件,您应该熟悉多种安全测试领域——基础设施、网络、移动应用程序——因为这些现代设备都为我们提供了丰富的攻击面。硬件黑客技术可以极大扩展我们的渗透能力,不仅能够带来一些新的攻击方式,同时,还能增加我们的攻击深度。 二、动机 1. 持久性的问题 目前,漏洞的“半衰期”(用户为其服务/软件中已识别的漏洞安装安全补丁所需的时间的一半)已经非常短暂了;对于托管的Web服务来说

安全评估类型汇总分析和区分

安全评估类型汇总分析和区分

网络安全工程师 1年前 (2017-11-02) Seagate

汇总目前已有的所有安全评估类型,并进行分析 概要 有许多不同类型的安全评估,并不总是容易在我们的头脑清晰的表现出来 以下是对安全评估的主要类型的简要描述,以及常见混淆评估的区别。 安全评估类型 1.脆弱性评估:脆弱性评估是一种旨在环境中产生尽可能多的漏洞的技术评估(威胁区别于风险,威胁是会造成损害,风险不一定会造成但是存在和脆弱性类似,因为不一定会发生),以及严重性和补救优先级信息。 通常混淆:漏

阿里云肖力:云上,怎样才算把安全做到极致?

阿里云肖力:云上,怎样才算把安全做到极致?

固若金汤 1年前 (2017-10-13) 铁匠

10月12日,杭州云栖大会上,阿里云安全事业部总经理肖力,对日前发布的企业云安全架构,逐层解构,并介绍了阿里云如何从平台、数据、服务三个维度,为云上客户,和未来所有上云企业,提供极致的安全。   表象:安全,可能成为企业发展的黑天鹅 当企业处在数字化转型的拐点,安全问题很可能阻碍企业弯道超车。今年,三起严重的安全事件,无一不在提醒企业,安全的重要性。 从美国三大征信公司之一的Equifax数据泄露

安全人员学习笔记——Web中间件之Tomcat篇

安全人员学习笔记——Web中间件之Tomcat篇

固若金汤 1年前 (2017-09-01) 铁匠运维网•小编

Web中间件学习篇 本篇主要从IIS、Apache、Nginx、Tomcat四种常见中间件的Tomcat入手,介绍相关安全知识,遵循“中间件简介→如何搭建网站→安全配置分析→安全日志分析”的顺序进行学习,旨在梳理常见Web中间件的知识点,为Web安全学习打好基础。 Tomcat篇 作者:古月蓝旻@安全之光 Tomcat简介 Tomcat(Apache Tomcat)是Apache 软件基金会(Ap

走近科学:如何一步一步解码复杂的恶意软件

走近科学:如何一步一步解码复杂的恶意软件

固若金汤 1年前 (2017-08-23) 铁匠

  写在前面的话 在检测网站安全性的过程中,最麻烦的一部分工作就是要确保我们能够找出网站中所有已存在的后门。绝大多数情况下,攻击者会在网站各种不同的地方注入恶意代码,并以此来增加再次感染该网站的成功率以及尽可能久地实现持续感染。 虽然我们之前已经给大家介绍过数百种后门以及相应的影响,但今天我们想跟大家更加深入地讨论一些关于恶意软件的分析技术,即如何解码复杂的高级恶意软件。 本文所分析的恶

区块链技术的安全价值与局限性解析

区块链技术的安全价值与局限性解析

固若金汤 2年前 (2017-06-12) 铁匠运维网•小编

我们正站在新变革来临的边缘,互联网正在经历去中心化的阶段。经过了20年的科学研究,在密码学领域和去中心化计算网络上都产生了新的进展,带来诸如区块链技术(blockchain)之类的前沿技术,而这些技术可能潜含着从底层的改变社会运转方式的力量。 5月26日,美国国防部宣布与加密通讯开发商ITAMCO签署合同,共同开发用在美国军方的基于区块链的创新应用——一款“安全,不可侵入的消息传递、交易平台”。据

“同形异义字”钓鱼攻击,钉钉中招

“同形异义字”钓鱼攻击,钉钉中招

固若金汤 2年前 (2017-06-12) 铁匠运维网•小编

同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名IDNs(Internationalized Domain Names)支持多语种域名,而其中一些非拉丁字符语种的字母与拉丁字符非常相似,字面看很难区分。关于同形异义字钓鱼攻击的相关技术,freebuf上之前已有文章介绍,这里就不再过多介绍这个技术,不清楚可以自行搜索. 0×01 腾讯、京东、支付宝、微博、淘

人工智能反欺诈三部曲——特征工程

人工智能反欺诈三部曲——特征工程

固若金汤 2年前 (2017-03-20) 铁匠

近年来,随着移动互联网的兴起,各种传统的业务逐渐转至线上,互联网金融,电子商务迅速发展,商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图,此类线上推广迅速滋生了针对返利的系统性的优惠套利欺诈行为,俗称薅羊毛。由于移动设备的天然隐蔽性和欺诈行为的多变性,传统的防范手段,比如规则系统等就显得有些笨拙和捉襟见肘了,使得薅羊毛看起来仿佛防不胜防。但是正所谓魔高一尺,道高一丈。在实践中,我

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享