本期关键词:分布式、物联网、系统、保护、安全、网络安全、SRC、密码、攻击、网络钓鱼、网络安全、美国、网络、黑客、卫星、扫描。
1 《雄心、正直、责任》六字校训,以及在这些字中
令人惊讶的是,早在20多年前,任正非就预见到华为总会有一个冬天,所以他准备了棉衣而不是没有,所以他这次日本之行就是为了学习如何度过冬天。据日经新闻报道,华为计划于 3 月开始在日本销售用于可再生能源存储的大型电池。对此,华为没有回应。任正非给母校的新年信日前,任正非给母校贵州都匀一中的最新贺词在网上曝光。2022年1月6日,任正非向母校的老老师们送上新年贺词。他自称“任正非,一二老学生。
查看全文➡️(⬅️长按复制)
2《分布式锁的王者计划——Redisson》
上一篇文章介绍了如何使用Redis实现分布式锁的五种解决方案,但是我们还有一个更好的王者解决方案,那就是使用Redisson。缓存系列文章:缓存实践(一):20图| 6,000 字 | 缓存实践(上)缓存实践(二):Redis分布式锁 | 从青铜到钻石的五种进化方案我们先来看看Redis官网怎么说,Java版的分布式锁框架是Redisson。本实用内容将基于我的开源项目 PassJava 来集成 Redisson。
查看全文➡️(⬅️长按复制)
3 《深信服医疗物联网安全解决方案助力构建有效的物联网安全防护体系》
随着“健康中国”战略的实施,“智慧医院”等创新实践全面加速医疗行业数字化转型,物联网技术等新一代信息技术用于提高医疗系统资源配置效率,优化社会卫生服务水平。已成为医疗行业建设的共识。近年来,我国医疗物联网在智慧诊所、智慧患者服务、医疗机构智慧管理、远程健康管理等场景有重要应用和快速发展。应用安全等问题也成为关注的焦点。
查看全文➡️(⬅️长按复制)
4《1545.55万风险评估、安全演练及培训项目》
#互联网安全标准新闻54 近日,广东省发布的省数字政府安全监管(2022)系列项目招标公告包括:省数字政府安全监管(2022)项目申请系统上线前风险评估服务(部分) 1)招标:600万预算。省数字政务安全监管(2022)项目(二期)应用系统上线前风险评估服务招标:300万预算。省数字政府安全监管(2022)项目网络安全演练培训服务招标:645.55万预算。查看项目需求详细信息。
查看全文➡️(⬅️长按复制)
5“SRC密码生成工具”
一个SRC密码生成工具,在尝试顶级字典无果后,可以根据域名、公司名称等因素生成特定字典。0x01PwdBUD 只需要三个参数即可生成带有域名或公司名称索引的字典。
查看全文➡️(⬅️长按复制)
6 《虚拟货币网络犯罪愈演愈烈,安全防护需“多管齐下”》
近年来,虚拟货币的价值持续大幅波动,但网络犯罪分子对虚拟货币的热情几乎一直在上升。报告显示,到 2021 年底黑客技术qq群,网络犯罪分子拥有超过 110 亿美元的与非法活动相关的虚拟货币,高于 2020 年底的 30 亿美元。其中相当一部分来自虚拟货币的盗窃、劫持和蹂躏挖掘病毒。亚信科技建议,未来围绕虚拟货币的网络犯罪可能会愈演愈烈,企业需要加强对虚拟货币的网络安全防护,加强对以虚拟货币为赎金的挖矿病毒和勒索软件的防护。
查看全文➡️(⬅️长按复制)
7《民航飞机电子飞行包系统安全研究(上)》
进近和着陆性能应用计算为飞行员提供关键性能数据,例如进近速度、襟翼设置。修改其中任何一个都可能产生严重后果。例如,由于着陆距离计算不正确,一架飞机离开跑道末端或与跑道上的另一架飞机相撞。为了评估风险,我们邀请了有执照的商业飞行员来修改安装在 EFB 上的模拟器 对进近和着陆性能应用程序进行了各种修改。0x01 背景 在之前的文章中,我们讨论了篡改起飞性能应用程序的潜在危害。我们现在讨论进近和着陆性能应用程序的完整性,以及它们被篡改的潜在后果。
查看全文➡️(⬅️长按复制)
8 “新型网络钓鱼攻击技术出现”
对于安全人员来说,URL 是评估域名可信度的最重要方式。IDN Homograph 和 DNS 劫持等攻击会降低 URL 的可信度。最近,研究人员发现了一种新的网络钓鱼攻击方法,可以模拟浏览器窗口进行欺骗。弹出登录窗口 当您登录到具有 Google、Microsoft 和 Apple 等服务的网站时,将提供一个用于验证的弹出窗口。下图是尝试使用 Google 帐户登录 Canva 时的弹出窗口: 使用 Google 帐户登录 Canva 复制窗口 使用基本的 HTML/CSS 复制整个窗口的设计非常简单。将窗口设计与指向持有钓鱼页面的恶意服务器的 iframe 结合起来,基本上是无法区分的。
查看全文➡️(⬅️长按复制)
9 《安全快报 | 美国提出新法案以加强医疗保健和公共卫生部门的网络安全》
安全事件 3 月 25 日至 4 月 1 日第 1 周的网络安全事件综述 英国国防部因数据泄露导致招募系统离线,并向我们证实数字入侵者泄露了一些潜在的士兵数据。“一群黑客将在暗网上发布陆军应用程序数据,”军方在 3 月 14 日得知入侵后表示。两天后,作为预防措施,陆军关闭了职业网站和 DRS。目前,招聘网站已恢复运行,但在线申请和一些支持仍然缺失——或者更确切地说,该网站正遭受“技术问题”的困扰。“我们目前在陆军的征兵系统方面遇到了一些技术问题。
查看全文➡️(⬅️长按复制)
10《Viasat卫星通信网络攻击案例预警:黑客如何攻击易受攻击的卫星网络?》
对 Viasat 卫星攻击的调查显示,攻击者首先闯入管理网络并发出管理指令以覆盖设备的闪存,从而关闭客户家中的调制解调器并阻止其重新连接到网络。但这只是掉线了,并没有“破坏”设备。更深入的分析证实,攻击者使用配置错误的 VPN 设备作为跳板,远程访问 KA-SAT 网络中的受信任管理段。然后横向通过受信任的管理网段,进入负责网络管理和运行的特定网段黑客技术qq群,同时向大量客户调制解调器下达合法、有针对性的管理指令。
查看全文➡️(⬅️长按复制)
11《从攻击的角度看代码隐私和安全,9个Git秘密扫描工具盘点》
Git 是一个开源分布式软件版本控制系统,用于处理任何系统开发项目,无论大小,敏捷和高效。Git 存储库看起来像一个文件夹,但在这个文件夹中不仅保存了所有应用程序的当前版本,还保存了所有历史记录。Git 存储库的开放性和便利性常常使它们容易受到人为错误的影响。企业每天都会在公共 Git 存储库中泄露数以千计的重要代码信息,包括数据库密码、电子邮件帐户、管理 URL 和其他私人信息。造成了巨大的损失。
查看全文➡️(⬅️长按复制)
12 “Stuxnet 攻击再次出现?罗克韦尔自动化 PLC 中的严重漏洞
网络安全公司 Claroty Team82 的研究人员在罗克韦尔自动化的可编程逻辑控制器 (PLC) 平台中发现了两个高度严重的漏洞,攻击者可以(远程)利用这些漏洞来修改自动化流程、扰乱工厂运营、对工厂造成物理损坏或采取其他恶意行为。在本周发布的一份安全报告中,研究人员指出,其中一个漏洞与 Stuxnet 相当,因为它们允许攻击者在 PLC 上运行恶意代码而不会触发任何明显的异常行为。罗克韦尔自动化已为其客户发布了针对这两个漏洞的安全公告(文章末尾的链接)。
查看全文➡️(⬅️长按复制)
13“假“紧急搜查令”泛滥美国立法者呼吁“数字真实性”立法”
Krebs On Security 周二警告说,黑客正越来越多地利用政府和警察部门的电子邮件帐户从移动运营商、互联网服务提供商 (ISP) 和社交媒体公司提取敏感的客户信息。周四,美国参议院一位精通技术的成员表示,它对这份报告感到不安,并已向科技公司和联邦机构发出询问,以了解此类活动的活跃程度。兜售政府和警方电子邮件帐户访问权限的帖子截图 有争议的“紧急数据请求”(EDR)通常从常规或政府机构的电子邮件帐户发送,具有绕过法院传票或搜查令以允许技术企业交出客户或用户数据的能力.
查看全文➡️(⬅️长按复制)
14《使用codesql自动挖掘Java反序列化小工具》
0x00 背景 前两天看到一个老外写的一篇用codeql挖掘Java反序列化小工具的文章。翻了遍网上的帖子,发现除了上面那一篇,没有关于挖掘Java原生反序列化利用链的文章。. 那么首先分析挖掘原生反序列化利用链的条件: 1. source,入口点,一般是一个readObject方法 2. sink,执行点,一般是动态方法执行,Jndi注入,文件写入等 3. gadget,连接源和接收器的多个类。有几个条件: 1. 类之间的方法调用是链式的。
查看全文➡️(⬅️长按复制)
15《标准应用|个人信息收集合法性检测技术分析与实践》
个人信息收集的合法性是近年来监管部门关注的焦点。国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》明确对收集个人信息的合法性提出了具体要求。近日,CCIA数据安全工作委员会邀请了邦邦安全技术专家陈凤平、陈耀伟,从标准应用的角度,详细讲解了测试标准相关内容的具体技术思路。信息安全规范第01条解释 5.1 收集个人信息的合法性 a) 不得以欺诈、欺骗或误导的方式收集个人信息。
查看全文➡️(⬅️长按复制)
在 Hackdig 与 100,000 多名黑客一起免费学习黑客技术
▼记得点赞、“看”、收藏、转发、分享Hackdig给你的朋友❥(^_-) ▼