Web 安全漏洞之 XSS 攻击

编者说:作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击,希望能帮助到大家。 什么是 XSS 攻击XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web ...

Web 安全漏洞之文件上传

文件上传漏洞及危害文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能,例如头像、图片、视频等,这块的逻辑如果处理不当,很容易触发服务器漏洞。这种漏洞在以文件名为 URL 特征的程序中比较多见。嗯,是的说的就是世界上最好的语言 PHP。例如用户上传了一个 PHP 文件,...

Google 公布 2021 漏洞奖励支出共 870 万美元

近日,Google 在其安全博客上发文表示:得益于查找漏洞的研究人员的努力,2021年漏洞奖励计划(VRP)共发放了 870 万美元的漏洞奖励,研究人员还将他们获得奖励中的 30 万美元捐赠给了慈善机构。2021年 Google 也曾推出了一个全新的漏洞悬赏平台- Bug Hunters,该平台为研究人员提供了一个提交 Google、Android、Chrome、Google Play 等漏洞的统一入...

复旦教授发现 400+ 高危漏洞:谷歌 16 个月后终于修复 | Android 设备不用“变砖”了

近日,有媒体报道称,去年 9 月份,来自复旦大学计算机学院的杨珉教授及同事们发现了 400 多个能让“市面所有活着的 Android 设备变砖”的高危漏洞,并通过整理后提交至谷歌方面。“离谱”的是,当时 google 安全团队宣称 2 个月就修复,但实际花了 16 个月。也就是说,这些高危漏洞跟着大家一起“跨”了个年,一直到最近才完全修复。12 月 29 日,杨珉教授在微博通过账号 @杨珉_复旦大学 ...

谷歌公布 Log4j 2 “漏洞”调查结果:未受影响|Google Workspace 核心服务并未使用 Log4j 2

自 12 月 9 日 Apache Log4j 2 “惊天漏洞”被曝出后,全球众多科技企业已受到其影响。12 月 17 日,谷歌方面宣布已对该事件进行了调查,并于 12 月 21 日将结果公布在了 Google cloud 官方页面上。据 Google cloud 页面上 12 月 21 日公布的调查结果显示:面向消费者和付费用户的 Google Workspace 核心服务没有使用 Log4j2,也...

十大对抗勒索软件的最佳实践、Windows 10漏洞被非官方修复|11月15日全球网络安全热点

.chineseherald.co....Windows 10权限提升零日获得非官方修复研究人员警告说,CVE-2021-34484(Windows User Profile Service的特权提升漏洞)可以通过补丁绕过来利用,该漏洞最初由微软于8月解决。漏洞的CVSS评分为7.8重要等级。Windows中一个部分未修补的安全漏洞可能允许从普通用户本地权限升级到系统,但微软仍未完全解决——来自oPa...

使用云效Codeup10分钟紧急修复Apache Log4j2漏洞

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。漏洞信息早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对...

云效依赖漏洞检测,高效杜绝代码安全隐患

云效依赖漏洞检测,高效杜绝代码安全隐患,据不完全统计 78% 的企业都在使用开源,但这些开源依赖包的安全性呢?开源依赖提供方通常没有较多的预算进行安全性测试,危险系数极大。使用云效提供依赖包漏洞检测服务,能够杜绝代码安全隐患。限定语言:Java、Python、Golang、Node.js为什么需要关注依赖包漏洞在开发过程中使用依赖包漏洞检测越来越常见,无论是二方还是三方依赖,它帮助我们共享成果,重复使...

云效代码管理Codeup-源码漏洞检测

云效代码管理Codeup-源码漏洞检测,在软件编程中大多数安全漏洞都源于撰写者,虽然编码工具偶尔也会发生意外导致源码有漏洞,但大部分的错误还是由于编码不当造成的。企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险,但是效果通常并没有设想的那么有效,现在Codeup 内置支持源码漏洞检测,基于专业安全产品Sourcebrella Pinpoint,为用户提供覆盖 Java \ Python...

《Sysdig 2022云原生安全和使用报告》发现:超过75%的运行容器存在严重漏洞

g客户如何使用和保护云和容器环境。这种真实的实时数据提供了对每年运行的数十亿个容器的使用情况的洞察,包括使用趋势以及安全性、合规性、运行时和云实践。报告要点:75%的正运行容器中存在“高危”或“严重”漏洞企业为了快速发展而承担了一定的风险;但是,在生产中运行的85%的镜像至少包含一个可修补的漏洞。此外,75%的镜像含有严重程度为 "高危 "或 "严重"的可修补漏洞。这意味着相当大的风险接受程度,这对高...
© 2022 LMLPHP 关于我们 联系我们 友情链接 耗时0.025757(s)
2022-05-19 10:52:02 1652928722