NVIDIA 遭遇網絡攻擊 1TB數據被盜

1.以數據為中心的數據安全基礎能力建設探索

企業數據安全治理,除了熟悉法律法規條文,信息採集最小化,服務入口明確隱私協議外,
更多的是需要建設內部基礎能力,如數據識別、分類分級、數據加密、權限管控等數據安全的基礎能力。
該文數據為中心的理念,圍繞數據識別、分類分級、基礎防護幾個方面,
結合開源軟件做一次梳理和功能演示,希望能幫助有需要的人員對數據安全有個直觀的了解。

2.在軍隊出發之前,這場戰爭就早已經開始了

2022年2月24號,這一天烏克蘭局勢牽動了全世界的目光。早在在開戰之前,
網絡上就有俄烏雙方的軍力對比,但是誰也沒有想到,
現代戰爭是這麼的迅速,這不禁讓人想起了三體中的降維打擊。
現代戰爭已經是海陸空全方位協同作戰,但在另一個大家經常忽略的網絡空間裡,
卻也發生著一場沒有硝煙的戰爭,這場戰爭雖然沒有明顯的人員傷亡,卻往往決定著戰爭的勝負和走向。

3.美國NIST《軟件供應鏈安全指南》解析

供應鏈安全是當下比較熱門的安全話題,究其原因是供應鏈安全牽一發動全身,
對各國經濟發展和數字社會的穩定具有深刻的影響。
本篇文章主要介紹NIST在2月初發布的“第 14028 號行政令 第 4e 節下的軟件供應鏈安全指南”,以供大家了解。

4.滲透測試之地基服務篇:服務攻防之框架Fastjson(上)

該篇章目的是重新牢固地基,加強每日訓練操作的筆記,
在記錄地基筆記中會有很多跳躍性思維的操作和方式方法,望大家能共同加油學到東西。

Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。
它採用一種“假定有序快速匹配”的算法,把JSON Parse的性能提升到極致,
是目前Java語言中最快的JSON庫。

5.滲透測試之地基服務篇:服務攻防之框架Spring(下)

本文銜接《滲透測試之地基服務篇:服務攻防之框架Spring(上)》,
Spring Data是對數據訪問的更高抽象。
通過它,開發者進一步從數據層解放出來,更專注於業務邏輯。
不管是關係型數據還是非關係型數據,利用相應接口,
開發者可以使用非常簡單的代碼構建對數據的訪問。

 


 省心工具 

 1.TerraGoat:一款針對Terraform的安全漏洞學習基礎設施

TerraGoat是一款專門針對Terraform的安全漏洞學習基礎設施,
TerraGoat中所有存在的安全漏洞都是軟件開發人員故意留下的,
可以更好地幫助廣大研究人員深入學習和研究跟Terraform相關的安全漏洞。

2.Invoke-EDRChecker:一款功能強大的主機安全產品檢測工具

Invoke-EDRChecker是一款功能強大的主機安全產品檢測工具,
該工具能夠對正在運行的進程進行詳細的安全檢查,包括進程進程元數據、
加載到當前進程中的DLL以及每個DLL元數據、常見安裝目錄、已安裝服務、註冊表和正在運行的驅動器。

3.如何使用SocialPwned收集各種憑證、郵件和Google賬號信息

SocialPwned是一款功能強大的OSINT公開資源情報收集工具,
該工具可以幫助廣大研究人員從Instagram、
Linkedin和Twitter等社交網絡上收集目標用戶相關的電子郵件信息,
然後再從PwnDB或Dehashed中查找可能存在的憑證洩漏,
最後再通過GHunt來獲取目標用戶相關的Google賬號信息。

4.如何使用CloudSploit識別和管理雲基礎設施的安全風險

CloudSploit是一個開源項目,旨在幫助廣大研究人員檢測雲基礎設施賬戶中的安全風險,
包括:亞馬遜網絡服務(AWS)、微軟Azure、谷歌云平台(GCP)、
甲骨文云基礎設施(OCI)和GitHub。在該工具的幫助下,
廣大研究人員能夠輕鬆識別自己雲基礎設施中的錯誤配置和安全風險。

5.如何使用Gorsair保護Docker容器的安全性

Gorsair是一款功能強大的針對Docker容器的安全分析和滲透測試工具,
可以幫助廣大研究人員檢查目標Docker容器中潛在的安全問題,
並發現和訪問目標Docker容器的API。
一旦成功訪問了目標Docker守護進程,就可以使用Gorsair直接在遠程容器上執行命令。



發佈留言