专题·漏洞治理 | 实战导向的漏洞运营实践
专题·漏洞治理 | 实战导向的漏洞运营实践 原创 郑文彬等 中国信息安全 2024-07-26 19:03 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京赛博昆仑科技有限公司 郑文彬 王斌 孙世斌 漏洞自产生以来,一直是黑客攻击的主要源头、网络安全防护的焦点以及攻守对抗的关键所在。在当前复杂的国际形势下,各关键行业应在总体国家安全观的指引下,加快建
继续阅读标签: 行业
专题·漏洞治理 | 防微杜渐,加强漏洞治理的应急响应环节
专题·漏洞治理 | 防微杜渐,加强漏洞治理的应急响应环节 长亭科技 2024-07-26 18:33 文 | 北京长亭科技有限公司 王昱 徐泽伟 当前,随着新技术和互联网的迅猛发展,网络安全威胁呈现出前所未有的复杂性和严峻性。新应用、新场景的不断增多,软件供应链生命周期长、环节复杂、暴露面多,使得网络安全攻防的核心——“漏洞”的问题更加突出。 根据中国信息安全测评中心 2023 年牵头编写的《全球
继续阅读“微软蓝屏”事件最新回应!美国“众击”公司将宕机事件归咎于内容更新漏洞
“微软蓝屏”事件最新回应!美国“众击”公司将宕机事件归咎于内容更新漏洞 刘骁骞 中国信息安全 2024-07-25 18:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 当地时间7月24日,美国电脑安全技术公司“众击”(CrowdStrike)发布了其对此次大规模网络故障初步审查的详细信息,将网络故障归咎于其网络安全平台内容配置更新中的一个漏洞。该公司表示
继续阅读专题·漏洞治理 | 美国工控安全漏洞管理政策研究与思考
专题·漏洞治理 | 美国工控安全漏洞管理政策研究与思考 原创 郭娴 李莹 朱丽娜 中国信息安全 2024-07-25 18:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 国家工业信息安全发展研究中心 郭娴 李莹 朱丽娜 当前,我国工业领域数字化、网络化、智能化加速融合发展,取得了显著成效,但与此同时,网络风险也不断向工业领域渗透蔓延。近年来,工控
继续阅读靖云甲ADR捕获WebLogic远程代码执行0day漏洞
靖云甲ADR捕获WebLogic远程代码执行0day漏洞 实战攻防 2024-07-24 18:00 WebLogic 是在金融、运营商、能源、中央企业、大型企业中常用的中间件,也是安全研究的重点关注对象,其覆盖的应用系统数量极多,且多数应用皆会对外提供服务,此类大型中间件的漏洞可谓是进攻利器。 为了应对日新月异的攻击手段以及第三方外采系统、老旧业务系统防护难等问题,很多客户选择边界无限为Web应
继续阅读专题·漏洞治理 | 软件安全研发成熟度模型研究与实践
专题·漏洞治理 | 软件安全研发成熟度模型研究与实践 原创 王滨 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 杭州海康威视数字技术股份有限公司 王滨 物联网已经渗透到社会经济的方方面面,构建出一个全新的智能化世界。然而,物联网设备的快速增长加剧了网络的开放性和复杂性,由此带来的日益严峻的安全挑战成为制约
继续阅读漏洞预警 电信 网关 ipping.php 命令执行漏洞
漏洞预警 电信 网关 ipping.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2024-07-24 15:17 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
继续阅读专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形
专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形 原创 丁斌等 中国信息安全 2024-07-22 18:32 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京启明星辰信息安全技术有限公司 丁斌 张苗苗 范占利 宋楠 王硕玮 在当今数字化浪潮席卷全球的背景下,随着信息技术的迅猛发展,网络安全问题日益凸显。漏洞作为网络攻击的主要入口,成为一种
继续阅读神漏洞!远程篡改红绿灯时间,制造交通堵塞事故
神漏洞!远程篡改红绿灯时间,制造交通堵塞事故 安全内参编译 安全内参 2024-07-22 17:41 关注我们 带你读懂网络安全 虽然无法切换红灯绿灯,但通过篡改信号时长,依然可以制造出交通堵塞事故; 研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 前情回顾·无所不能的漏洞 – 神漏洞!GE医疗超声设备感染勒索软件,设备停摆、数据遭篡改 神漏洞!热门扳手感染勒索软
继续阅读上周关注度较高的产品安全漏洞(20240715-20240721)
上周关注度较高的产品安全漏洞(20240715-20240721) 原创 CNVD CNVD漏洞平台 2024-07-22 17:31 一、境外厂商产品漏洞 1、 Microsoft Windows Secure Boot安全功能绕过漏洞(CNVD-2024-32545)**** Microsoft Windows Secure Boot是美国微软(Microsoft)公司的安全启动。Micros
继续阅读防微杜渐,加强漏洞治理的应急响应环节
防微杜渐,加强漏洞治理的应急响应环节 关键基础设施安全应急响应中心 2024-07-22 14:44 当前,随着新技术和互联网的迅猛发展,网络安全威胁呈现出前所未有的复杂性和严峻性。新应用、新场景的不断增多,软件供应链生命周期长、环节复杂、暴露面多,使得网络安全攻防的核心——“漏洞”的问题更加突出。 根据中国信息安全测评中心 2023 年牵头编写的《全球高级持续性威胁(APT)研究报告》显示,零日
继续阅读【漏洞通告】Alibaba Nacos derby 远程代码执行漏洞
【漏洞通告】Alibaba Nacos derby 远程代码执行漏洞 安迈信科应急响应中心 2024-07-19 18:22 01 漏洞概况 Alibaba Nacos derby 存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。02 漏洞处
继续阅读【漏洞通告】SpringBlade存在SQL注入漏洞
【漏洞通告】SpringBlade存在SQL注入漏洞 安迈信科应急响应中心 2024-07-19 18:22 01 漏洞概况 SpringBlade是上海布雷德科技有限公司精心设计的一款微服务架构,提供SpringCloud全套解决方案。SpringBlade存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Springblade存
继续阅读【漏洞通告】TorrentPier 存在安全漏洞
【漏洞通告】TorrentPier 存在安全漏洞 安迈信科应急响应中心 2024-07-19 18:22 01 漏洞概况 TorrentPier是Torrentpier公司的一个公牛驱动的 BitTorrent 公共/私人跟踪器引擎。TorrentPier存在安全漏洞,该漏洞源于 get_tracks 方法使用不安全的原生PHP序列化格式来反序列化用户控制的cookie。02 漏洞处置综
继续阅读汽车网络安全 — 漏洞该如何管理
汽车网络安全 — 漏洞该如何管理 谈思实验室 2024-07-19 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 漏洞获取途径汇总 俗话说站在巨人的肩膀上可以看得更远,在谈漏洞管理之前,了解历史上有哪些汽车网安事件,汽车威胁在哪里可以获取,对我们开展业务是非常有帮助的。 这里列举几个分享这些情报的平台: AUTO-ISAC:成立于2015年,是国外OEM共同维护
继续阅读建设全流程漏洞闭环管理机制,筑牢关基安全屏障
建设全流程漏洞闭环管理机制,筑牢关基安全屏障 关键基础设施安全应急响应中心 2024-07-19 15:21 当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑战。漏洞作为网络攻击者入侵系统的主要突破口,已成为影响国家安全和数字经济安全的重要因素。数量不断攀升的各类漏洞不仅威胁着网络系统的正常运行和数据安全,更有可能对国家安全、社会稳定和经济
继续阅读专题·漏洞治理 | 对漏洞治理体系革新发展的思考与建议
专题·漏洞治理 | 对漏洞治理体系革新发展的思考与建议 CNNVD安全动态 2024-07-18 20:46 文 | 哈尔滨工业大学 张兆心 孔珂; 北京邮电大学 刘欣然 网络空间作为 21 世纪国家主权的新疆域,其战略意义与日俱增。漏洞治理是构筑网络安全基石的关键环节,它不仅承载着捍卫国家网络主权的重任,也是维护数字领土完整与安全的核心策略。漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要
继续阅读专题·漏洞治理 | 建设全流程漏洞闭环管理机制,筑牢关基安全屏障
专题·漏洞治理 | 建设全流程漏洞闭环管理机制,筑牢关基安全屏障 原创 张峰等 中国信息安全 2024-07-18 18:19 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 中国移动通信集团有限公司信息安全管理与运行中心 张峰 赵红 徐一 苏占霞 当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑
继续阅读对漏洞治理体系革新发展的思考与建议
对漏洞治理体系革新发展的思考与建议 关键基础设施安全应急响应中心 2024-07-18 15:08 网络空间作为 21 世纪国家主权的新疆域,其战略意义与日俱增。漏洞治理是构筑网络安全基石的关键环节,它不仅承载着捍卫国家网络主权的重任,也是维护数字领土完整与安全的核心策略。漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要技术手段来发现和修复漏洞,还需要完善的管理体系、明确的政策指导和严格的法
继续阅读抖音漏洞奖金提升至20万元/个!
抖音漏洞奖金提升至20万元/个! 字节跳动安全中心 2024-07-18 14:28 ByteSRC自2018年成立以来,不断提升各个产品的漏洞奖金,并设立成长升级体系,给予白帽师傅们丰厚的物质回报和荣誉激励。 其中,抖音作为拥有数亿用户的平台,一直将安全建设视为重中之重,始终把用户信息和隐私安全放在首位。在守护数亿用户的道路上,我们十分认可白帽师傅们的积极贡献, 步履不停,漏洞奖金持续攀升! 🟢
继续阅读FreeBuf「漏洞分析」主题征稿活动即日上线
FreeBuf「漏洞分析」主题征稿活动即日上线 FreeBuf 2024-07-17 18:55 根据Cloudflare发布的2024年应用安全报告,攻击者正越发快速地利用被公开的漏洞,甚至仅在公开后22分钟 就将可用的概念验证(PoC)漏洞武器化。 2024年7月,OpenSSH 远程代码执行漏洞(CVE-2024-6387)首个PoC在网上公布。该影响基于glibc的Linux系统,有可能引
继续阅读大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享
大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享 谈思实验室 2024-07-17 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 AutoSec 2024 第八届中国汽车网络安全周 9月3日-4日 9月3日-4日,「AutoSec 2024第八届中国汽车网络安全周暨第五届智能汽车数据安全展」由谈思实验室和谈思汽车主办、上海市车联网协会联合主办,连续8年与大
继续阅读最严重的39个硬件安全漏洞
最严重的39个硬件安全漏洞 安信安全 安信安全 2024-07-17 17:00 2018年1月曝光的两个处理器高危漏洞——Meltdown和Spectre震惊了整个计算机行业。攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。 这些漏洞源于现代CPU的一种称为“ 推测执行 ”的性能特性,而缓解这些漏洞需要历史上最大规模的补丁协调工作,涉
继续阅读新手飞跃!零基础Android漏洞挖掘全攻略(实战+技巧)
新手飞跃!零基础Android漏洞挖掘全攻略(实战+技巧) 釉子 看雪学苑 2024-07-16 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而
继续阅读【已复现】泛微 E-COLOGY存在SQL注入漏洞
【已复现】泛微 E-COLOGY存在SQL注入漏洞 安恒研究院 安恒信息CERT 2024-07-15 18:18 漏洞概述 漏洞名称 泛微 E-COLOGY存在SQL注入漏洞 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202407-000002 POC情况 已发现 EXP情况 未发现
继续阅读最新!0day windows 课程更新3节
最新!0day windows 课程更新3节 看雪课程 看雪学苑 2024-07-15 17:59 更新: 8.1 CVE-2020-1337原理分析 https://www.kanxue.com/book-166-3322.htm 8.2 PrintNightmare原理分析 https://www.kanxue.com/book-166-3323.htm 2024年7月14日直播回放:CVE-
继续阅读当前美国漏洞治理体系面临的挑战与应对举措
当前美国漏洞治理体系面临的挑战与应对举措 关键基础设施安全应急响应中心 2024-07-15 15:16 近年来,网络安全漏洞(以下简称“漏洞”)的资源属性和战略地位不断提升,与其相关的战略、政策和平台成为各方关注与研究的重点。美国作为信息化和网络安全领域的先发国家,在网络安全漏洞的发现收集、验证评估、修复消控、披露和跟踪上建立了较完备的治理体系,成为美国网络安全战略保障的关键环节。拜登政府投入大
继续阅读专题·漏洞治理 | 当前美国漏洞治理体系面临的挑战与应对举措
专题·漏洞治理 | 当前美国漏洞治理体系面临的挑战与应对举措 网络安全与人工智能研究中心 2024-07-14 17:03 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 《中国信息安全》杂志社 桂畅旎;中国信息安全测评中心 李维杰 近年来,网络安全漏洞(以下简称“漏洞”)的资源属性和战略地位不断提升,与其相关的战略、政策和平台成为各方关注与研究的重点。
继续阅读CVE-2024-6188 漏洞复现
CVE-2024-6188 漏洞复现 原创 fgz AI与网安 2024-07-13 09:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Parsec Automation TrackSYS 敏感数据泄露 漏洞 02 — 漏洞影响 Pars
继续阅读共建漏洞协同防御体系,亚信安全成为麒麟软件漏洞协同优秀合作伙伴
共建漏洞协同防御体系,亚信安全成为麒麟软件漏洞协同优秀合作伙伴 你信任的 亚信安全 2024-07-11 18:43 7月10日,以“操作系统漏洞治理和安全开发实践”为主题的麒麟软件安全生态联盟2024年第二次工作会议在北京成功召开。作为安全生态联盟首批成员之一,亚信安全受邀参会并荣获“漏洞协同优秀合作伙伴”称号。 据悉,本次工作会议旨根据联盟工作目标和主要任务,积极推动后续工作开展,推动“麒麟软
继续阅读