BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

rss
  • 他的粉丝

    关于HTTPOXY漏洞的分析说明

    作者 惠新宸(鸟哥) 关注 1 他的粉丝 发布于  2016年7月20日

    大家觉得危害不大,但实际上,延伸一下——所有HTTP_开头的环境变量在CGI下都是不可信的,千万不要用于敏感操作,另外一点就是,我深刻的体会过,做安全的同学想象力非常丰富,虽然看似很小的一个点,但到了安全的同学手里,配合他们丰富的想象力,强大的社工能力,也是能做出巨大攻击效果的….

  • 他的粉丝

    解读2015之安全篇:安全环境持续恶化

    作者 乌云君 关注 0 他的粉丝 发布于  2016年1月21日 1

    2015年,整个IT技术领域发生了许多深刻而又复杂的变化,InfoQ策划了『解读2015』年终技术盘点系列文章。在安全领域,过去的这一年安全事件有增无减。由于云计算的不断发展,数据隐私泄漏更为严重,应用广泛的第三方平台开始出现严重的信任危急,企业员工安全意识薄弱令人触目惊心,而智能设备的不断涌现,万物互联使得本就错弱的基础设施安全更加千疮百孔。

  • 他的粉丝

    Java反序列化漏洞被忽略的大规模杀伤利用

    作者 王洋 关注 0 他的粉丝 发布于  2016年1月18日 1

    2015年11月6日,国外 FoxGlove安全研究团队于在其博客上公开了一篇关于常见 Java应用如何利用反序列化操作进行远程命令执行的文章。Java在进行反序列化操作的时候会使用ObjectInputStream类调用 readObject()方法去读取传递过来的序列化对象字节流进行处理,利用 Apache Commons Collections 库恰好可以构造出了一个在反序列化操作时能够自动执行命令的调用链。如果服务端程序没有对用户可控的序列化代码进行校验而是直接进行反序列化使用,并且程序中运行一些比较危险的逻辑,就会触发一些意想不到的漏洞。该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中都可实现远程代码执行。

他的粉丝

安全半月谈:Java两年来首现0day、KCon2015将召开

作者 魏星 关注 0 他的粉丝 发布于  2015年8月18日

自6月以来,国内安全会议连绵不断,除了OWASP、阿里安全峰会、乌云安全峰会之外,还有其他小规模的安全沙龙。本周,另一个安全大会——第三届KCon 2015 “黑无止境”知道创宇黑客技术大会将招开。

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT