中通密钥管理和在线加解密服务落地经验总结

背景 信息安全从互联网诞生起就是一个绕不开的难题,特别是近年来,中央关于信息安全的政策不断加码,网络安全已上升到国家战略的高度。 图 1 网络安全法律法规 中通作为提供涉及千家万户的快递服务的龙头企业,有义务也有责任积极落实各项法律法规,对用户隐私数据进行安全保护。 为了实现这一工作目标,我们设计规划

内网域名外网可访问之安全攻击案例

0x01 背景为什么是以进入内网作为一个目标来讨论,因为我认为站在攻击者的角度来说攻击的核心目标是获取数据。而相对来说几乎攻击者想要的所有数据都在内网,而相对来说本身内网的安全防御能力就几乎为0。所以从外部寻找一个突破口进入内网是整个获得数据的过程中最关键的一个环节。那么基于这样一个话题本来我想去讲的是

加密数据如何进行模糊查询?

为了数据安全我们在开发过程中经常会对重要的数据进行加密存储,常见的有:密码、手机号、电话号码、详细地址、银行卡号、信用卡验证码等信息,这些信息对加解密的要求也不一样,比如说密码我们需要加密存储,一般使用的都是不可逆的慢hash算法,慢hash算法可以避免暴力破解(典型的用时间换安全性),在检索时我们既不需要

Badusb 攻击之 MacOSX 系统实战

Badusb 已经出现了很多年,使用 usb 进行攻击的手段也从最初的利用 autorun.inf、伪造文件夹名、快捷方式等手段转为更加难以防御的 Badusb。这种攻击方式就是目前可绕过杀毒软件,防御较难。 点此打开观看一段演示视频,需 fq。 利用场景 说下本文中利用场景: 混入企业内部,员工电脑未锁

江湖算命秘术——《英耀篇》详解

江湖秘本《英耀篇》按:此《英耀篇》是江湖术士不传之秘,达到了中国 “揣摩” 术心理学的巅峰,一针见血,入木三分!只要稍微懂点算命术的基本术语及原理,再将此《英耀篇》背得滚瓜烂熟,行走江湖为人算命消灾等,不愁搞不到银子,骗不到女色。若算命的真功夫差些,最好打一枪换一个地方。若算命术的功夫已炉火纯青,加上巧舌

Dependency-Check 开源组件扫描工具

目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决,可以参考文章: 而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用 Depend

Json Web Token(JWT)攻击指南

最近工作中测试一款客户端 exe 程序,web 框架基于 CEF,认证用的是 jwt。在查阅了大量的国内以及国外文献后,经过大量的代码编写以及测试,写下此篇攻击指南。推荐一个现成的工具:https://github.com/mBouamama/MyJWT可以很负责任的说,目前针对 jwt 攻击测试的

利用微信打造各类监控消息推送

原文地址 saucer-man.com 1. 背景 在日常的工作生活中,经常用到长期后台运行的程序,比如子域名监控,github 监控,各种论坛签到,网站动态监控等等,这些都可以归结为属于定时任务,每天跑一次或者每小时跑一次,这种程序有个痛点就是状态监测,比如今天论坛签到成功了吗?今天 github 发

第 1 页 / 共 19 页 下一页
z