木马化开源软件的针对性攻击
译者:知道创宇404实验室翻译组原文链接:https://www.trendmicro.com/en_us/research/20/k/weaponizing-open-source-software-for-targeted-attacks.html 前言由于采用了合法的非恶意软件的外观,木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为,从而暴露其恶意意图。开源软件如何木马化?我们...
2024-01-10Wolf 恶意软件再次发起攻击
原文链接:The wolf is back 译者:知道创宇404实验室翻译组 泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击,目前,它主要针对如WhatsApp,Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余,主要进行代码重叠,开源项目复制粘贴,类的实例...
2024-01-10红蓝对抗之邮件钓鱼攻击
作者: jumbo@腾讯安全应急响应中心原文链接:https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w 前言红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯...
2024-01-10人为操控攻击的 Maze 勒索软件
原文链接:https://labs.sentinelone.com/译者:知道创宇404实验室翻译组摘要Maze勒索软件是目前在野外使用最广泛的勒索软件之一,由具有能力的参与者进行分发。我们发现了一个Maze分支机构,在交付勒索软件之前部署了量身定制的持久性方法。行动者似乎使用了被盗的证书在其信标上签名。与其他攻...
2024-01-10TA410:针对美国公用事业部门的攻击组织再出新的恶意软件
原文链接:Against U.S. Utilities Sector Returns with New Malware 译者:知道创宇404实验室翻译组 去年8月,Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现,这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同...
2024-01-10勒索软件伪装成 COVID-19 强制性调查攻击加拿大高校
作者:知道创宇404实验室翻译组 原文链接:https://blog.malwarebytes.com/cybercrime/2020/10/fake-covid-19-survey-hides-ransomware-in-canadian-university-attack/最近,我们观察到了Silent Librarian APT黑客组织针对全球范围内大学的网络钓鱼活动。10月19日,通过伪装的COVID-19调查,我们确定了针对哥伦比亚大学(UBC)员工的新型网...
2024-01-10《尼尔机械纪元》上挑攻击技巧心得
尼尔机械纪元上挑怎么用?游戏中战斗的技巧有很多,这里将为大家分享的是高跳的一些技巧比如上挑,下面一起来看下这篇尼尔机械纪元上挑攻击技巧心得吧。 尼尔机械纪元上挑攻击技巧心得 武器:任意武器装备在强攻击上(9S是弱攻击) 按键:跳+强攻击(9S是跳+弱攻击) 具体动作:用武器向上跳起攻...
2024-01-10黑吃黑:揭秘零零狗团伙利用裸贷照片等诱惑性手段的攻击活动
作者: 奇安信威胁情报中心公众号:https://mp.weixin.qq.com/s/MadzLRi2494UzDJMIGBbUQ前言裸条(裸贷)是在进行借款时,以借款人手持身份证的裸体照片替代借条。“裸条”借贷值得关注——女大学生用裸照获得贷款,当发生违约不还款时,放贷人以公开裸体照片和与借款人父母联系的手段作为要挟逼迫借款...
2024-01-10APT28 组织利用北约主题作为诱饵进行 Zebrocy 恶意软件攻击
译者:知道创宇404实验室翻译组原文链接:https://quointelligence.eu/2020/09/apt28-zebrocy-malware-campaign-nato-theme/摘要8月9日,QuoIntelligence检测到一个正在进行的APT28活动,该运动很可能在8月5日就开始了。攻击中使用的恶意软件是Zebrocy Delphi版本。第一次提交时,所有的工件在VirusTotal上的反病毒(AV)检测率都...
2024-01-10XSS和CSRF攻击思考
一、XSS攻击1. 概述在页面表单中内嵌js代码,执行js脚本获取用户信息或发送非法请求。2. 解决目前在vue、React等前端框中已经做了处理,只要按照安全的方式操作,基本上不会出现Xss,但是有一种情况是不能忽略,在于服务端是一个开放平台,对于调用者可能是客户端可能是Vue、React之外,还可能是...
2024-01-10重入攻击概述
作者:Al1ex@七芒星实验室原文链接:https://mp.weixin.qq.com/s/YAPP-Hv71J3OxE5WZZikrA文章前言以太坊智能合约中的函数通过private、internal、public、external等修饰词来限定合约内函数的作用域(内部调用或外部调用),而我们将要介绍的重入漏洞就存在于合约之间的交互过程,常见的合约之间的交互其实也是很多的...
2024-01-10XST攻击的疑问
https://eggjs.org/zh-cn/core/security.html#安全威胁-xst-的防范这里介绍了xst攻击但是我不明白 就算是利用TRACE 请求拿到了cookie然后呢 黑客又不能用拿到的cookie干什么就像在console里看到cookie内容一样为什么这里会“绕过了 httpOnly 的限制,拿到了cookie=1,造成了很大的风险”回答貌似不用太过于担心,刚刚测试...
2024-01-10“绿斑”行动——持续多年的攻击
作者:安天来源:《“绿斑”行动——持续多年的攻击》1、概述在过去的数年时间里,安天始终警惕地监测、分析、跟踪着各种针对中国的APT攻击活动,并谨慎地披露了“海莲花”(APT-TOCS)、“白象”(White Elephant)、“方程式”(Equation)等攻击组织的活动或攻击装备分析,同时也对更多的攻击组织...
2024-01-10php的ddos攻击解决方法
本文实例讲述了php的ddos攻击解决方法。分享给大家供大家参考。具体分析如下:今天自己的一台机器突然向外部发送大量数据包,可每秒到1G以上,虽然我用策略把UDP禁止包是发不出去但是很占cup啊,所以想到最后还是想办法解决了.先看源码,代码如下:<?php set_time_limit(999999); $host = $_GET['host']; $port = $_...
2024-01-10防止存储性XSS攻击
XSS攻击是跨站脚本攻击,又分存储型和反射型。存储型XSS攻击,就是将攻击脚本存储至数据库,以致所有访问者都会受到攻击。攻击脚本一般会将用户的cookie发送给攻击者,然后攻击者伪造用户登陆。反射型XSS攻击,就是攻击者通过特定的方式(邮件等)发送给用户恶意链接,通过用户点击达到攻击目...
2024-01-10直播软件开发的关键环节
一直以来,直播平台制作都是初入直播行业的创业者关心的问题。如果说在直播平台刚刚诞生的那几年,各项直播开发技术和服务还没那么完善,定制开发直播平台的成本也比较高。但是近年来随着国内很多云厂商都涉足互动视频直播服务,市场上的直播软件源码功能也越来越完善,不管采用哪种方式...
2024-01-10软件开发为什么比较难?
问题的分类最初在1999年被Dave Snowden开发出来的 Cynefin 框架尝试把世界上的问题划分到了5个域中(大类):简单(Simple)问题,该域中的因果关系非常明显,解决这些问题的方法是 感知-分类-响应(Sense-Categorise-Respond),有对应的最佳实践复合(Complicated)问题,该域中的因果关系需要分析,...
2024-01-10软件开发如何报价?
软件开发接单如何报价?求一份报价单模板。网上都是动则几十块收费下载的、关键都还是不能用、乱七八糟的模板回答:一般来说偶尔接单的话,就是按照功能拆分再评估不同的模块需要多久的工期,最终计算出来的工时会乘上 1.5 ~ 2 的系数,按照不同的复杂度和所用技术栈熟练度,因为会有很多意料之外的情况发生,预估都是很理想化的,多宽容一些工期对于你来说是十分重要的。工时单价就是按照你时薪的 1.5 ~ 3 倍...
2024-02-15《软件架构基础》软件开发模型
兼顾了快速原型的迭代的特征以及瀑布模型的系统化与严格监控引入风险分析喷泉模型一种以用户需求为动力,以对象为驱动的模型,主要用于描述面向对象的软件开发过程认为软件开发过程自下而上周期的各阶段是*相互迭代和无间隙**的特性喷泉模型不像瀑布模型那样,需要分析活动结束后...
2024-01-10不要做软件开发团队里打破窗户的那个人
从前有个程序员,叫阿星,在小公司工作了2,3年,经过了好多轮技术面试的奋战,终于成功加入了Banana公司,是一个很有名的技术大厂。阿星加入的部门是一个负责公司支付业务的中台团队。打杂期阿星在Banana公司的前几个月,主要做一些零散的小需求,一直没机会上手一些核心系统的开发,不过...
2024-01-10软件开发之技能梳理
本文内容纲要:软件开发之技能梳理摘要:根据我的开发实践及理解,梳理了作为软件工程师解决现实问题应当具备的基础技能。难度:中级。编程开发本质是运用程序和计算机来解决现实中的各种问题,因此,编程开发人员的才智发挥载体是计算机或者说计算设备,直接武器是程序。程序员用来进...
2024-01-10【软件开发】老板需要不知道的7件事
英文原文:7 Things Your Boss Doesn’t Understand About Software Development你的老板是否不理解你的工作?本文将有助于你更好地理解为什么你的老板不理解软件开发。你的老板可能真的很棒。我在我自己的编程生涯中就遇到过几个真心棒的老板,但即使是最棒的老板似乎也常常总是不能理解软件开发。事...
2024-01-10高性能多级多选级联组件开发
高性能多级多选级联组件开发效果预览单个项选中多个部分项选中需求分析在拿到需求之后,我们首先要做的是需求分析;通过上面的效果预览我们可以初步知道我们所需要处理的核心逻辑:默认加载第一层级数据鼠标 hover异步获取数据切换下级渲染数据鼠标点击点击当前项状态改变:...
2024-01-10软件项目开发报价指南
公司一直以来都在接新开发的,定制化的解决方案开发项目,在和客户取得了互信以后,首先会遇到的问题就是:多少钱?报个价吧。往往,我们的销售经理就蔫吧了,具体研发需要多少钱?我得去问问项目经理,那项目经理又是如何预估研发费用呢? 公司近期有好几个人都在问我这个问题,以下...
2024-01-10最适合Java开发者的一本书和一软件
一书-《Java编程思想》一软件-IntelliJ IDEAJava自学是否可以成功,答案显而易见,可以。自学Java关键看自己是否有毅力、是否有恒心。自学Java自学Java不是把自己封闭在屋子里闭门造车,自学Java包括一个核心的部分就是自我目标实现能力。自学流程自学最重要的是心态和毅力,如果毅力不够坚定自学...
2024-01-10