网站入侵

前言 开发网站登录功能时，如何保证密码在传输过程/储存的安全? 相信不少前后端的朋友，在面试时都会被问到类似的问题。 在我对密码学一无所知时，也仅会回答：“MD5加密啊。” 诸不知，密码学在网络七层模型，甚至web开发中的应用比我想象得多得多。 1. 什么是密码学? 密码学是各种安全应用程序所必需的，现代密码学旨在创建通过应用数学原理和计算机科学来保护信息的机制。但相比之下，密码分析旨在解密此类机制，以便获得对信息的非法访问。 密码学具有三个关键属性：

本文尝试一步步还原HTTPS的设计过程，以理解为什么HTTPS最终会是这副模样。但是这并不代表HTTPS的真实设计过程。在阅读本文时，你可以尝试放下已有的对HTTPS的理解，这样更利于“还原”过程。 我们先不了聊HTTP，HTTPS，我们先从一个聊天软件说起，我们要实现A能发一个hello消息给B： 如果我们要实现这个聊天软件，本文只考虑安全性问题，要实现：A发给B的hello消息包，即使被中间人拦截到了，也无法得知消息的内容。 如何做到真正安全 这个问题，很多人马

这是一篇很长的文章，因为就网络安全新闻来说，2019 年就是一场灾难，每周都会有一个或多个重大事件发生。 以下是按月组织的过去 10 个月安全灾难的摘要。 一月 Apple FaceTime 中的严重漏洞：Apple FaceTime 应用程序中的一个错误使攻击者可以在不与被呼叫者进行任何用户交互的情况下呼叫并自行应答 FaceTime 呼叫，从而为进行秘密监视打开了大门。 在通过 Skype 面试后，朝鲜黑客渗透到智利的 ATM 网络：该文章的标题不言而喻，值得你花时间阅读该故事。 黑客破

《网络犯罪杂志》表示，到2021年，全球因数据泄露损失将超过60亿美元。在这里，我们将介绍一些2019年最常见的数据泄露原因，并了解如何及时解决这些问题。 错误配置的云存储 很难找到没有涉及不受保护的AWS S3存储，Elasticsearch或MongoDB的安全事件。一项全球研究表明，只有32%的组织认为在云中保护其数据是他们自己的责任。根据同一份报告，更糟糕的是，仍有51%的组织未使用加密来保护云中的敏感数据。 有报道称证实，声称有99%的云和IaaS错误配置属于最终用户控制范围，并且

随着互联网的不断发展，很多企业也意识到需要在互联网上建网站来展示自己的企业形象。但对于如何提高网站安全性大家往往缺少一个正确的认识。 建站很容易，但是做好网站的安全维护却是一件不容易的事情，随着逐年增加的网络攻击，网络黑客通过漏洞对网站进行攻击。为了避免网站遭到攻击，需要提升网站的安全性，同时不影响用户的体验。 在实际的运营管理当中，很多企业对于网站的安全性不够重视，网站存在很多安全隐患。比如服务器崩溃、网站被挂马等，轻则影响用户的使用体验，严重的导致企业蒙受巨大的经济损失。 提升网站安全

曾几何时，Telnet是我最喜欢的远程登录协议! 当年还年轻，还在H公司做网络测试的工作，天天千方百计的找路由器和交换机的BUG，总想给开发人员添堵，总想搞事情、不想让版本正常发布：)，现在回想起来，那真是一段单纯而美好的时光! 为了对交换机和路由器进行管理，当时我们都是使用Telnet登录的，各种命令敲的很High。突然有一天，我们的部门经理(现在担任H公司高管)专门把我们召集起来，让我们以后登录设备时，禁止使用Telnet，要切换为SSH，自动化平台的连接也要全部换成SSH! 这让我们很惊讶

如果说攻击者所依赖的是什么，那就是进入组织内部并避免发现。在网络内部发现恶意活动类似于在针堆中找到特定的针。组织努力获取对内部“东西向”流量的可见性以进行威胁检测。有些开始于在网络内部部署IDS以检测恶意流量，而另一些则使用内部防火墙阻止它。诸如UEBA之类的解决方案尝试分析收集的数据并识别可疑或恶意活动，而EDR解决方案则锁定端点以获取可见性并拒绝攻击者立足。这些方法存在错误性警报问题，并且无需进行任何调整即可消除它们。 此外，这些解决方案还可以从直接分析中提取实际的

【51CTO.com原创稿件】传统的网络安全架构把不同的网络划分为不同的区域，不同区域之间使用防火墙进行隔离。每个区域都被授予某种程度的信任，它决定了哪些网络资源允许被访问。这种安全建设思路提供了非常强大的纵深防御能力。 但是，随着云计算、移动互联网等技术的快速发展，企业数字化转型进程的不断推进，传统的内外网边界模糊，企业已经无法基于传统的物理边界进行安全建设。传统的安全建设思路已经很难去适应企业的快速成长和业务的快速变化。例如在移动办公场景下，员工、供应商、合作伙伴需要从全球各个位置安全地接入

新的连续自动渗透和攻击测试(CAPAT)工具将帮助首席财务官(CISO)更好地了解自身的薄弱点并先后采取最重要的补救措施。 与两年前相比，如今组织的网络风险管理更加困难。最近展开的ESG调研中有73%的安全专业人员这样表示。为什么会这样呢?受访者指向了一系列因素，如攻击面越来越大，软件漏洞数量不断增加，网络攻击者的技术实力也在不断提高。 那么组织如何减轻日益增长的网络风险呢?一种常见的方法是通过红队测试(red teaming)和渗透测试等演练更好地利用现有网络防御的力量。 许多组织已经进行了

在数据库的安全问题已跃至CSO的工作内容象限榜首的今天，对数据库安全的防御是艰苦的旅程，如何让针对业务安全和数据安全的攻击成为一场废鞋底的马拉松，防止恶意行为者利用漏洞威胁这个“线头”并最终扯下数据这条“线裤”的全部，让我们一起来关注在数据库安全能力建设中识别数据库的安全威胁。 安全威胁简介 数据泄露对每个企业都构成威胁，其损失不仅超出了敏感数据、机密数据和品牌损害带来的实际损失或披露范围，公司还承担了与补救和多年法律责任索赔相关的重大财务成本。