2020-12-13 阅读(643)

通达OA是一种利用较为广泛的办公系统。由于使用uid作为身份标识，攻击者可以通过构造 恶意请求，直接绕过登录认证逻辑，将网站管理员身份伪装成登录OA系统。通达OA官方网站 安全...

2020-12-11 阅读(607)

有一天在对客户代码进行安全测试时，找到了可以执行js代码的地方，然后通过代码审计发 现有命令执行。公司作为甲方的安全人员，如何攻击和修复需要考虑。边想着如何让开发如何...

2020-12-07 阅读(490)

组态管理的完备程度决定了安全性漏洞修复的准确性，人工维护组态管理数据的方式难以保 证数据的完整性和准确性，G行通过组态管理系统SMDB的建设和组态部门长期KPI指标考核组 态管...

2020-12-06 阅读(170)

为了解决以上问题，SINE安全对中间件漏洞修复方案进行了全套优化，其目标是在提高大 规模漏洞修复效率的同时，尽量降低部门整体修复成本，并避免大规模修复造成的生产环境事 件...

2020-12-06 阅读(215)

近几年来，随着国内外形势的变化，信息安全的重要性日益提高，金融业作为安全防范的 重灾区，信息安全防控建设逐渐成为科技界的一项重要工作。据SkybMESecurity公司公布的 二零二零...

2020-12-06 阅读(291)

本笔记是由张超教授现场做的talk摘要。弱点-有缺陷的攻击。弱点防御-修补。攻击攻击路线： 工具协助人来挖(CTF，主要依赖个人能力)-自动攻防(以人类经验为基础，以启发探索为补充...

2020-12-05 阅读(676)

如果写请求接口的级别过高，首先比较两个请求的返回是否一致。如果两个请求都成功并 且回报一致，则可能存在越权的风险。例如，更新商品信息可能会返回商品不存在或未经授权...

2020-12-05 阅读(890)

水平越权检测，返回的结果多种多样，这就给判断越权带来很大困难。当前的解决方案是 ，确定接口的不同行为，然后采取不同的策略以提高准确性。采用规则设置和算法优化，使界...

2020-12-03 阅读(294)

数据库作为重要信息的承载主体，存储各种业务信息，直接关系到一个部门能否正常运行， 因此保证数据库的安全是非常重要的。数据库建立后，无论是否访问应用系统，都有安全风险...

2020-12-03 阅读(262)

关于数据库安全的层面大体分为两层：第一层是指系统安全运行。对系统安全运行的威胁主 要是指一些网络犯罪分子通过互联网、局域网等侵入计算机的破坏性活动。造成系统不能正常...