美国能源部2019年Q1电力应急和故障报告解读

2019年4月,美国能源部(DOE)发布2019年Q1电力应急和故障报告,出2019年第一季度发生系统故障次数62次,产生的电力损失高达135019兆瓦,影响客户数超过250万。美国电力保障由北美电力可靠性公司(NERC)进行承担,其为一个非营利性国际监管机构,使命是确保有效和高效地降低电网可靠性和安全性的风险。

阅读全文 “美国能源部2019年Q1电力应急和故障报告解读” »

Istio系列一:Istio的认证授权机制分析

随着虚拟化技术的不断发展,以容器为核心的微服务概念被越来越多人认可,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出,许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统,但在其势头发展猛劲之时,也有许多专家针对Istio的安全机制提出了疑问,比如在Istio管理下,服务间的通信数据是否会泄露及被第三方劫持的风险;服务的访问控制是否做到相对安全;Istio如何做安全数据的管理等等,这些都是Istio目前面临的安全问题,而我们只有深入分析其机制才能明白Istio是如何做安全的。

阅读全文 “Istio系列一:Istio的认证授权机制分析” »

区块链应用安全2017最新注册送体验——Dice2win安全事件分析

区块链产业目前处于快速发展的阶段,越来越多新技术应用落地的同时,很多新的安全问题也随之而来。其中,智能合约安全问题最为常见、最为灵活,其造成的损失也最不可控。Dice2win是一款基于以太坊公有链,通过智能合约实现的去中心化博彩小游戏,自小游戏发布的4个月时间里,由于智能合约漏洞,就发生了多起不同类型的攻击事件,而且事件环环相扣,损失大且不可逆。众多区块链智能合约安全事件证明,区块链应用的安全防御尤为重要。

阅读全文 “区块链应用安全2017最新注册送体验——Dice2win安全事件分析” »

绿盟科技互联网安全威胁月报NSFOCUS-2019-04

2019年4月绿盟科技安全漏洞库共收录85漏洞, 其中高危漏洞24个,微软高危漏洞9个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。

阅读全文 “绿盟科技互联网安全威胁月报NSFOCUS-2019-04” »

Weblogic wls9-async反序列化远程代码执行漏洞(2018年送彩金网站大全2019-2725)漏洞分析

这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd 对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列还未披露补丁。所以还是请各位谨慎对待,勒索大军跃跃欲试。

阅读全文 “Weblogic wls9-async反序列化远程代码执行漏洞(2018年送彩金网站大全2019-2725)漏洞分析” »

SA-CORE-2019-004 Drupal内核从XSS到RCE漏洞分析及利用

3月20日,Drupal官方发布SA-CORE-2019-004漏洞预警,修复了一处文件名处理异常,当我们上传特殊文件名时可以绕过限制在服务器上创建“无后缀”文件,精心构造的文件经过浏览器解析后可以触发XSS漏洞,再进一步可以达到代码执行的目的。官方描述该漏洞为中危影响,因为该漏洞需要登录,并且需要作者权限来上传文件才能触发。

阅读全文 “SA-CORE-2019-004 Drupal内核从XSS到RCE漏洞分析及利用” »