2018年黑客入侵了特斯拉在亚马逊上的Kubernetes容器集群。由于该集群控制台未设置密码保护,黑客便得以在一个Kubernetespod中获取到访问凭证,然后据此访问其网络存储桶S3,通过S3获取到了一些敏感数据,比如遥测技术,并且还在特斯拉的Kubernetespod中进行挖矿。黑客们潜入到了没有密码保护的Kubernetes管控台。在一个Kubernetespod里面,盗取了Tesla的公有云环境的访问权限,而对应公有云环境中则存放着如telemetry的敏感数据。除了裸露的数据之外,RedLock还注意到此次攻击中一些更为复杂的检测躲避手段。首先,没有使用知名的公共“矿池”。他们安
文章目录前言CSRF概念CSRF原理CSRF攻击防御防御方法session工作原理几种常见的攻击类型CSRF攻击实例CSRF攻击的对象当前防御CSRF的几种策略验证HTTPReferer字段在请求地址中添加token并验证在HTTP头中自定义属性并验证Chrome浏览器端启用SameSitecookieCSRF工具的防御手段1.尽量使用POST,限制GET2.浏览器Cookie策略3.加验证码4.RefererCheck5.AntiCSRFToken总结前言CSRF概念CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery)是一种对网站的恶意利用,也被称为one-c
作者:DavidCarlisle,Elliptic政策与监管事务副总裁编译:JIN,TechubNews在过去的十年中,不法分子利用了多种技术来对加密货币资产进行⌜洗钱⌟。其中包括使用混币器、隐私币、不受监管的加密货币交易所、DeFi、NFT 以及利用以上的项目进行组合搭配,展现出不法分子在逃避监管上手段的精明与多样。与此同时,随着不法分子⌜洗钱⌟技术的不断迭代,政府与公司也在加强相关技术的研究,开发出了揭示这些非法活动的方法。在我最近出版的书《加密货币洗钱者:从暗网到DeFi及其之外的犯罪与加密货币》中,我描述了执法机构、监管机构和私营部门如何适应技术变革和犯罪策略的演变,取得了重要胜利,以
一、文章摘要图像隐写术的目的是将一个完整大小的图像(称为秘密)隐藏到另一个图像(称为封面)中。以往的图像隐写算法只能在一个封面中隐藏一个秘密。在这篇论文中,我们提出了一个自适应局部图像隐写(AdaSteg)系统,允许缩放和位置自适应图像隐写。该系统通过在局部范围内自适应隐藏秘密,提高了隐写术的安全性,并进一步实现了单一封面内的多秘密隐写术。具体来说,这是通过两个阶段来实现的,即自适应块选择阶段和秘密加密阶段。首先,利用所提出的隐写质量函数和策略网络,利用深度强化学习自适应确定最优局部隐藏块;然后,将秘密图像转换为一个加密噪声的块,类似于生成对抗样本的过程,进一步编码到封面的局部区域,以实现更安
文章目录一.论文信息二.论文内容1.摘要2.引言3.作者贡献4.主要图表5.结论一.论文信息论文题目:YouCan’tSeeMe:PhysicalRemovalAttacksonLiDAR-basedAutonomousVehiclesDrivingFrameworks(你看不见我:对基于激光雷达的自动驾驶汽车驾驶框架的物理移除攻击)论文来源:2023-UsenixSecurity论文团队:密歇根大学&佛罗里达大学&日本电气通信大学二.论文内容1.摘要自动驾驶汽车(AVs)越来越多地使用基于激光雷达的物体检测系统来感知道路上的其他车辆和行人。目前,针对基于激光雷达的自动驾驶架构的攻击主要集中在
在红蓝攻防演练(hw行动)中,AD域若被攻击成功,是其中一个扣分最多的一项内容。每年,宁盾都会接到大量AD在hw期间被攻击,甚至是被打穿的企业客户。过去,企业还会借助2FA双因子认证加强OA、Exchange邮箱等重要应用账号密码的安全保护,但随着信创改造范围扩大、步伐加速,采取措施补救AD漏洞均属于治标不治本,企业客户正在寻求能够替代微软AD的国产方案。微软AD域作为企业的核心身份验证和授权系统,为应用、网络、终端、基础设施(VPN、虚拟桌面)等提供统一身份认证和鉴权。在企业场景中,微软AD的核心功能主要体现在以下6个方面:1.应用接入管理:主要对接LDAP协议的应用,如云桌面、VPN、研发
在以太坊智能合约开发中,Solidity是最常用的编程语言。然而,由于代码编写不当或缺乏安全意识,合约可能面临各种攻击。本文将通过一个简单的Solidity合约示例,展示一个潜在的攻击合约,并分析其相对于原本合约的危害以及攻击是如何实现的。目录一、原本合约示例二、攻击合约示例三、危害及攻击实现危害:攻击合约的危害在于,攻击者可以构造一个交易。攻击实现:攻击者会按照以下步骤执行攻击:总结一、原本合约示例假设我们有一个简单的“存款合约”(SavingsContract),允许用户向合约发送以太币(ETH),并可以后续提取。代码如下://SPDX-License-Identifier
零时科技每月安全事件看点开始了!据一些区块链安全风险监测平台统计显示,2024年2月,各类安全事件损失金额较2023年1月大幅增加。2024年2月发生较典型安全事件超22起,因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达4.22亿美元,较1月上涨约103%。其中攻击事件约3.47亿美元,增长约110%;钓鱼诈骗事件约1608万美元,下降约52%;RugPull事件约5938万美元,增长约440%。此外,还有一些具体安全事件和新的消息,下面来为大家详细讲述。黑客攻击方面典型安全事件 9 起(1) 2月9日,区块链游戏平台PlayDapp遭遇黑客攻击,攻击者的地址被添加为铸币者,铸造2亿枚
什么是慢速连接攻击缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。(瘫痪目标服务器)慢速连接攻击类型慢速连接攻击主要有如下几种:1.Slowheaders攻击攻击者向服务器发起HTTP请求,而且不停地发送HTTP头部。服务器为需要接收完所有HTTP头部,才能处理请求。由于HTTP头部不停地被攻击者发送,服务器永远也无法接收完,服务器的web容器很快就会被攻击者占满了TCP连接,而不再接收新的请求,最终拒绝服务。2.Slowbody攻击攻击者向目标服务器发送POST请求
随着全球加密货币规模正在超高速的增长,加密货币的安全存储成为了关键的一环。去年一年,加密货币行业已逐步从2022年的丑闻、市场暴跌中复苏过来,市场热度也逐步回升。与此同时,与加密货币有关的网络犯罪也再度活跃。根据加密货币追踪公司Chainalysis最新发布的《2024年加密货币犯罪报告》,仅勒索软件从受害者处勒索的加密货币价值就超过了10亿美元,2022年为5.67亿美元。图片来源:Chainalysis《2024年加密货币犯罪报告》据统计,去年有70%的加密诈骗、83%的向伊朗和俄罗斯等受制裁国家的加密支付以及84%的向受特别制裁的个人和公司的加密支付交易均使用了加密货币。在2022-20
