1
2
3
4
5
6
7
连击 天
fork: star:
加载中
顶
原
荐
百度安全论文入选IEEE TIFS,让攻击者逃不出“楚门的世界”
导读:近日百度安全发表的论文《Detecting Hardware-assisted Virtualization with Inconspicuous Features》入选国际TOP期刊IEEE TIFS,论文深度剖析了虚拟化检测技术,并创新性提出一种最新...
顶
原
荐
DevSecOps在百度的实践
本文将从传统 SDL 开始,介绍百度从 SDL 到DevSecOps的演进历程。全文涉及 SDL 的痛点、DevSecOps 建设初衷、实践形式、落地思路,以及落地后的效果与收益,也会介绍DevSecOps在云原生时代的...
顶
原
荐
区块链共识机制介绍
共识机制(Consensus Mechanism)是区块链事务达成分布式共识的算法,随着区块链这一技术不断被推广,共识机制作为区块链的核心,也愈加受到人们的关注。共识机制在保护数据的一致性方面具有...
顶
原
荐
百度安全MesaTEE项目最新研究:软件架构缺陷成为Intel SGX新型攻击面
近日,受疫情原因,转移到线上举办的ASPLOS 2020公布了计算机领域最新研究成果,其中就包括了百度安全提交的论文《COIN Attacks: On Insecurity of Enclave Untrusted Interfaces in SGX》,...
顶
原
荐
百度安全DRAMDig:最快69秒逆向DRAM地址映射,可高效评估 Rowhammer攻击
导读:近日,国际顶级设计自动化大会DAC大会公布DAC 2020会议议程和论文名单,由百度安全发表的《DRAMDig: A Knowledge-assisted Tool to Uncover DRAM Address Mapping》成功入选。本篇论文...
原
百度安全实验室 | 机器学习对抗性攻击报告
从12月29日起,神秘的账号Master在弈城、野狐等围棋对战平台上轮番挑战各大围棋高手,并取得了不可思议的多连胜。1月4日,聂卫平、常昊、周睿羊等高手接连输给Master,到目前截止它已获得60连...
原
数据安全 | 黑产研究之拖库
文 | 兜哥谈安全 前言 通常web业务的重要数据诸如账户、交易信息都会存储在数据库中,这也使得数据库成为黑产攻击的重要目标。所谓拖库,就是通过入侵网站,非法获取数据库内容。本文将从黑产...
原
【兜哥带你学安全】黑产研究之拖库
前言 通常web业务的重要数据诸如账户、交易信息都会存储在数据库中,这也使得数据库成为黑产攻击的重要目标。所谓拖库,就是通过入侵网站,非法获取数据库内容。本文将从黑产的动机、常见手段...
原
【兜哥带你学安全】甲方视角谈谈如何抵御DDoS攻击
提要 大多数互联网公司的业务主要依赖在线服务,DDoS攻击作为最简单有效的在线服务攻击手段,经常被黑产作为攻击互联网在线服务的首选。 本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及...
原
【兜哥带你学安全】企业安全建设之自建准入系统
摘要 本文介绍了下自建准入系统的经历,该系统在某互联网公司稳定运行了5年。 准入系统简介 网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技...
原
百度安全实验室 | 支付安全不能说的那些事
在线支付已经走进每个人的生活。抢红包、网上购物、生活缴费等服务中处处都有在线支付的身影。但是在线支付体系暴露过许多次安全问题,黑客利用在线支付的漏洞可以悄无声息的免费清空购物车等...
原
还原所有加密关键词的方法: 文件植入攻击对可搜索加密的危害
可搜索加密技术允许用户搜索自己储存在云端的加密文件, 同时保证加密文件和自己搜索的关键词隐私。大多数这方面的研究致力于研发高效的可搜索加密技术。为了提高效率,这些可搜索加密技...
原
百度安全分享 | IE11类型混淆漏洞发现
摘要 百度安全实验室于2016年9月发现了一个可以稳定利用的IE11的类型混淆漏洞,能在Windows 7 32位系统上对IE11进行EIP寄存器控制。就在我们准备向微软报告的时候(2016年10月)这一漏洞被微...
原
百度安全 | 通过DNS劫持传播仿冒百度APK的案例分析
摘要 百度安全实验室在与黑产的持续对抗中发现,近来有攻击者通过DNS劫持推送仿冒百度APK。一旦受害者手机连接了新的网络,仿冒APK会进一步篡改所连WiFi路由器的DNS,从而控制更多的受害者,...
原
梅花K攻击-浏览器后退劫持
(昨天因题目和部分图片素材出现问题,遂删除重发。) 概述♧ 近期,百度移动搜索接到用户举报,在浏览完搜索落地页返回搜索结果页时,会进入到虚假的百度移动搜索结果页。该页面模拟了百度搜...
原
基于内存漏洞的互联网与本地系统的跨界攻击: The “Web/Local” Boundary Is Fuzzy
作者:Yaoqi Jia (新加坡国立大学) 早期的网页浏览器(Web browser)作为一个简单的网页文档显示软件,没有隔离不同的资源和对象。利用任何一个内存漏洞,攻击者就可以控制整个浏览器。现...
原
安全分享 | SSL/TLS 的近年相关攻击研究综述 (一)
在互联网时代,我们依靠的手机和计算机通信。支付,信息交流等都是互联网的一部分。但众所周知,在最初设计互联网的时候,其主要目标是增强通信能力,没有过多考虑安全问题。因此,现在互...
原
你的数字签名会被撞破么?——安全hash的攻与防
前言 安全hash函数在信息系统中有相当广泛的应用,特别是用于消息签名来保护消息的完整性和不可抵赖性等任务,可以说安全hash函数是现代应用密码学最重要的基石之一。如果安全hash函数出现安...
原
SSL/TLS的近年相关攻击研究综述(二) ——协议设计不足的漏洞 (基于CBC padding 的攻击)
简介 SSL/TLS在协议设计方面,存在一些弱点,可以被利用。本文综合介绍SSL/TLS使用CBC加密模式时,可能产生的攻击。 我们首先简单介绍CBC加密模式的工作原理。然后介绍基于CBC padding...
SSL/TLS的近年相关攻击研究综述(三)—— 协议设计不足的漏洞 (针对RC4 的攻击)
简介 我们在前面一文,介绍了SSL/TLS在协议加密方式方面,存在的一些可以被利用漏洞。本文综合介绍SSL/TLS使用RC4算法加密时,可能产生的攻击方式。我们首先简单介绍RC4加密的工作原理,然后...
没有更多内容
加载失败,请刷新页面
删除文章
文章删除后无法恢复,确定删除此文章吗?
删除动弹
动弹删除后,数据将无法恢复
评论删除后,数据将无法恢复