漏洞管理似乎无处不在,随便抓住一个企业IT人士询问是否实施了漏洞管理,绝大多数人都会给你肯定的答复。事实上,所谓的漏洞管理存在着各种各样的实现方式,从定期的渗透测试到全面的企业漏洞管理,任何一个疏漏都可能满盘皆输。人们常挂在嘴边的脆弱性风险问题,几乎从未得到真正解决。在安全牛对国内200位CSO读者的调查中,有26%的受访者表示由于未及时修补漏洞而蒙受了安全损失。
作者:贾晓强; 马帅; 吴婷 期刊:《中国航班》 2019年第11期
随着网络的蓬勃发展,出现的Web 漏洞在日益增加,Web 安全事件越来越严重。目前,能让安全专业人员测试和学习的 Web 漏洞演练环境比较少,为了提高安全专业人员的安全攻防技能,设计并实现针对常见 Web 漏洞的演练平台具有很强的现实意义。平台结合常见的 Web 漏洞,其中包括 SQL 注入、跨站脚本漏洞、文件包含、上传漏洞等,构造相应的漏洞环境,打造一种涵盖各种漏洞的演练靶场,为安全从业者提供合理合法的演练环境。经过测试,平台可以...
作者:姜建华; 赵长林 期刊:《网络安全和信息化》 2013年第10期
任何网络、应用程序或服务器都有可能遭受攻击,如果有谁敢假设自己的安全方案不会遭受最新的威胁,更是十分幼稚而可笑。完全保护自己免受黑客攻击并确保资源安全的惟一方法就是,经常用漏洞扫描方案去测试防御,或者利用外部的资源进行全面的渗透测试。 为防止来自黑客的攻击,安全人员需要理解他们是如何思考的。攻击者并不愚蠢,他们没有理由去攻击安全安全措施十分到位或受到安全强化的目标。如果你要进入一家企业,最佳的路...
作者:姜建华; 赵长林 期刊:《网络安全和信息化》 2011年第19期
在安全检查过程中,漏洞评估系统、渗透测试、Web应用程序漏洞评估等技术,每种都有着独特的价值。
作者:陈峻 期刊:《网络安全和信息化》 2019年第06期
对网络安全的防护工作需要系统有序进行,否则将会被攻击者有机可乘,本文是笔者单位针对自身情况建立的系统性的网站安全防护,实现了标准化和流程化工作。
作者: 期刊:《网络安全和信息化》 2015年第11期
当系统管理员面对微软Azure的安全性时,他们最常拿出的解决方案有加密、监控/记录、访问控制以及威胁管理等。不错,这些领域是云安全的盾牌。撇开系统设计和安全管理最佳实践,保持一个弹性的Azure环境远不仅仅是这些核心概念。经常被忽视的一件事就是通过漏洞扫描和渗透测试进行适当的安全审查。如果没有这些实践,也就没有办法知道Azure环境是否能够承受攻击。
持续且专注的自动化安全对DevSecOps的实现至关重要。将安全自动化融入到软件开发的生命周期中,通过自动化的方式减少安全漏洞检测和响应的时间,降低成本的同时也提高了应用程序的安全性,从而加速产品的交付速度。
作者:刘建鹏; 刘尧 期刊:《信息技术与信息化》 2019年第11期
随着新型互联网产品的出现,基于Web容器类的软件越来越多,也有更多的企业和产品会将信息在自己的网站平台上。而随着Web应用的迅速发展,黑客通过利用Web中存在的漏洞能获取到的信息会更加重要,造成的危害也会更大。为了减小安全问题造成的损失,渗透测试是不可或缺的。
作者:本刊编辑部; 张进 期刊:《汽车之友》 2019年第17期
在未来很长的一段时间,智能网联与自动驾驶技术,都将会是汽车行业之中广受关注的话题,同时也是车企所看重的必然发展路线。如何减少驾乘人员的行驶负担,如何通过车载智能化应用提升便捷度成为从业人员逐步攻克的课题。广汽研究院智能网联技术研发中心主任张进接受了《汽车之友》的专访,并为读者带来了广汽研究院当下所研发的各类相关技术,涵盖了智能网联车载系统、刚于日前的ADiGO(智驾互联)生态系统,以及目前开始路试的无人自动驾...
作者:赵川; 徐雁飞 期刊:《信息安全研究》 2019年第03期
越权漏洞是Web应用系统中一种常见的漏洞类型,被OWASP评为Top10风险,漏洞往往会导致敏感信息的泄露或数据被非法篡改.针对某省市个人社保经办系统,给出了一种攻击方法实例,采用渗透测试方法,从用户冒用、数据截取、报文修改及自动化扒取4个方面深入介绍了攻击流程、漏洞利用结果,分析了与其他漏洞之间的关联性关系及可能造成的风险.最后对漏洞原理进行说明,给出了几种漏洞防护策略.研究证明了越权漏洞在互联网大数据时代可能造成的...
作者:丛阳; 杨蓓蓓; 雷若琦 期刊:《中国银行业》 2018年第02期
在所有的金融机构中,银行拥有的面向公众开放的产品和服务最多,银行系统与外部各方的多点接触导致其在面对网络攻击时更加脆弱,并可能成为攻击金融系统其他部分的切入点。因此,银行需要拥有适当的用于缓释网络风险的治理框架、系统、程序和流程。尽管网络风险是大多数银行监管部门面临的挑战,但只有少数几个国家及地区有专门的监管法规和监督措施。
作者:孙萍 期刊:《计算机产品与流通》 2019年第04期
当今社会是一个网络的时代,移动通信互联网同时也以日新月异的速度发展着,它们引领了时代的潮流。在网络世界日益发达的情况下,如何保护好个人、企业甚至是国家的计算机系统以及网络数据安全,是我们面临的严峻问题。网络安全是指网络系统的各个组成部分,不会因为偶然的或者恶意的原因而遭受到破坏、更改、泄露,能够保证服务系统连续可靠正常地运行,同时网络服务不会中断。网络安全具有的主要特性:保密性、完整性、可用性、可控性、...
作者:王红凯; 龚小刚; 夏威; 吴科庆 期刊:《网络空间安全》 2015年第04期
安卓手机系统是目前世界上最流行的智能手机操作系统之一。安卓是一个对第三方软件完全开放的平台,它具有开放性、服务免费、应用市场自由的特点,开发者在为其开发程序时拥有更大的自由度,和苹果的封闭性完全相反。对于中国用户来说,安卓手机的市场份额很大,但生态环境也最恶劣。手机上恶意软件横行肆虐,绝大多数手机病毒都是基于安卓系统,而苹果和微软的病毒却非常少,普遍认为,苹果手机安全性要远远高于安卓手机。文章就安卓系统...
随着互联网应用的广泛普及,互联网在社会生活各个方面发挥着越来越重要的作用。与此同时,Web应用系统的安全面临着严峻考验,Web渗透测试技术已成为保障Web安全的一种重要手段。文章在研究Web系统安全脆弱性及常见漏洞基础上,通过分析黑客Web攻击的基本步骤,提出一种基于Kali Linux进行Web渗透测试的方法,以实现评估和提高Web应用系统安全的目的。
随着Web2.0技术的发展,人们的生活随之改变。但带来的安全问题也困扰着网络用户,遭遇了前所未有的挑战。本文提出了几种Web安全问题,以及渗透测试方法,为保障Web安全提供了思路。
作者:容湘萍 期刊:《电子技术与软件工程》 2019年第14期
渗透测试是网络信息安全中的主动防御手段之一,对提高网站的网络安全等级起着重要作用。本文基于Kali_Linux的运行环境,分析了以SQL注入的方式进行Web渗透测试几种方法,并按照课程设计的思路针对不同的方法提出了详细的实现步骤。
作者:孙舟; 潘鸣宇; 陈振; 袁小溪; 陈平 期刊:《中国电力》 2019年第01期
信息物理系统(cyberphysicalsystems,CPS)是集计算、通信与控制于一体的智能系统。电动汽车充电设施是一种典型的信息物理系统,但当前大量部署在现场的充电桩终端存在着用户入侵充电桩系统导致系统异常等安全隐患,亟须研究设计一套针对充电桩的自动化渗透测试系统。从指纹扫描、漏洞检测和漏洞挖掘3个方面对充电桩自动化渗透测试系统进行研究与设计,旨在检测已知漏洞和挖掘未知漏洞,有效地对电动汽车充电桩进行全方位的自动化安全...
作者:田志民; 林奇; 罗雪莱; 孟庆浩 期刊:《保密科学技术》 2012年第01期
由于大型武器系统全寿命周期对信息化设施与手段的依赖程度越来越高,因此信息安全特别是大型应用软件的安全漏洞检测越来越受到重视。本文针对当前国防工业信息安全所面临的主要问题,研究了国防工业专用信息系统安全性分析测试技术,开发了集成化安全性分析测试管理平台,旨在提高国防工业应用软件的安全性。
目前,指掌易与启明星辰的正式启动战略合作。指掌易的移动安全态势感知方案除传统的APP加固和渗透测试,还包含了企业移动管理、移动数据防泄露和移动端威胁大数据解决方案,可实现对企业移动业务的增强、管理、保护及数据风险行为的分析、预警和阻断。借助指掌易EMM安全管理平台,启明星辰“泰合计划”能实现企业移动办公终端数据防泄密(DLP)的核心安全能力,从更为宽阔的视野实现企业各类资产的动态管理。
作者:王丹; 顾明昌; 赵文兵 期刊:《哈尔滨工程大学学报》 2017年第11期
为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的...