网安 – 专业的网络安全产业、社区、知识平台

betasec

域安全 | K8s调度策略

在K8s中，调度是指将Pod放置到合适的节点上。在一个集群中满足一个 Pod调度请求的所有节点称之为可调度节点。PodFitsResources 过滤函数会检查候选节点的可用资源能否满足 Pod 的资源请求。根据当前启用的打分规则，调度器会给每一个可调度节点进行打分。最后，kube-scheduler 会将 Pod 调度到得分最高的节点上。可以通过一些手段约束一个Pod以便限制其只能在特定的节点上运行，或优先在特定的节点上运行。

betasec 11小时前

k8s pod kubernetes

HACK学习呀

实战 | 绕过自定义SSP的凭证保护抓取密码

独立 LSA 进程存储的数据使用基于虚拟化的安全性进行保护，操作系统的其余部分无法访问。LSA 使用远程过程调用来与隔离的 LSA 进程进行通信。使用可用于自定义安全包的 LSA 支持函数，开发人员可以实现高级安全功能，例如令牌创建、补充凭据支持和直通身份验证。这样便可以绕过 Credential Guard 的保护机制。这两种执行模式分别称为 LSA 模式和用户模式。结构数组的形式传递给 LSA。SpAcceptCredentials将为经过身份验证的安全主体存储的凭据传递给安全包。

HACK学习呀 11小时前

函数指针 函数调用 lsa lsa类型

一颗小胡椒

WebSocket 测试入门篇

这种传统的模式带来很明显的缺点，即浏览器需要不断的向服务器发出请求，然而 HTTP 请求可能包含较长的头部，其中真正有效的数据可能只是很小的一部分，显然这样会浪费很多的带宽等资源。浏览器通过 JavaScript 向服务器发出建立 WebSocket 连接的请求，连接建立以后，客户端和服务器端就可以通过 TCP 连接直接交换数据。

一颗小胡椒 11小时前

websocket websocket测试工具

数世咨询

几乎所有公司都与遭遇过数据泄露的第三方存在业务往来

几乎每家公司都跟遭受过数据泄露的第三方有业务往来，或者使用其产品，导致自身风险有所增加。以上结论出自数据科学

数世咨询 13小时前

网络安全 供应商

GoUpSec

中国网络安全行业首个“道德宣言”调查问卷

信任是网络安全的基本要素，同时也是最大痛点。只有全行业达成共识的职业道德和规范，才是网络安全企业文化和行业健康发展的基石。“有德无才，才不足以助其成；有才无德，德必助其奸”。只有德才兼备的人，才能成为社会发展的脊梁，才能担当中华民族复兴之大任。要想成为国家优秀的网络安全的栋梁之才，道德素养是关键要素。如何看待网络安全人士“个人品牌建设”和职业责任的关系？事件响应人员最重要的职业素养和个人品质？

GoUpSec 13小时前

网络安全 数据安全

黑白之道

任天堂游戏疑遭数据泄露？16岁黑客声称破解任天堂NX；ChatGPT 遭“越狱”：用死亡威胁使其回答违禁问题

一名BreachForums成员声称已经入侵了日本跨国视频游戏公司Nintendo NX的游戏机。据称泄露的内容与Nintendo Switch有关，可能包括有关其内部运作、游戏源代码和图形文件的信息。Nintendo Switch最初被称为NX，于2015年3月首次向公众推出，作为任天堂与手机游戏开发商DeNA合作的一部分。

黑白之道 16小时前

网络安全 越狱

中国信息安全

手机APP弹窗关不掉？加力整治！

移动互联时代，即时通讯、网络视频、在线购物、新闻资讯等各类移动互联网应用程序（APP）在快速发展的同时也滋生了种种乱象。近日，有关部门接连出台相关举措，开展专项行动、印发联合通告，为APP领域的健康规范发展加码发力。

中国信息安全 16小时前

网络安全 软件

安全客

在比特币网络中通过Sybil进行双花攻击（下）

双花攻击者可以通过组合Sybil攻击来阻止块传播，并增加赢得挖矿竞争的概率，从而成功地发起了双花攻击。研究了在Sybil攻击下成功进行双花攻击的可能性。攻击者的挖掘过程与不使用Sybil攻击的情况不同。先前假设Sybil节点尝试在每个共识轮次中延迟块传播，以使d超过Δ。根据下图所示的Sybil节点的部署，每个S连接到两个诚实节点。

安全客 16小时前

信息安全 网络安全

安全客

Gamaredon间谍软件变体盯上乌克兰

Ubiquiti在2021年1月披露了夏普数据被盗后的一起安全事件。Ubiquiti 拒绝付款，而是更改了所有员工凭证，发现并禁用了其系统的第二个后门，并于1月11日发布了安全漏洞通知。Ubiquiti 的股价下跌了近20%，导致市值损失超过40 亿美元。4月1日，该公司证实。据悉，Firebrick Ostrich是一个以接近工业规模执行 BEC的攻击团伙。

安全客 16小时前

软件 网络安全

中国信息安全

提升数字化建设中的数据价值

站在数字社会的岔路口，如何将数字技术融入社会结构功能变迁中，深化数据治理体系，厘清数据治理的复杂性、多元性与异质性，提升数据价值、创造数字红利，是摆在我们面前的现实难题。如何让数字化建设真正服务于国家治理与社会治理，可从以下方面具体着手。

中国信息安全 16小时前

网络安全 数据安全

中国信息安全

ChatGPT——人工智能是把“双刃剑”

多年来，全世界都在猜测AI可能即将统治世界。ChatGPT的开发者明确表示，这款AI工具具有质疑错误前提和拒绝不当请求的能力。鉴于日益智能和先进的黑客技术所带来的威胁迫在眉睫，网络安全行业必须拥有同等资源才能对抗这些AI驱动的攻击。好消息是自主响应如今能够在无需人类干预的情况下有效解决威胁。因此，AI和人类之间的微妙平衡将成为实现网络安全的关键因素，其中信任、透明度和责任感为机器带来了补充优势。

中国信息安全 16小时前

数据安全 网络安全

黑白之道

2023年八个热门DevSecOps开源工具

DevSecOps不仅仅是将安全“塞进”开发和运营。事实上，DevSecOps已经成为一种工程文化、一种自动化平台设计方法，目标是将安全性集成到整个IT生命周期中，成为敏捷企业的安全基石。以下我们收集整理了八个开发团队不可错过的，可集成到CI/CD管道中的DevSecOps开源工具。

黑白之道 16小时前

开放源代码 服务器

中国信息安全

防范新型网络传销守护民众财产安全

近年来，以投资理财、网上购物、虚拟货币等为名义的新型网络传销呈现多发态势，这种无接触、分散化的传销形式更具隐蔽性，传播更广、危害更大，给人民群众造成重大的财产损失。

中国信息安全 16小时前

数据安全 网络安全

中国信息安全

构建数据要素供给制度充分释放数据要素价值

由于缺乏对数据财产权的明确界定，导致缔约双方缺少交易基础，不利于交易的有效进行。考虑到隐私与安全的问题，在处理个人信息数据时面临较高的合规要求。开展个人信息数据托管试点工作，探索由受托者代表个人利益、监督市场主体对个人信息数据进行采集、加工和使用的机制。同时，数据的集中托管也有利于主管部门对个人信息数据的存储、流通环节实施监管，保护个人合法利益。

中国信息安全 16小时前

大数据 信息安全

安全牛

实现安全运营自动化的10款热门开源工具

应用部署根据官方文档，部署Velociraptor的最常用方法是通过GitHub来部署。官方文件显示，Velociraptor的设置应包括三大阶段和一些中间步骤。该解决方案让用户可以从多个主机收集数据、调查数据泄露，并创建安全基准。部署方式可使用Netgate Store的预加载包来安装和部署pfSense。

安全牛 17小时前

软件 云计算

GoUpSec

API安全的最大威胁：三体攻击

对于开发人员来说，OWASP API TOP10威胁列表堪称API安全的“圣经”。2019年OWASP根据API风险分析以及安全从业人员的现场经验编制了API TOP10威胁列表，清楚地划分了不同的API攻击类型。在最新的API攻击中，攻击者们正在组合使用多个攻击手段。此类API通常容易受到攻击，因为它们不在安全团队的雷达上。

GoUpSec 17小时前

api 网络安全

中国信息安全

国家邮政局：严厉打击泄露、买卖个人信息等行为

2月6日，国家邮政局召开局长办公会，审议并原则通过国家邮政局2023年重点工作和2023年邮政快递业更贴近民生七件实事（送审稿）、《寄递服务用户个人信息安全管理规定（送审稿）》等。

中国信息安全 17小时前

信息安全 信息泄露 网络安全

D1Net

网络安全预算正在上升，为什么数据泄露没有下降呢?

网络安全在过去几年已经成为全球企业关注的主要事项。此外，将近70%的网络安全工作者认为他们的公司没有足够的网络安全人员。预计这一趋势将持续下去，全球网络安全支出预计每年增长11%，到2026年将达到2673亿美元。据报道，从2020年到2021年，这一数字同比增长了50%。因此，企业需要进行战略转变，将重点转移到预测威胁、实施预防性战略并提高敏捷性上面，以尽快发现和消除威胁。

D1Net 17小时前

网络安全 网络攻击