作者简介 雷兵 携程网 安全中心信息安全专家 2007年1月加入携程，曾任安全经理、高级经理、网络安全总监，负责携程技术安全体系建设，曾主持网络安全架构设计、内外网渗透测试安全评估、建立应用安全团队、部署代码白盒扫描系统、Web 应用防火墙等。 现任网站运营中心网络安全部总监，近年来带领团队向互联网运维团队 ...

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击，捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击，我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招，最终被黑客植入后门木马完 ...

信息安全服务主要分为如下三大类，22个子项以及其他信息安全服务类： 信息安全服务 信息系统生命周期 服务类别 服务组件 规划 设计 建设 运行 信息安全咨询服务 信息安全规划 √ 信息安全管理体系咨询 √ √ 信息安全风险评估 √ √ √ √ 信息安全应急管理咨询 √ ...

Pdf文件是应用广泛的一种文件格式，发展至今已经到了2.0版本，其功能也得到了不断丰富，很多鲜为人知的功能可能会被利用实施恶意行为。本文将简单介绍在pdf文件中嵌入Javasript脚本的利用方式。 文章目录 一、PDF中的Javascript利用 二、pdf中的Javascript规范 1、文件夹级脚本 2、文档级脚本 3、页面级脚本 4、 ...

试题一 阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。 2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后 ...

1、2016年11月7日,十二届全国人大常会第二十四次会议以154票赞成,1票弃权,表决通过了《网络安全法》。该法律由全国人民代表大会常务员会于2016年11月7日发布,自（  ）起施行。 A.2017年1月1日 B.2017年6月1日 C.2017年7月1日 D.2017年10月1日 答案：B 2、近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应 ...

5月中旬，著名安全媒体CSO在线发布了美国薪资最高的7个网络安全岗位，一起来看看吧。 网络安全行业在很多国家中的市场地位不可估量。近年来，中国市场也逐渐掀起了“安全风”。安全技术岗位的高薪有目共睹，很多企业都愿意不惜成本地聘请专业人才。 业界已有很多研究显示，未来几年内，美国优秀的网络安全人才岗位缺口将 ...

本文是翻译文章，文章原作者，文章来源：https://srcincite.io/  原文地址：https://srcincite.io/blog/2018/05/21/adobe-me-and-a-double-free.html 译文仅供参考，具体内容表达以及含义原文为准 前言 最近，我刚刚得到了CVE-2018-4990的漏洞利用样本，这是一个影响Acrobat Reader的0-Day漏洞，在近期，Adobe发布 ...

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时，无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获，并及时上报给厂商修复。 <img alt=”Zero-days-ESET.png” src=”http://image.3001.net/images/20180516/15264410943339.png!small” width=”690 ...

建议大家关注Adobe Acrobat/Reader代码执行漏洞 (CVE-2018-4990) 等，Adobe Acrobat/Reader是PDF文档阅读和编辑软件。此漏洞的利用样本已经曝光，后续可能存在被黑客大规模利用攻击的可能性。请受影响用户及时下载更新。 Adobe Acrobat/Reader代码执行漏洞 NSFOCUS ID 39748 CVE ID CVE-2018-4990 受影响版本 Adobe Acr ...

今天看到一篇博文，针对信息安全从业分类而言，有几分道理，当然其中也有很多不足的地方，部分内容也有一定的老旧，但这些不足的地方正好可供给大家一块儿交流谈讨了，希望这篇文章能对大家的职业规划有所帮助。 信息安全从业的几个分类： [漏洞挖掘/安全技术研究员] 研究对象：OS，网络，应用，通讯媒介及协议的安全漏 ...

“游戏才刚刚开始”，慢雾科技披露“以太坊生态缺陷导致的一起亿级代币盗窃大案”之后，慢雾科技联合创始人余弦在朋友圈写下了这段话。 盗币事件的披露，行业引起不小的震动。人们意识到，在世界上某些看不到的角落，一群黑客把互联网当做提款机，无时无刻捕捉每一个漏洞，肆意掠夺我们的资产。区块链的出现，或许是人类社 ...

8.4 数字水印在版权保护中的应用 一.大纲要求 8.4 数字水印在版权保护中的应用 熟悉数字版权保护系统的需求分析 熟悉基于数字水印的数字版权保护系统体系 架构 掌握数字版权保护系统的常用数字水印技术 了解数字版权保护系统的技术标准 二.思维导图   三.备考知识要点 数字水印技术是通过数字信号处理的方法，在数 ...

8.3 嵌入式系统的安全应用 一.大纲要求 8.3.1 嵌入式系统的软件开发 熟悉嵌入式的交叉编译环境配置方法 了解嵌入式C语言的编程方法和编译方法  熟悉IC卡的安全配置和应用 8.3.2 移动智能终端 掌握移动智能终端的主流OS的安全防护和配置方法 掌握移动智能终端应用安全 二.思维导图   三.备考知识要点 8.3.1 嵌入式 ...

8.2 电子商务安全的需求分析和基本设计 一.大纲要求 8.2.1  熟悉电子商务系统的体系架构 8.2.2  熟悉电子商务系统的需求分析 8.2.3  熟悉电子商务系统的常用安全架构 8.2.4  掌握电子商务系统的常用安全技术 二.思维导图   三.备考知识要点 8.2.1 电子商务系统概述 电子商务系统具有自身的特点： 电子商务系统是支 ...

第8章应用安全工程 8.1 Web安全的需求分析与基本设计 一.大纲要求 8.1.1 Web安全威胁 * 熟悉OWASP Top 10 Web安全分类 8.1.2 Web安全威胁防护技术 * 掌握注入漏洞防护技术 * 掌握失效的身份认证和会话管理防护技术 * 掌握跨站脚本（XSS）防护技术 * 熟悉其余常见Web安全威胁防护技术 二.思维导图   三.备考知识要 ...

第七章信息系统安全工程 1、基于角色的访问控制设计，其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限，以简化用户的权限管理，减少系统的开销。★ 2、Kerberos协议★：在一个开放的分布式网络环境中，用户通过工作站访问服务器 ...

6.4网络安全防护技术的应用 6.4.1网络安全漏洞扫描技术及应用 1.安全漏洞扫描技术是一类重要的网络安全技术，与防火墙、入侵检测系统相互配合，能有效提高网络的安全性 2.网络安全漏洞扫描技术基于Internet远程检测目标网络或本地主机安全性脆弱点的技术 3.一次完整的网络安全漏洞扫描分为：★ 第一阶段：发现目标主机或 ...

6.3网络安全风险评估实施 6.3.1基本原则与流程 1.基本原则：标准性原则、可控性原则、最小影响原则 6.3.2识别★阶段工作 1.识别阶段是风险评估工作的重要工作阶段，对组织和信息系统中资产、威胁、脆弱性等要素的识别，是进行信息系统安全风险分析的前提 2.在风险评估工作中，风险的重要因素都已资产为中心，威胁、脆弱 ...