首页
学习
活动
专区
工具
TVP
发布

云鼎实验室的专栏

专栏成员
355
文章
472186
阅读量
127
订阅数
每周云安全资讯-2022年第52周
1 弹性 IP 劫持 — AWS 中的一种新攻击向量 Mitiga 威胁研究人员发现了一种全新的潜在攻击向量,利用AWS 中引入的新功能,允许将 IP 地址转移到其他组织中。 https://www.mitiga.io/blog/elastic-ip-hijacking-a-new-attack-vector-in-aws 2 盘点2022年十大云安全事件 在过去的12个月里,80%以上的组织都遭遇过与云相关的安全事件。本文总结了2022年十起最大的云安全事件。 https://mp.weixin.qq.c
云鼎实验室
2022-12-26
4360
浅谈云上攻防系列——云IAM原理&风险以及最佳实践
云上身份和访问管理功能简介 身份和访问管理是什么?关于这个问题,Gartner Information Technology Glossary中给出了关于IAM的定义:“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。与之类似,云上身份
云鼎实验室
2022-08-29
2.7K0
云鼎百科|平安夜如何更平安?《真相只有一个》
早已置身事中,你却蒙在鼓里...... ▲云上安全身边事——《真相只有一个》 《名侦探柯南》这个IP自98年引进内陆后就经久不衰,成为了一代人成长的回忆。扑朔迷离的案件,抽丝剥茧地追凶,从细节下手,最后揭开不为人知的神秘面纱。这一次,熟悉的场景来到企业人的身边,下一个受害者究竟是谁呢? "我是阿呆,他们都叫我呆河马" 员工阿呆是一个糊里糊涂的IT技术男,迷糊的人做迷糊的事,不慎将敏感凭据泄露到了Github之上。 “黑客新秀,黑遍天下无敌手” 一代黑客新秀“凤梨黑”靠着敏锐的嗅觉和成
云鼎实验室
2020-12-24
4330
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞,漏洞编号CVE-2020-35490、CVE-2020-35491。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Jackson-databind是一套开源java高性能JSON处理器。 据官方描述,Jackson-
云鼎实验室
2020-12-18
1.9K0
漏洞情报|XStream任意文件删除/服务端请求伪造漏洞风险通告(CVE-2020-26259,CVE-2020-26258)
近日,腾讯云安全运营中心监测到,XStream官方发布关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26259,CVE-2020-26258),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。 CVE-2
云鼎实验室
2020-12-16
1K0
漏洞情报|XStream远程代码执行漏洞风险通告(CVE-2020-26217)
近日,腾讯云安全运营中心监测到,XStream官方发布安全公告,披露了一个XStream远程代码执行漏洞(漏洞编号:CVE-2020-26217),漏洞被利用可导致远程代码执行。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。 在XStream的受影响版本中,存在一个远程代码执行漏洞,攻击者可通过操纵已处理的输入流,替换或注入可以执行
云鼎实验室
2020-11-17
1.4K0
开源时代,如何在追求开发效率的同时保障敏感凭据安全?
在拥有170万名开发者忠实用户的Github开源平台上,已经有超过100,000个代码库泄露了API或加密密钥;与此同时,每一天还有数千个新代码库正在泄露密钥...... 随着云计算的高速发展、各类新技术构架的兴起和应用,越来越多的企业正在面临程序硬编码和明文配置等敏感信息泄密,以及权限失控带来的业务风险。到底如何才能实现安全有效的敏感凭据防护? 点击下方「阅读原文」,为你的敏感凭据安全保驾护航。 关注云鼎实验室,获取更多安全情报
云鼎实验室
2020-05-09
5850
如何利用云安全运营中心监测数据泄露
2019年上半年数据泄露事件频出: ➢4月,国内一大型二次元网站后台工程源代码被上传至Github; ➢5月,三星手机厂商多个内部项目代码泄露,包括SmartThings敏感的源代码、证书和密钥。 ...... 近日,Verizon发布的《Verizon 2019年数据泄露调查报告》对41686起安全事件进行分析,其中包括2013起已证实的数据泄露事件。 泄露事件层出不穷,作为一名安全攻城狮,除了当个吃瓜群众看热闹之外,我们能做些什么来强化自身能力呢?这里不准备大谈特谈数据安全治理、数据加密、脱敏之类的
云鼎实验室
2019-07-01
2.4K0
干货 | 云安全挑战赛线上热身赛冠军战队解题分享
GeekPwn 与腾讯安全联合发起的“云安全挑战赛”线上热身赛已经落下帷幕。 经过 48 小时的比拼,Redbud025 战队以最快时间提交了最多正确答案,荣获第一名。本期,我们也邀请到这支来自清华大学网络与信息安全实验室的 Redbud025 战队,为大家还原解题过程。 这次是首个基于真实云平台的云安全挑战赛,整个题目是提权和逃逸的不断尝试,总共有七个题目。 比赛环境覆盖 APP, Docker, KVM 和 Pysical 各个层次,七个题目如下: 题目要求: 除测试题外,选手置身于一个模拟的
云鼎实验室
2019-06-13
7400
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档