进入21世纪后,互联网开始大规模普及,线上业务和线上服务也开始逐渐走入人们的生活.尤其在智能手机和移动互联网诞生以后,人们对网络的依赖更是与日俱增.然而,伴随而来的则是涉及个人隐私的信息安全问题.个人一旦与网络接触,难免存在信息泄露的风险. 近年来,数据泄露事件频发,造成的直接损失.间接损失以及社会影响都非常严重.2018年初"Facebook数据泄露事件"再次引发全球范围内关注.据悉,此次信息泄露是Facebook自创建以来最大的用户数据泄露事件之一,而Facebook不仅要吞下&q

[简版:http://weibo.com/p/1001603881940380956046] 前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱.社交网站,于是有必要再探讨一遍. 事实上,这本不是什么漏洞,是 Flash 与生俱来的一个正常功能.但由于一些 Web 开发人员了解不够深入,忽视了该特性,从而埋下安全隐患. 原理 这一切还得从经典的授权操作说起: Security.allowDomain('*') 对于这行代码,或许都不陌生.尽管知道使用

Privacy Violation 隐私泄露 Abstract 对各种机密信息处理不当,如客户密码或社会保障号码,会危及到用户的个人隐私,这是一种非法行为. Explanation Privacy Violation 会在以下情况下发生: 用户私人信息进入了程序. 数据被写到了一个外部介质,例如控制台. file system 或网络. 例: 以下代码包含了一个日志指令,该日志指令通过在日志文件中储存记录信息的方式跟踪添加到数据库中的各条记录信息. 在储存的其他数值中, getPassword(

安全防范:nginx下git引发的隐私泄露问题 1   安全事件 最近阿里云服务器后台管理系统中收到一条安全提示消息,系统配置信息泄露: http://my.domain.com/.git/config 能够被公网无认证即可访问,请修复. 一般情况下,配置信息泄露是相当严重的问题,往往会千万另外一个地方整片区域的 沦陷,比如:数据库.当然本例并没有这样,但是可以作为一个典型安全来进行讲解. 2   问题分析 由于目前的 web 项目的开发采用前后端完全分离的架构:前端全部使用静态文件,和后端代码

先声明一下,本文不聊ISSUE中的七七八八,也不聊代码是否写的好,更不聊是不是跟蔡徐坤有关之类的吃瓜内容.仅站在技术人的角度,从这次的代码泄露事件,聊聊在代码的安全管理上,通常都需要做哪些事来预防此类事件的发生.同时,大家在阅读本文的时候,也可以深入思考下,自己团队是否也存在类似的问题,经过这次的事件,是否有必要针对性的做一些优化. 最小权限 "最小权限"原则是我们在学习Linux用户管理时候经常被提到,并且被反复强调的内容.该原则是指每个程序和系统用户都应该具有完成任务所必需的最小权

御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击. 概述 本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯御界报告系统攻陷警报 腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Serve

0×00 前言 说到闪付卡,首先要从EMV开始,EMV是由Europay,MasterCard和VISA制定的基于IC卡的支付标准规范.目前基于EMV卡的非接触式支付的实现有三个:VISA的payWave,MasterCard的PayPass以及银联的闪付QuickPass.目前从外观来看,银联发行的卡面有芯片的IC卡均支持闪付,部分银行支持VISA的payWave. 0×01 闪付卡隐私泄露风险 想象一下当路人拿着巴掌大的设备靠近你的时候,你身上的银行卡的卡号.发卡行.最近十笔的交易记录等,甚

YS android手机APP对外开放多余的content provider,可任意增.删.改和查images数据库表格,导致隐私泄露 问题描述: YS android手机APP使用SQLITE数据库做数据存储,在android系统上可以通过content provider实现对SQLITE数据库的操作,通过drozer查看发现YS APP对外开放了content provider(经确认是不需要开放的),通过测试发现该provider对应images数据表,里面存放了用户名和用户保存在本地的图

继续对Fortify的漏洞进行总结,本篇主要针对 Privacy Violation(隐私泄露) 和 Null Dereference(空指针异常) 的漏洞进行总结,如下: 1.1.产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序. 2. 数据被写到了一个外部介质,例如控制台.file system 或网络. 示例 1:以下代码包含了一个日志记录语句,该语句通过在日志文件中存储记录信息跟踪添加到数据库中的各条记录信息.在存储的其他数值中,getP

Privacy Violation: Heap Inspection 隐私泄露(堆检查) Abstract 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据. Explanation 如果在使用敏感数据(例如密码.社会保障号码.信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏. 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值. 除非 JVM 内存不足,

关于Immunity Canvas Immunity CANVAS是Immunity公司的一款商业级漏洞利用和渗透测试工具,包含了480多个以上的漏洞利用,该工具并不开源,其中文版介绍如下: "Canvas是ImmunitySec出品的一款安全漏洞检测工具.它包含几百个以上的漏洞利用.对于渗透测试人员来说,Canvas是比较专业的安全漏洞利用工具.Canvas 也常被用于对IDS和IPS的检测能力的测试.Canvas目前已经使用超过700个的漏洞利用,在兼容性设计也比较好,可以使用其它团队研发的

1. 阅读书籍<Android开发艺术探索>第三章 2. 提前阅读如下技术文章: http://blog.csdn.net/singwhatiwanna/article/details/38168103 http://blog.csdn.net/singwhatiwanna/article/details/17339857 http://blog.csdn.net/guolin_blog/article/details/9097463 另外,百度一下:android 事件分发 阅读一些相关文章

您是T-Mobile预付费客户吗?如果是,您应该立即创建或更新您关联的帐户PIN /密码,以提供额外的保护.总部位于美国的电信巨头T-Mobile今天披露了另一起数据泄露事件,该事件最近暴露了一些使用其预付费服务的客户的潜在个人信息. 发生了什么?T-Mobile在其网站上发布的一份声明中说,其网络安全团队发现了“恶意,未经授权的访问”,该信息与未披露数目的预付费无线帐户客户相关的信息.但是,该公司没有确切披露该漏洞的发生方式,发生时间以及攻击者如何未经授权地设法访问该公司预付费客户的私人信息.

隐私保护功能: N:满足了用户保护自己隐私信息的需求 A:对每一项用户可能需要保护的信息,我们都会添加仅自己可见.指定人可见.部分人可见或所有人可见设置 B:让用户的信息受到更全面的保护,而不仅仅是对隐私的保护 C:对于QQ空间而言,客户可自行设计所要展示的个人相关信息 D:我们将让用同学亲自体验我们的网站

版权声明:本文由贺嘉  原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/753847001488039974 来源:腾云阁 https://www.qcloud.com/community 1.问题描述 近期根据Hacker News的报道,以及国际CDN厂商cloudflare的公告,我们注意到了一起敏感信息.API 密钥被Cloudflare泄露给了随机的 requesters请求,同时相关敏感数据也被搜索引擎给收录

------------恢复内容开始------------ 是否担心微信的数据流会被监视?是否担心你和ta聊天的小秘密会被保存到某个数据库里?没关系,现在我们可以用Python做一个只属于你和ta的聊天渠道,来解除你们心中的担忧. 1.原理简介 在我们今天的教程中,将用到即时通讯的概念,即时通讯允许两人或多人同时使用网络传递文字信息.文字.语音等.即时通讯一般都基于socket连接,socket连接可用于发送或接受数据,一般的组合形式是IP+端口号. 也就是说,在我们的例子中,聊天的双方,由一

最近一则<Facebook隐私泄露事件继续发酵,黑客明码标价出售聊天信息>的新闻被爆出,一个用户的信息被标价10美分.让人不禁感慨,3万亿市值的facebook,用户数据竟然如此便宜. 在这个“数字时代”,我们在科技面前渐渐变成了“透明人”,隐私有时候显得有些弥足珍贵.曾经有人反驳,你免费使用产品,公司获得数据,这是一个公平的交易.显然,反对者还没有理解保护隐私为何那么重要.今天,就来谈谈:用户产生的数据,到底应该归谁? 我们一般的理解,数据应该是归平台的.比如,你在电子商务平台(如亚马逊)上

这段时间,扎克伯格非常郁闷.泄密丑闻不仅让Facebook股价大跌.引来审查等,还被众多互联网.科技大佬批判.孤立.如,"钢铁侠"马斯克就直接删除了SpaceX 和特斯拉的 Facebook 官方账号.要知道,这两个账号共有超过500万粉丝.此外,库克两度在公开场合批评脸书"侵犯个人隐私".而扎克伯格回应库克,称对方"信口开河",并表示Facebook依靠广告盈利的商业模式合理. 而就在近日,苹果联合创始人史蒂夫·沃兹尼亚克也宣布离开Facebo

2018年4月3日,阿里巴巴钉钉宣布已经正式通过了两项安全方面的权威资质:SOC2Type1服务审计报告和ISO27018(公有云体系下的隐私保护)证书. 钉钉方透露,此次通过美国注册会计师协会(AICPA) 制定的SOC2审计标准,报告由国际审计师事务所普华永道出具. 在SOC2Type1报告中,钉钉通过了安全性,保密性和隐私性三项原则的审计,而通过隐私性原则审计,钉钉在国内是第一家.据了解,目前在全世界范围内,通过了隐私原则审计SOC2报告的公司也屈指可数,不超过五家. 从这一点上来说,钉钉

在此前,一般巨头或者官方推出的产品.应用等总是值得信赖的.出问题的话一般都是"不可抗拒的外力因素",比如被黑客攻破导致用户隐私被窃取等.但自从Facebook的用户隐私泄露丑闻被曝光后,人们才发现所谓的巨头或官方也并不是那么"可靠"的. 而就在近日,备受球迷喜爱的西甲竟然也出事了--官方APP在收集用户的信息!对于受众群体广泛的西甲官方来说,这看似不可能发生的事儿却真实地出现在眼前.这是不是也意味着,还有很多出乎人们预料之外的隐私收集手段?国内应用或者产品是否又会&

一.前言 微信小程序如期发布,开发者在接入微信小程序过程中,会遇到以下问题: 小程序要求必须通过 HTTPS 完成与服务端通信,若开发者选择自行搭建 HTTPS 服务,那需要自行 SSL 证书申请.部署,完成 https 服务搭建,效率低流程冗长;且 HTTPS 的 SSL 加解析,对服务器的 CPU 有极大的开销. 其实,不仅仅是小程序,苹果 iOS 平台,Google Android 在 2017 也逐步强制要求开发者使用 HTTPS 接入.HTTPS 似乎是一个绕不开的门槛,让不少开发者头