本文深入分析iCalendar标准在企业应用中的安全漏洞,涵盖RFC实现缺陷、私有属性滥用及协议交互风险,披露多个主流日历应用的XSS、命令注入等漏洞,并提供修复建议。
本文详细介绍了由Andrew Prince提出的三步骤结构化威胁狩猎方法论,包括假设形成、证据源定义和数据转换,通过实战演示展示如何有效识别网络威胁,避免噪音干扰,提升安全运营中心(SOC)分析师的威胁检测能力。
本文详细介绍了如何将网络安全风险转化为财务术语,通过资产价值、暴露因子和年化发生率等关键要素计算风险,并探讨风险规避、接受、转移和缓解四种应对策略,帮助企业平衡安全需求与业务目标。
本文介绍由Ralph May主讲的4小时DevOps实战工作坊,专为黑客设计,涵盖自动化部署、持续集成与安全测试等核心内容,帮助安全专家提升攻防技能。
本文探讨了Python中CPython稳定ABI的兼容性问题,介绍了abi3audit工具如何检测ABI违规,并分析了PyPI上数百个错误标记的包及其潜在的安全风险。
安全研究员发现MetaMask浏览器扩展存在严重安全漏洞,用户界面可在无需密码验证的情况下直接访问助记词,违反了安全边界设计。该漏洞虽无法直接利用,但若结合XSS攻击将造成重大风险,已在11.7.1版本修复。
本文详细介绍了如何利用CloudGoat构建一个包含静态凭证和供应链安全元素的易受攻击AWS DevOps环境,并通过实战演练展示从初始权限提升到最终数据窃取的全过程。
本文详细分析了WordPress中通过postMessage处理程序存在的跨站脚本(XSS)漏洞,特别针对Safari浏览器的特殊行为进行了深入探讨,并提供了复现步骤和修复建议。
THREADS '14聚焦自动化安全,汇聚NSA、DARPA及行业专家,分享集成网络分析系统、代码指针完整性、透明ROP检测等前沿技术,探讨大规模恶意软件分析与主机入侵检测的实战方案。
本文详细记录了可汗学院用户密码在Telegram机器人上泄露的安全事件,包括漏洞发现过程、影响分析以及官方的响应与修复措施,涉及用户凭证泄露、账户接管风险及合规问题。