加载中…
个人资料
阿里云安全
阿里云安全 新浪机构认证
  • 博客等级:
  • 博客积分:0
  • 博客访问:41,811
  • 关注人气:50
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
访客
加载中…
好友
加载中…
评论
加载中…
分类
博文
标签:

杂谈

引言
Gartner称,云计算的使用正在不断增加,到2016年这一增长将占据大量新增IT开支。2016年将是云计算决定性的一年,私有云开始让路给混合云,近半数的大型企业将在2017年年底部署混合云。

但在此过程中,从公共云到私有云之间的数据安全传输问题也成为各方关注的焦点。

本文详细解读了阿里云是如何通过自有产品VPC高速通道专线接入和第三方安全厂商VPN公网接入两种方案,解决用户这方面的安全诉求。

数据安全传输解决方案之阿里云 · 高速通道

在与用户沟通时,我们发现用户对于混合云的数据安全传输主要有这四大诉求:

  • 出现类似微博跨年抢红包、12306过年卖票这种突发业务,可以快速将业务平滑地从私有云向公共云迁徙,保证业务高峰的平稳运行。
  • 政企类客户有部分业务暂时未上公共云,但云上业务与这类本地业务又有互访需求。
  • 强交互类应用对低
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

近日,Joomla再曝高危0day漏洞,可进行远程命令执行,阿里云云盾昨日已上线相应的拦截规则抵御该漏洞。同时,对云托管客户已经做了电话通知和自动漏洞修复。统计数据显示,截至16日凌晨,已有数百个恶意IP尝试使用该漏洞对阿里云网站发起攻击,云盾已成功拦截上万次攻击请求,其中攻击请求数排名第一的黑客在一小时内尝试入侵超过1000Joomla 网站。

根据此次漏洞情况,Joomla 官方已紧急放出了3.4.6版本。joomla用户除了尽快升级至最新版本,也可采用阿里云安全团队给出的更为完善的修复方案,对网站进行加固,详情可参考:0x03漏洞修复。

0x00 漏洞介绍

昨日,Joomla 安全团队紧急发布了Joomla 3.4.6 版本,修复了一个高危 0day 漏洞。该漏洞影响了 1.5

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

背景介绍

         在当下全球网络威胁活动中,国外攻击者主要使用ZeusCryptoWallBedep、各类常见RAT工具等作为恶意负载,但在最近我们监控恶意威胁的过程中,发现个别高级样本攻击中使用了较为少见的BetaBot木马,关于此木马很少有相关的分析资

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

背景介绍

         在当下全球网络威胁活动中,国外攻击者主要使用ZeusCryptoWallBedep、各类常见RAT工具等作为恶意负载,但在最近我们监控恶意威胁的过程中,发现个别高级样本攻击中使用了较为少见的BetaBot木马,关于此木马很少有相关的分析资

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

威胁

从事包括电子商务、P2P金融在内的互联网服务企业对“羊毛党”垃圾注册以及套取活动优惠做法一定不陌生,而黑客通过暴力破解、撞库等手段获得和出售用户账户信息,甚至篡改平台数据等行为更是对服务企业的经济和信誉带来巨大的风险和损失。

特别对于互联网金融,保险和第三方支付行业的公司,带有恶意目的的用户一旦进入平台进行骗贷、骗保、洗钱等高风险操作,将严重阻碍业务的正常运营

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

一、漏洞分析

漏洞触发的代码位于:/administrator/components/com_contenthistory/models/history.php,getListQuery()函数内:

通过SQL及报错信息,可以知道我们的注入payload被插入到了红色框部分内。跟进getState()函数,位于ibraries/legacy/model/legacy.php文件内,代码如下:

从函数参数和官方注释,可以知道,getState()函数功能是获取一个model的属性及属性对应的值,getState()函数在model的属性未设置时,会执行$this->populateState()来对model的一些属性进行赋值操作。

我们跟进populateState()函数看下做了什么操作,代码位于:/administrator/components/com_contenthistory/models/history.php 内:

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

什么是阿里云安全开源API大赛

阿里云致力于为开发者助力,通过全面开放 OpenAPI 让云端开发有更多想象空间和实施的机会。大赛专门设置了基于阿里云安全API的专门赛区以及一个专项大奖,旨在让我们具备开发能力、能理解基本安全攻防原理的安全爱好者们能够一起共建云生态的安全!

  

阿里云安全开源大赛API的分类

 

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

 
躺枪

对于数据中心来说,大流量DDoS攻击常常带来的一个额外的不良结果是“连带效应”(collateral effect),即黑客对A用户的攻击会影响到B甚至更多用户的业务,很多网站业务受到影响而无法提供正常业务;尽管黑客实际上攻击的对象并非是这些网站。对于这种不幸遭到“连带”的情况,有一种更为通俗的称谓——“躺枪”。

 

“躺枪”在云数据中心环境下同样可能发生,其发生的根本原因是资源的共享,即众多网站共享数据中心的出口带宽。如果攻击者的

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

 
最近著名的提供监听、入侵工具的黑客公司Hacking Team公司被黑,泄露出400G左右的数据,包含各种邮件、文档、攻击工具以及代码,从目前公布的信息来看,包含了20day,一个是flashbytearray uaf漏洞,另一个是windows内核字体提权漏洞,是否还有其他的0day尚不得知,小伙伴们赶紧去挖掘。

 

从对这个flash 0day

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

杂谈

三个发展阶段

曾经有安全专家把DDoS攻击比作互联网“核武器”:一旦调动足够数量遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器,就可以瘫痪掉任何互联网业务。尽可能地对被攻击目标造成最大程度的资源破坏是DDoS攻击的根本初衷。站在这个角度上来看DDoS攻击的发展,可以梳理出清晰的脉络。

 

DDoS

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
  

新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有