谷歌 Shielded Email 功能:
加强邮件隐私与安全
谷歌准备推出名为 “Shielded Email” 的新功能,用户在注册网络服务时可创建邮件别名对抗垃圾邮件。该功能由 Android Authority 上周在拆解安卓版谷歌 Play 服务最新版后首次报道。其原理是创建独特的一次性邮件地址,将邮件转发到主账户。用邮件别名保护隐私不是新想法,苹果 2021 年就推出类似功能,其他如 Bitwarden 和 DuckDuckGo 也有。同时谷歌还推出新的安卓系统密钥验证应用来加强安全。
超越合规:全年网络渗透测试的优势
根据 2024 年卡西亚网络安全调查报告,大多数公司按固定时间表进行网络渗透测试,最常见的频率是每年两次(29%),其次是每年三到四次(23%)和每年一次(20%)。以合规为重点的测试可以发现测试当时存在的漏洞,但这不足以有效地领先于攻击者。监管者和网络保险公司要求定期网络渗透测试,但黑客可不会按合规时间表行动。2024 年调查显示多数公司按固定时间表测试,不过以合规为重点的测试不足以抵御攻击者。更频繁的测试有意义,其主要驱动因素包括网络安全控制与验证、合规性和保险要求。传统测试存在耗时、成本高、报告易过时问题,而自动化网络渗透测试可削减超 60% 成本,更快出结果且随时可测。
虚假折扣网站
利用黑色星期五窃取购物者信息
2024 年黑色星期五购物季前夕,欧美电商购物者成为新的网络钓鱼活动目标。攻击者创建模仿合法品牌的虚假页面,在 10 月初被发现,大概率是名为 SilkSpecter 的中国利益驱动威胁者所为。其利用.top、.shop 等顶级域名仿冒品牌域名,用谷歌翻译组件和跟踪器增强可信度和有效性,目的是窃取用户输入的金融等敏感信息,还可能利用获取的手机号进一步攻击。目前不清楚钓鱼网址传播方式,可能涉及社交媒体和搜索引擎优化中毒。此前也有类似欺诈行动。此外,巴尔干地区邮政用户也遭遇利用苹果 iMessage 的诈骗。
NSO 集团即便在 Meta 起诉后
仍利用 WhatsApp 安装 “飞马” 间谍软件
Meta 旗下 WhatsApp 与 NSO 集团法律纠纷中披露的文件显示,以色列间谍软件商 NSO 集团利用多种针对 WhatsApp 的漏洞传输 “飞马” 间谍软件,即便在 Meta 起诉后仍有相关操作。如 2019 年 5 月 WhatsApp 曾阻断利用其视频通话系统的攻击,而之后 NSO 集团又开发新安装途径。文件还揭示了 “飞马” 通过 WhatsApp 安装到目标设备的方式及 NSO 集团对其操控情况,NSO 集团虽称产品用于打击犯罪和恐怖主义,但实际情况与之不符。此外还提及苹果近年加强安全措施及 iOS 18.2 测试版的新安全机制。
SQL 注入原理大揭秘
SQL 注入是一种常见的 Web 应用安全漏洞,它允许攻击者通过在输入字段中注入恶意的 SQL 代码,来获取、修改或删除数据库中的数据。
原理如下:
1️⃣用户在输入框中输入数据。
2️⃣应用程序将用户输入的数据拼接到 SQL 查询语句中。
3️⃣攻击者在输入数据中插入恶意的 SQL 代码。
4️⃣应用程序执行拼接后的 SQL 查询语句,将恶意代码也一起执行。
5️⃣攻击者成功获取、修改或删除数据库中的数据。
为了防止 SQL 注入攻击,我们可以采取以下措施:
1️⃣对用户输入进行严格的验证和过滤。
2️⃣使用参数化查询或 prepared statements。
3️⃣定期更新数据库和应用程序,修复已知的安全漏洞。
4️⃣对数据库进行访问控制,限制用户的权限。
什么是数字签名
数字签名的作用:
1️⃣确保消息的完整性:保证接收到的消息与发送的消息完全一致,没有被篡改。
2️⃣验证身份:只有拥有正确私钥的人才能生成有效的数字签名,因此可以用来验证消息发送者的身份。
3️⃣防止抵赖:发送者无法否认自己发送过消息,因为数字签名是与消息一起发送的。
数字签名的原理:
1️⃣发送方使用自己的私钥对消息进行加密,生成数字签名。
2️⃣发送方将消息和数字签名一起发送给接收方。
3️⃣接收方使用发送方的公钥对数字签名进行解密,验证消息的完整性和发送方的身份。
数字签名的优点:
1️⃣安全性高:基于非对称加密算法,破解难度极大。
2️⃣不可否认性:发送方无法否认自己的签名。
3️⃣效率高:相比传统的签名方式,数字签名的验证速度更快。
在网络通信中,数字签名可以保护我们的信息安全,防止伪造和篡改。少侠们一定要重视起来哦!
知识大陆:
关注东方隐侠安全团队 一起打造网安江湖
东方隐侠安全团队,一支专业的网络安全团队,将持续为您分享红蓝对抗、病毒研究、安全运营、应急响应等网络安全知识,提供一流网络安全服务,敬请关注!
公众号|东方隐侠安全团队