安全漏洞

摘要： 近年来开源技术在金融业得到广泛应用,开源以其“协同创新”的特性,在推动金融机构科技创新和数字化转型方面发挥着积极作用,成为业务创新和敏捷研发的重要推动力,但开源技术的应用也面临着安全漏洞、许可证合规、核心技术可控力不足等风险。

摘要： 以太坊Solidity智能合约基于区块链技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。虽然落地还不足6年,但因其安全漏洞事件频繁爆发,且造成了巨大的经济损失,使得其安全性检查方面的研究备受关注。首先基于以太坊相关技术对智能合约的一些特殊机制和运行原理进行介绍,并根据智能合约的自身特性对一些出现频率较高的智能合约漏洞进行分析,然后从符号执行、模糊测试、形式化验证和污点分析等方面分类阐述了传统的主流智能合约漏洞检测工具。此外,为了应对层出不穷的新型漏洞以及提高漏洞检测效率的需求,将近年来基于机器学习的漏洞检测技术依据其问题转化方式的不同做了分类总结,并从文本处理、非欧几里得图和标准图像3个角度进行了简要介绍。最后,针对两类检测方向的不足之处,提出了建立相关标准化、规范化信息库以及衡量指标的建议。

摘要： 根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》(以下简称“《规定》”),《规定》的主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。

摘要： 本文基于OWASP(开放式Web应用程序安全项目)TOP10 2021的十大漏洞进行分析和研究,逐步形成安全漏洞的定义、威胁、成因、修复及预防分析框架。Web应用的安全防御始终是一个动态的过程,需要共同防御,才能最大限度的降低Web安全漏洞带来的危害。

摘要： 当前,企业广泛采用数字化办公,但针对数字化办公环境的安全漏洞、数据泄露、供应链攻击、勒索病毒等网络安全威胁愈发凸显,需要更可靠的网络安全架构来应对这些挑战。面对业务暴露面隐藏、远程办公、运维管理、多数据中心访问等场景,适时而生的零信任理念可以为企业提供更为完善的数字化办公安全防护手段。

摘要： 在“碳中和”的背景下,在软件定义汽车已经成为普遍共识的前提下,越来越多的汽车成为新能源智能网联汽车,在“新”汽车发展突飞猛进的今天,安全漏洞成为威胁汽车安全的重要隐患。人们在享用它带来的个性化体验的同时,是否想到它们有可能面临网络安全风险?3月的第一天,对于丰田来说并不是美好的开端。这一天,日本本土工厂和生产线又全部按下暂停键,这是继2021年9月因疫情导致缺芯的全面停产后的第二次。

摘要： 在现代信息技术快速发展的背景下,计算机技术与互联网技术高速发展,相关技术不断取得突破与创新,对社会生产以及群众生活产生了深刻的影响。在计算机技术发展过程中,计算机安全问题逐渐受到广泛的关注,尤其是对于数据泄漏方面,如果计算机技术存在安全漏洞,会导致用户数据出现泄漏的问题,从而严重影响用户信息安全。因此,本文将对计算机信息技术数据的安全漏洞及加密技术方面进行深入地研究与分析,并提出一些合理的意见和措施,旨在进一步提高计算机技术安全水平。

摘要： 基于信息化网络快速发展,浅析在大数据时代背景下,当代高速公路网络安全建设的重要性和必要性,文章重点分析高速公路网络安全组成架构以及如何完善现行高速公路网络安全防护体系,有效提升高速公路运营单位网络安全防护效率,减少网络安全事故发生概率,降低网络安全造成的损失,保障高速公路运营单位平稳发展。

摘要： 企业级OpenSCA技术开源发布供应链安全再受关注企业级开源治理解决方案悬镜源鉴OSS开源威胁管控平台正式开源化。OpenSCA开源技术是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。"用开源的方式做开源风险治理",悬镜安全希望通过简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,助力企业进行开源风险的识别及治理。

摘要： 随着网络安全形势的日益严峻,信息系统安全问题日渐突出,安全管理已成为档案系统管理的关注重点。根据国家互联网应急中心发布的《2020年我国互联网网络安全态势综述》显示:2020年国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量达到20704个,同比增长27.9%;利用安全漏洞对境内主机进行扫描探测、代码执行等的远程攻击日均超过2176.4万次。《“十四五”全国档案事业发展规划》指出,要加快推进档案信息化建设.

摘要： 传统的安全漏洞管理流程和支撑手段不能满足大型企业的安全风险管理需求,存在风险暴露时间长、漏洞修复资源浪费等问题.本文章设计并实现了一种安全漏洞全生命周期管理平台,作为大型企业安全风险常态化、自动化管理的支撑系统,从而达到高效处置安全漏洞的目的,降低网络安全风险.

摘要： 近年来全球安全漏洞攻击事件频发,给网络空间安全带来了不可逆的危害.与此同时,安全漏洞因其具有的监控成本低、破坏性更普遍等网络武器特点成为获取网络空间战场主动权的关键因素.2016年4月19日,习总书记在网络安全和信息化工作座谈会发表重要讲话,首次提出"全天候全方位感知网络安全态势".2016年7月27日,《国家信息化发展战略纲要》明确提出"提升全天候全方位感知网络安全态势能力,做好等级保护、风险评估、漏洞发现等基础性工作".我国政策制定中已经开始重视漏洞的治理，漏洞治理成为国家网络安全保障的基础性环节。但政策实施需要底层设计的落地。我国需要从管理、技术和法律层面综合提高应对网络攻击的防御能力，最大限度减少安全漏洞可能产生的危害，同时引导安全漏洞的合法挖掘、报告、披露和利用，为发展国家安全反制能力打下基础，从整体上提升国家的网络安全保障能力。本文仅从安全漏洞挖掘这一环节，探寻与此相关的风险控制、人才培养、政策导向、安全保障等问题。

摘要： 目前网络技术的发展使得以Web2.0为核心的应用越来越广泛,B/S架构软件的安全缺陷和漏洞不断增多,B/S架构的特殊性使得对B/S架构软件的安全性测试方法应不同于传统软件.方法本文描述了B/S架构软件的特点,对Web软件的安全性测试进行了分类,并详细阐述了测试要点和测试内容.结果从攻击者的角度,我们分析了Web软件常见的安全漏洞和测试方法.结论文章最后我们总结了当前研究工作并指出了未来软件安全性测试技术的研究重点与发展方向.

摘要： 当前网络安全事件的不断发生,企业网内部的某些网络设备因为存在某些漏洞而成为网络攻击的目标,本文介绍介绍了美国著名的网络设备厂商思科的网络产品最新暴露出来的安全漏洞,并且描述了该漏洞的主要特征以及存在漏洞设备在企业网中产生的影响,并且给出了一些相应的防护措施,最后作者结合自己网络管理工作经验总结出了一些日常网络安全防护的方法.

摘要： 网络系统在提供各种便利的同时，也带来了诸多安全问题。为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行总结和分析.最后以典型APT攻击场景中"WannaCry"勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.

摘要： 电力系统担负着为社会各行各业提供电能的重要责任,它能否安全可靠地运行直接关系到经济民生和国家安全.总结了近年来世界各地针对电力系统的蓄意网络攻击事件,对攻击事件的攻击流程和结果进行了简要分析,对各个攻击事件的特点进行了对比研究,分析了针对电力系统的蓄意攻击所采用的攻击手段的复杂性和多样性.分别阐述了目前电力系统的安全漏洞并提出了相应的防御措施来保证电力系统安全稳定的运行,设计实验仿真来分析研究攻击的方法并对未来的研究方向进行了展望.

摘要： 针对长期演进系统(Long Term Evolution)的认证和密钥协商过程(EPS-AKA)进行具体分析后,指出其存在的安全漏洞,在其基础上提出了基于自证明公钥的LTE网络用户认证与密钥协商方案(SCEPS-AKA).方案中通过增加可信中心TC来实现用户归属地服务器(HSS),移动性控制网元(MME)和用户设备(UE)的公钥生成,设计了MME/HSS注册,UE注册,UE接入三个通信协议,并对其进行了安全性分析.分析结果表明:本方案可以实现对原EPS-AKA方案的漏洞弥补.本方案由于采用了自证明公钥密码体制,在利用公钥密码体制保证通信加密的同时,避免了可信中心同时掌握公私钥的风险,能够有效保护LTE网络的用户通信安全.

摘要： Vulnerability Discovery Code Review(10％)Static Analysis Dynamic Analysis Taint Analysis Symbolic Executiion Fuzzing(80％)mutation,generation blackbox,greybox,whitebox smart,dumb.Fuzzing is the most popular vulnerability discovery solution.AFL is one of the most popular fuzzers, studied by researchers fromacademia and industry.scalable, fast, evolving，sensitive.CoIIAFL improves coverage一guided fuzzing in two ways,mitigate the collision issue in edge coverage tracking,apply coverage一first seed selection policies.

摘要： Vulnerability Discovery Code Review(10％)Static Analysis Dynamic Analysis Taint Analysis Symbolic Executiion Fuzzing(80％)mutation,generation blackbox,greybox,whitebox smart,dumb.Fuzzing is the most popular vulnerability discovery solution.AFL is one of the most popular fuzzers, studied by researchers fromacademia and industry.scalable, fast, evolving，sensitive.CoIIAFL improves coverage一guided fuzzing in two ways,mitigate the collision issue in edge coverage tracking,apply coverage一first seed selection policies.

摘要： Vulnerability Discovery Code Review(10％)Static Analysis Dynamic Analysis Taint Analysis Symbolic Executiion Fuzzing(80％)mutation,generation blackbox,greybox,whitebox smart,dumb.Fuzzing is the most popular vulnerability discovery solution.AFL is one of the most popular fuzzers, studied by researchers fromacademia and industry.scalable, fast, evolving，sensitive.CoIIAFL improves coverage一guided fuzzing in two ways,mitigate the collision issue in edge coverage tracking,apply coverage一first seed selection policies.

摘要： 一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统，所述系统包括：分配器组件拦截来自客户机设备的对资源的请求；创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器，并且将所拦截的请求的副本转发到第二类型的代理服务器，其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型；比较器组件接收来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出；将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较；判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同；响应于判定差异而生成警报。

摘要： 本申请实施例提供一种针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统，通过从威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于威胁攻击活动序列确定目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布，从而基于目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对安全防护进程以及安全防护进程所对应的共享安全防护进程进行漏洞修复，由此以单个的目标威胁感知事件为单位进行安全漏洞挖掘，并进行多个共享安全防护进程的统一漏洞修复，相较于相关技术中以全局化威胁感知事件进行漏洞分析和修复的方式而言可以提供更具定位性的高效率漏洞修复方案。

摘要： 本发明实施例公开了一种基于漏洞图谱的安全漏洞错误数据修正方法，涉及信息安全技术领域，具体涉及一种。方法包括：给定任一漏洞编号，构造针对所述漏洞编号的专用解析器，根据第三方数据和所述漏洞编号对应漏洞的描述属性值对漏洞进行实体识别；对自动抽取的所述漏洞编号和影响软件版本进行关系抽取，查找漏洞编号和影响软件版本之间的语义关系，根据所述语义关系建立影响软件版本特征库；提取影响软件版本特征库中的版本值和漏洞图谱中的影响软件版本的版本值，对所述版本值进行比对，生成检测评估结果；根据所述检测评估结果生成检测报告。本发明能够解决在基于漏洞图谱的漏洞错误数据进行修正方面的技术空缺的问题。

摘要： 一种用于利用安全服务引擎(SSE)来评估安全网关元件(SGE)上的安全漏洞的方法，包括：建立对应于所供应的安全服务策略定义的针对SGE的安全配置，以及基于安全服务策略定义中包括的策略，在SGE上配置由SSE托管的多个SGE安全服务管理器。该方法还包括由SSE实时执行多个SGE安全服务管理器中的每一个作为基于软件的服务，以在SGE上实施安全服务策略定义的策略，以及如果多个SGE安全服务管理器中的一个或多个检测到对应于SGE的操作的安全漏洞，则补救SGE的安全配置。

摘要： 本发明公开了一种安全应急响应平台及其安全漏洞检测处理系统、方法，所述平台包括：安全漏洞检测处理系统，用于提供接口获取外部所输入的安全漏洞信息，于获取所述漏洞安全信息后对所述安全漏洞信息进行分析处理，并进行安全漏洞修复；奖励模块，于所述安全漏洞检测处理系统对提交的安全漏洞信息进行分析处理后，根据分析结果对提交所述安全漏洞信息的用户进行奖励；分享互动模块，用于提供提交安全漏洞信息的用户分享相应信息的途径。本发明可提高网站安全漏洞的维护效率，降低人工成本。

摘要： 本发明涉及一种通讯可靠的用于网络安全的安全漏洞检查系统，包括扫描控制服务器、漏洞扫描设备组和与漏洞扫描设备组连接的网络设备，所述扫描控制服务器通过漏洞扫描设备组与网络设备连接，该通讯可靠的用于网络安全的安全漏洞检查系统通过扫描控制服务器对漏洞扫描设备进行最优工作分配，不仅提高了系统的扫描效率，还提高了漏洞扫描设备的使用寿命，而且通过漏洞扫描设备对网络漏洞进行全面检查，不仅提高了系统的可靠性，还提高了系统的工作效率；不仅如此，通过通讯保护电路中的空气放电二极管、空气放电三极管和第一双向二极管对外部尖峰电压进行多次过滤吸收，从而提高了系统的通讯的可靠性，保证了系统的正常工作。

摘要： 本发明涉及一种安全漏洞扫描方法，包括以下步骤：建立安全漏洞扫描模型；获取服务识别信息；采用所述安全漏洞扫描模型对服务识别信息进行安全漏洞扫描；输出扫描报告并展示。本发明通过建立安全漏洞扫描模型，可以实现对服务识别信息进行安全漏洞扫描，并且所述安全漏洞扫描模型可以实时更新，则不用再依赖安全分析人员手动更新漏洞规则包了；通过实时更新安全漏洞扫描模型，从而可以提高安全漏洞扫描的准确率和效率。

摘要： 本发明提供了一种安全漏洞的处理方法及装置，该方法为：获取多个第一安全漏洞的漏洞详情信息；根据预设的筛选规则和多个第一安全漏洞的漏洞详情信息，对多个第一安全漏洞进行过滤，得到第二安全漏洞；对第二安全漏洞的漏洞详情信息进行处理；输出处理后的第二安全漏洞的漏洞详情信息。第一安全漏洞的漏洞详情信息为：历史安全漏洞的漏洞详情信息，或，新的安全漏洞的漏洞详情信息，或，历史安全漏洞更新后的漏洞详情信息；以保证所获取的安全漏洞的漏洞详情信息的全面性和实时性。输出满足筛选规则的安全漏洞的漏洞详情信息，不需要用户查阅所有的安全漏洞的漏洞详情信息以筛选出需要的漏洞详情信息，提高用户体验。

摘要： 本实用新型涉及模型展示技术领域，具体公开了一种手机程序安全漏洞展示安全防护装置，包括手机模型框架和展示面板；手机模型框架内设有沿竖向间隔布置的一对导向杆，导向杆两端设有与手机模型框架内侧滑动配合的滑块，导向杆与展示面板滑动配合，位于展示面板下方的所述滑块两侧设有与展示面板相对布置的限位柱，本实用新型中展示面板能够根据需要调整在手模模型框架内侧的位置；位于展示面板下方的滑块上设有限位柱，限位柱上端的抵靠部能够与展示面板相抵靠，从而使展示面板与手机模型框架下边缘之间形成防护间隙，避免用户移动展示面板过程中被展示面板夹伤，起到良好的防护作用，确保设备展示使用的安全性。

摘要： 本实用新型涉及漏洞扫描设备的技术领域，且公开了一种安全漏洞测试扫描装置，包括扫描机体,扫描机体的两侧设有弧状槽口，扫描机体外部设置有架体,架体的上表面开设有外槽口,扫描机体活动连接在外槽口的内部，架体远离扫描机体的一端固定连接有固定板,固定板的外壁固定连接有吸盘，通过设置吸盘配合扫描机体与圆板，圆板与转盘将扫描机体转动连接在外槽口的内部，同时将吸盘贴合在主机的表面，吸盘的内部形成负压环境从而紧密吸附在主机的表面，扫描机体可以以圆板为中心进行转动，并将扫描机体的检测端悬挂在主机的连接端口处，从而达到利于放置扫描机体进行定点扫描的效果，同时解放了用户的双手，提高了扫描的精度。