扫描漏洞
2019-8362)Discuz Discuz代码执行漏洞 Discuz MemCache+ssrf获取权限漏洞(GetShell)Discuz后台SQL注入漏洞 Discuz越权漏洞导致任意附件下载 Discuz任意文件删除漏洞 Discuz AuthCode函数缺陷导致密文伪造漏洞 Discuz!后台数据库备份功能...
检测攻击类型说明和防护建议
恶意外连 SSRF(Server-side request forgery)服务器端请求伪造漏洞指的是攻击者通过构造由服务端发起的请求,对网站内部系统进行攻击。SSRF是由服务器向用户传入的参数发送请求所引起的。请检查参数并通过白名单进行限制。恶意文件读写 ...
什么是应用防护
恶意外链 SSRF(Server-side request forgery)服务器端请求伪造漏洞指的是攻击者通过构造由服务端发起的请求,对网站内部系统进行攻击。SSRF是由服务器向用户传入的参数发送请求所引起的。请检查参数并通过白名单进行限制。恶意文件读写 ...
缓解DDoS攻击的最佳实践
在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阈值、禁用ICMP和UDP广播的策略配置。通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。做好业务监控...
Web服务端漏洞类型
短信炸弹漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,还需要人工根据业务场景及特点进行分析检测。常见发生位置 所有涉及到用户交互的...
漏洞公告|Windows加密库漏洞(CVE-2020-0601)
1月14日,微软发布了CVE-2020-0601漏洞更新补丁,用于更新Windows操作系统的Windows CryptoAPI验证绕过漏洞。利用此漏洞,攻击者可伪造签名将勒索软件或间谍软件伪装成可信文件的方式,从而发起攻击。阿里云已同步更新Windows系统更新源,...
附件二:众测漏洞定级标准(先知安全情报)
暂不收取的漏洞类型 SPF邮件伪造漏洞。接口穷举爆破已注册用户名类漏洞。self-xss或post型反射XSS。邮件炸弹。非敏感操作的CSRF问题。单独的安卓APP android:allowBackup=”true”问题,本地拒绝服务问题等(深入利用的除外)。修改图片...
附件四:常见漏洞危害及定义(先知计划)
Web服务端漏洞 SQL注入攻击 名词解释:SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被...
阿里云先知安全众测协议
五、漏洞信息的评估和奖励 5.1 为确保先知安全众测平台能够对您所提交的漏洞信息进行评估和确认,一旦您向先知平台提交了相应的漏洞信息,则意味着无论先知安全众测平台是否愿意向您提供奖励,或无论您是否最终接受奖励,在此期间您均授予...
支持的检测规则
输入验证:如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等;依赖包漏洞检测 现代企业常用开源组件,开源依赖提供方通常没有较多的预算进行安全性测试,黑客的主要攻击目标也是开源包内的漏洞。为了杜绝安全隐患,企业需要做到以下...
【Dubbo安全漏洞通告】-CVE-2021-30179-Generic ...
Generic Filter远程代码执行漏洞,启用泛化调用的用户,可能会受到恶意伪造的参数的攻击。漏洞描述 Apache Dubbo默认支持对提供程序接口公开的任意方法的泛型调用。这些调用由GenericFilter处理,它将查找调用的第一个参数中指定的服务和...
【Dubbo安全漏洞通告】-CVE-2021-30179-Generic ...
Generic Filter远程代码执行漏洞,启用泛化调用的用户,可能会受到恶意伪造的参数的攻击。漏洞描述 Apache Dubbo默认支持对提供程序接口公开的任意方法的泛型调用。这些调用由GenericFilter处理,它将查找调用的第一个参数中指定的服务和...
通用软件漏洞收集及奖励计划第四期
重要 2024年04月26日更新:因本次提交的漏洞数量超出预期,所以调整活动结束时间为2024年04月30日,2024年04月30日后提交的漏洞将不予收录。此调整不影响2024年04月30日前提交的漏洞。通用软件漏洞情报收集及奖励标准 为了更好地保障云上...
阿里邮箱中的邮件内容被无故修改
2、所发送的邮件被病毒恶意跟踪窃取信息:例如客户端的电脑被安装了病毒插件、第三方客户端软件存在安全漏洞等。3、第三方使用“伪造发件人身份方式发送虚假信息邮件,例如使用l代替1,d代替b等相似账号名;或者邮件中显示的账号名、发信...
通知设置
镜像安全扫描漏洞风险通知 实时发送 24小时 08:00~20:00 短信、邮件、站内信 镜像安全扫描完成后,针对产生的漏洞风险告警发送通知。每天最多发送 1条短信、24封邮件、1封站内信。镜像安全扫描敏感文件告警通知 实时发送 24小时 08:00~20:...
常见问题
Linux软件漏洞各参数说明 漏洞修复问题 漏洞修复失败原因排查 服务器软件漏洞修复建议 漏洞如何修复?批量进行漏洞修复时,漏洞修复按照什么顺序执行?修复漏洞时创建快照失败是什么原因?我该怎么办?漏洞已经修复了,但云安全中仍提示...
修复Kubernetes漏洞CVE-2019-11253的公告
阿里云容器服务Kubernetes版已修复漏洞 CVE-2019-11253,本文介绍该漏洞的影响及解决方法。背景信息 Kubernetes社区发现安全漏洞:CVE-2019-11253。Kubernetes用户可通过伪造指定格式YAML文件,发送POST请求对集群进行DoS攻击。目前阿里云...
修复Kubernetes漏洞CVE-2018-1002105公告
Kubernetes用户可通过伪造请求,在已建立的API Server连接上提升权限访问后端服务,目前阿里云容器服务Kubernetes已修复此漏洞,请登录容器服务管理控制台升级您的Kubernetes版本。漏洞 CVE-2018-1002105 详细信息,请参见 CVE-2018-...
系统配置常见问题
云安全中心支持通过短信、邮件、站内信的方式向您发送漏洞、基线检查、安全告警等安全信息。您可以执行以下步骤修改消息接收人或消息接收人的基本信息:登录 阿里云消息中心。在 基本接收管理 页面定位到 云盾安全信息通知,并单击 消息...
应用安全
另一方面,针对自动化漏洞检测,阿里云提供云安全中心服务,从Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、应急漏洞五个类别,通过OVAL规则、Web扫描器、软件成分分析、POC验证等手段,检测识别应用系统中存在的漏洞,并提供...
CVE-2023-27487漏洞公告
当您使用基于JWT的授权规则时,受信任的x-envoy-original-path头可能被攻击者伪造,导致请求可能会绕过Istio授权策略。本文介绍CVE-2023-27487漏洞的描述、影响范围、漏洞产生的原因和防范措施。漏洞描述 该漏洞可能会导致请求绕过JWT授权...
DescribeNoticeConfig-获取通知设置信息
说明 yundun_security_Weekreport以周报发送,通知存在还未处理的漏洞。sas_suspicious Route integer 通知方式。取值如下:1:短信开启。2:邮件开启。4:站内信开启。3:短信和邮件开启。5:短信和站内信开启。6:邮件和站内信开启。7:...
功能特性
多账号统一管理 资产异常告警 在资产出现流量异常、主机失陷、异常外联活动、漏洞风险、未开启保护、未开启入侵防护时,您可以及时通过短信或邮件收到通知。说明 云防火墙免费版只支持周报通知项。告警通知 相关文档 更多云防火墙功能特性...
修复kube-controller-manager SSRF漏洞CVE-2020-8555...
阿里云容器服务Kubernetes版已修复kube-controller-manager组件中存在的SSRF漏洞 CVE-2020-8555。通过认证鉴权的攻击者可能通过服务端请求伪造获取控制节点(Master Node)网络下未经认证鉴权保护接口返回的任意信息。本文介绍该漏洞的影响...
数据面安全性
漏洞修复及安全升级 运行时环境的漏洞修复及库升级,如果涉及用户兼容性,会通过站内信、短信等方式提前知会用户,对于自定义运行时或自定义容器镜像,运行时的安全保障由用户自行负责。另外对于Java、C#或Golang等编译型语言,函数计算 ...
数据面安全性
漏洞修复及安全升级 运行时环境的漏洞修复及库升级,如果涉及用户兼容性,会通过站内信、短信等方式提前知会用户,对于自定义运行时或自定义容器镜像,运行时的安全保障由用户自行负责。另外对于Java、C#或Golang等编译型语言,函数计算 ...
DescribeAttackAnalysisData-查询攻击分析的数据
CRLF 102:CSRF 跨站请求伪造攻击 103:SSRF 服务器端请求伪造攻击 101:XSS 跨站脚本攻击 11:文件包含攻击 10:文件上传攻击 12:上传漏洞 15:未授权访问 14:信息泄露攻击 17:XML 实体注入攻击 16:不安全的配置 19:LDAP 注入攻击 18...
阿里云云通信短信服务安全白皮书V1.0
并且已支持检测主流Windows系统漏洞、Linux软件漏洞、Web-CMS漏洞、应用漏洞,同时还能提供针对网络上突然出现的紧急漏洞的应急检测和修复服务。阿里云主机(含容器)使用自研的 Aliyun Linux 2 OS操作系统,已经经过国际第三方Cyber ...
NTP服务的DDoS攻击
详细信息 NTP服务的DDoS攻击原理 NTP协议是基于UDP协议的服务器、客户端模型,由于UDP协议的无连接性(不像TCP具有三次握手过程)具有天然的不安全性缺陷,黑客正是利用NTP服务器的不安全性漏洞发起DDoS攻击。一般流程如下:寻找目标,包括...
Redis CSRF漏洞分析及云数据库Redis版安全措施介绍
CSRF介绍 CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。上图为CSRF攻击的一个简单模型:用户访问恶意网站A,恶意网站A返回给用户的...
Web客户端漏洞类型
本文介绍常见的Web客户端安全漏洞。跨站脚本攻击(XSS)跨站脚本攻击(Cross Site Script,简称XSS)通常指黑客通过 HTML注入 方式篡改了网页并插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。XSS漏洞可被用于用户...
短信发送FAQ
您在发送短信时如果遇到疑问,可参考以下常见问题及处理建议。短信发送成功了,但实际接收失败是什么原因?短信发送高延迟可能是以下原因:短信下发时终端处于异常状态(如关机、停机、空号、信号不好或者收件箱满等原因),未能及时应答...
钓鱼邮件预警
新一期 热门 样本 主题 样本 备注 重要提示,注意939 伪造邮箱系统通知 津贴发放调整 伪造津贴发放 Mailbox Almost Full 伪造邮箱系统通知 New Scanned document from xxx Office Printer 伪造打印机通知 往期样本 主题 样本 备注 2024初必...
新手指引
短信服务的基础知识 短信服务的产品介绍 短信服务的产品优势 短信服务的应用场景 短信服务的基本概念 短信发送规则 短信服务的计费方式 短信服务的计费方式分为按量计费和短信套餐包,请根据需要选择最优的计费方案。详情请参见 计费概述。...
基本概念
国内短信 是阿里云为国内个人和企业用户提供的短信发送服务,通过API或SDK、群发助手方式调用短信发送能力,将指定信息发送至国内手机号码,用于个人和企业向手机号码发送验证码、短信通知、推广短信等短信。国际/港澳台短信 是阿里云为...
API概览
签名管理 API 标题 API概述 AddSmsSign 申请短信签名 短信签名作为短信发送方的一种标识,发送短信前,您需要先申请签名和模板,系统会将已审核通过的短信签名添加到短信内容的开头,并与短信内容一起发送给接收方。DeleteSmsSign 删除短信...
短信模板FAQ
您在填写、修改或审核短信模板时,如果遇到疑问后可以参考如下常见问题及解决方案。短信模板可以大于500字吗?不可以。短信模板最多500字。短信内容长度和计费规则,请参见 短信发送规则。短信模板内容限制行业吗?针对不同的模板有不同的...
短信发送规则
短信内容长度计算规则 短信内容长度(字数)=短信签名字数+短信模板内容(实际收到的短信内容)字数。其中,短信内容不超过为500字。国内短信 简体中文、字母、数字、标点符号(不区分全角和半角),都按照一个字计算。短信长度不超过70个...
卡片短信FAQ
您在使用卡片短信时如果遇到疑问,可参考以下常见问题及处理建议。购买的短信套餐包是否支持抵扣卡片短信?短信套餐包不支持抵扣卡片短信。怎么开通卡片短信?目前卡片短信在内部邀约阶段,请联系您的阿里云商务经理申请开通或致电95187...
短信计费FAQ
您在使用短信服务时,遇到计费、套餐包等疑问时可以参考以下常见问题及解决方案。套餐包剩余资源支持退款吗?套餐包订单超过有效期不可退款,不可延期。已使用的套餐包不支持退款。未使用过,且在订单有效期内的短信套餐包,可以在控制台...
- 产品推荐
- 这些文档可能帮助您