一、目标愿景IaaS（Infrastructure as a Servic，基础设施即服务）为普通用户提供开发便利，实现资源的最大化利用。通过为传统互联网应用开发者提供场外服务器，存储和网络硬件等设施...

网络安全实战化攻防演练是检验企业网络安全建设效果的有效方式，攻防双方在真实的网络环境中开展对抗，更贴近实际情况，有利于发现企业真实存在的安全问题。尽管很多企业通过持续...

随着金融行业数字化转型的深入，三类AP‍I漏洞在金融机构的离柜交易、移动支付、线上服务等业务中变得越来越高频多元。API作为驱动开放共享的核心能力，已深度应用于金融行业；与...

开发人员在编写代码的过程中，通常会希望知道某个API的具体使用方法（也就是使用示例）。过去的研究主要是通过聚类和总结的方法从代码库中提取相关的代码片段来生成示例代码，也就...

20多年的开发部署后，API已经到处都是。2021年的调查研究中，73%的企业表示自己已经发布了超过50个API，且这一数字还在不断增长。API在当今几乎每个行业里都起着举足轻重的作用，而...

00. 概述什么是免杀？来自百科的注解：免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”...

近几年，说起攻防对抗，大家聊的最多的可能是0day、钓鱼、供应链风险……对于一个黑客来说，如果他要挑一个既省事又好用的攻击突破口，那首选恐怕就是API了。API到底是什么？API，中文...

0x01漏洞状态漏洞细节漏洞POC漏洞EXP在野利用已公开已公开已公开未知0x02漏洞描述WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。360漏洞云监测到WSO2 API...

随着企业越发重视和加强应用程序，以及开发人员采用新的技术/流程来构建应用程序，以提高上线速度和丰富客户体验，广大企业对应用的防护需求日益增加，应用安全将成为最重要的安全...

一、概述微服务架构中，API网关充当着非常重要的一环，它不仅要负责外部所有的流量接入，同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔...

近年来，云原生的概念越来越多地出现在人们的视野中，可以说云原生是云计算时代的下半场，云原生的出现是云计算不断与具体业务场景融合，与开发运营一体化碰撞的结果。谈到云原生，不...

为推动《数据安全法》进一步落地实施，2022年3月25日，由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）主办，西北工业大学北京研究院、北京星阑科技有限公司协办的...

1 API 接口介绍1.1 RPC（远程过程调用）远程过程调用（英语：Remote Procedure Call，缩写为 RPC）是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序，而...

长期以来，苹果一直以隐私保护为主要卖点，大力推荐自家的 Safari 浏览器，比如部署了防止跨站点追踪的举措和隐私报告。然而近日，该软件却曝出了处理 IndexedDB API 时的一个漏...

Swagger在API化的世界里，相信无论是前端还是后端开发，都或多或少地被接口维护折磨过。随着API迭代，老旧API文档和SDK需要更新，这是一个耗散研发精力的事情。为解决此类问题，以API...

近日，Data Theorem发布了免费的API攻击面评估工具，可帮助安全团队了解潜在的API风险暴露。此次Data Theorem发布的API攻击面评估工具对API发现没有帮助，但它为安全团队提供了一...

现在API在软件趋势（例如移动应用程序、物联网等）中扮演着越来越重要的角色，对这些 API 进行适当的自动化测试变得不可或缺。有许多不同的工具可以帮助您在API 级别编写这些自动...

API技术的出现使前端界面与后端服务器的数据交互更加便捷，因此被开发者广泛使用。伴随着API使用的指数级增长，其潜在的数据安全与个人信息泄露风险，也成为了企业亟需解决的问题...

带你走进API安全的知识海洋（一）在上期API安全知识文章中，小编对API以及API安全的定义进行了一系列的阐述，本期文章将带大家深入了解API安全的相关知识。Q1：为什么需要API安全？为什...

攻击者知道在针对API时如何避开WAF和API网关。以下是一些公司应对API攻击快速增长的示例。5月初，Pen Test Partners 安全研究员 Jan Masters 发现，他竟然能够在未经身份验证的...

Part 1什么是APIAPI（Application Programming Interface，应用程序接口）是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人...

当地时间5月19日上午，RSAC 2021创新沙盒大赛（RSAC Innovation Sandbox）从入围的10家企业中评选出了获胜者——Apiiro。安全开发生命周期管理公司Apiiro被评为“最具创新力的初...

全球动态1. 化学品分销巨头向DarkSide勒索软件支付440万美元化学品分销公司Brenntag向DarkSide勒索软件团伙支付了440万美元的比特币赎金，以接收用于加密文件的解密器，并防止...

整理笔记时发现之前留下的资料，抛砖引玉，分享给大家。常见注入方法OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThreadDLL注入LoadLibrary/LoadLibraryEx Get...

一． 前言在API技术发展的大趋势下，API的使用呈现指数级增长，从2014年的26%，增长到2018年的69%，超过html流量的4倍（数据来源：《2018年互联网安全状况报告：撞库攻击》）。但API流量的安...

近几年，应用安全领域的新技术、新厂商如雨后春笋般地涌现。该领域之所以会如此快速地发展，一方面，得益于nginx及OpenResty高扩展性的设计，使得技术团队可以专注于特定安全问题，并...

GitHound GitHound可以利用模式匹配、提交历史楼所和一个独特的结果评分系统来精确定位GitHub上的公开API密钥，从本质上来说，GitHound就是一款基于批量爬取、模式...

3月19日，南方都市报在其相关文章《微博5亿用户手机号疑在暗网出售！惊动微博高层》（https://mp.weixin.qq.com/s/SrNEhLh3kNg1c_m8vvDWZQ）中，介绍了暗网出现“5.38亿微博用户绑定...

今天给大家介绍的这款工具名叫DnsFookup，这是一款功能强大的DNS重绑定工具，广大研究人员可以使用该工具来对目标DNS服务器进行安全测试。 本质上来说，DnsFookup是一...

最近Window系统爆一个严重的安全漏洞，该漏洞使CryptoAPI无法正确验证椭圆曲线（ECC）密码证书，攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新，修复该漏...