一个属于不甘愿平庸的人的地方


ots网络社区

最新图文
更多
  • Apple Bug赏金计划记录过程

    Apple Bug赏金计划记录过程

    在7月6日至10月6日期间,我本人Brett Buerhaus,Ben Sadeghipour,Samuel Erb和Tanner Barnes一起工作,并入侵了Apple Bug赏金计划。山姆咖喱(@samwcyo)布雷特·布尔豪斯(@bbuerhaus)Ben Sadeghipour(@nahamsec)塞缪尔·埃尔布(@erbbysam)坦纳·巴恩斯(@_StaticFlow_)在参与过程中

    2020-10-22 0 0 0 0
  • 俄罗斯黑客从美国政府网络窃取数据

    俄罗斯黑客从美国政府网络窃取数据

    最近,联邦调查局(FBI)和网络安全与基础设施安全局(CISA)签署了联合网络安全咨询,该声明确认由俄罗斯资助的黑客已试图入侵美国各州和地区。政府计算机网络。黑客经过两次尝试成功地进行了黑客攻击,而且联邦调查局和网络安全与基础设施安全局已在安全警报中宣布,没有任何适当的证据断言任何选举数据已受到破坏。已存取文件由俄罗斯赞助的APT参与者正在获取用户和管理员凭据以建立初始访问权限,这将使进入网络内部

    2020-10-25 0 0 0 0
  • 2020年渗透测试的十佳最佳开源智能工具(OSINT工具)

    2020年渗透测试的十佳最佳开源智能工具(OSINT工具)

    我们都非常了解,使用各种工具来获取或收集任何信息变得非常容易。在本文中,我们讨论了各种OSINT工具,就像我们通过Internet搜索一样,将弹出许多不同的页面。但是最有问题的是要从多个页面收集不同的信息,以找到项目中的适当目标。因此,我们积累了有关这些工具的每一个细节,并在本文中汇总了所有内容,因此,我们将向您展示10种最佳的OSINT工具。通常,钢笔测试仪使用OSINT工具来查找可能起作用的公

    2020-10-25 0 0 0 0
  • 美国官员指责俄罗斯APT集团盗窃选举数据

    美国官员指责俄罗斯APT集团盗窃选举数据

    美国情报官员说,至少从九月份开始,一个由俄罗斯支持的黑客组织就已经破坏了一些州和地方政府的计算机系统,并窃取了与选举有关的数据。但是,到目前为止,攻击者似乎还没有尝试过以其他方式干扰或破坏这些网络。联邦调查局和网络安全基础设施与安全局周四描述了这些袭击事件,就在一天之后,美国政府官员警告伊朗和俄罗斯将更多的网络活动集中在11月3日总统大选上。周三,国家情报总监约翰·拉特克利夫(John Ratcl

    2020-10-25 0 0 0 0
  • 网络安全公司发现黑客向1.48亿美国选民出售信息

    网络安全公司发现黑客向1.48亿美国选民出售信息

    一家网络安全公司表示,它发现了一个黑客,该黑客出售了超过2亿美国人的个人识别信息,其中包括1.48亿选民的注册数据。揭露了这一点,即使美国人宣布伊朗和俄罗斯已获得选民登记数据和电子邮件地址,以期干预2020年大选,美国人仍然容易受到犯罪分子和外国对手的电子邮件攻击。全球网络安全公司Trustwave识别的许多数据都是公开可用的,几乎所有数据都是合法企业定期买卖的数据。但是事实是,在黑暗的网络上发现

    2020-10-22 0 0 0 0
  • Google修补Chrome零日攻击

    Google修补Chrome零日攻击

    Google已发布了其Chrome网络浏览器的更新程序,该更新程序修复了五个安全漏洞,其中包括一个已知为攻击者正在积极利用的漏洞。“谷歌是知道的报告,一个利用为CVE-2020-15999存在于野生的,”谷歌表示,大约在FreeType的,广泛使用的软件开发库,也是一个镀铬组件零日攻击安全漏洞。此字体渲染库中的错误会影响Windows,macOS和Linux的浏览器版本。该漏洞被归类为高严重性,由

    2020-10-22 0 0 0 0
  • NSA:中国黑客利用25个漏洞

    NSA:中国黑客利用25个漏洞

    在星期二发布的警报中,美国国家安全局(NSA)指出,许多漏洞是在可以从Internet轻松访问的远程访问或Web服务工具中发现的。美国国家安全局说,中国黑客正在利用这些漏洞窃取敏感的知识产权以及经济,政治和军事数据。美国国家安全局(NSA)分析师表示,中国支持的黑客正在利用漏洞作为进入网络的平台,将目标瞄准美国国防部以及美国的国家安全系统和私人国防工业。修补的紧迫性该机构敦促所有组织立即修补缺陷并

    2020-10-22 0 0 0 0
  • 俄罗斯大使馆否认美国指控六名俄罗斯人入侵黑客

    俄罗斯大使馆否认美国指控六名俄罗斯人入侵黑客

    俄罗斯驻华盛顿大使馆否认美国指控俄罗斯公民在世界范围内进行骇客活动和破坏稳定活动俄罗斯驻华盛顿大使馆说,俄罗斯过去并没有参与世界范围内的网络攻击。该部门认为,指控俄罗斯人进行黑客攻击是为了煽动俄罗斯恐惧症情绪。此前,美国司法部和联邦调查局指控六名俄罗斯人参与了一系列黑客攻击和恶意软件传播,以攻击其他国家的基础设施。特别是,他们被控在2017年传播NotPetya病毒。据称这些人是GRU雇员。俄罗斯

    2020-10-21 0 0 0 0
  • NSA详细介绍了立即修补的前25个漏洞

    NSA详细介绍了立即修补的前25个漏洞

    美国国家安全局(NSA)已发布针对政府组织和私人实体的咨询警告,其中详细列出了25个中国网络参与者在野外积极利用的安全漏洞。根据国家安全局的说法,所有这些错误都是众所周知的,并且可以从供应商处获得补丁。该机构说,中国政府资助的黑客正在扫描并瞄准这些漏洞,以争取对受害者网络的初步访问。为了实现其目标,美国国家安全局(NSA)在其通报[pdf]中表示,他们通常使用“可直接从Internet访问并充当内

    2020-10-21 0 0 0 0
  • 红队策略:隐藏Windows服务

    红队策略:隐藏Windows服务

    Windows的一个鲜为人知的功能允许红色团队或攻击者将服务隐藏在视线之外,从而有机会规避基于主机的常见威胁搜寻技术的检测。在最近的一次红队交锋中,我的球队与一些训练有素,经验丰富的后卫对抗。我们构建了自定义恶意软件来逃避预期的EDR平台,但我们知道主机分析最终将使我们陷入困境,并迅速从目标组织中撤离。PSC:\WINDOWS\system32Get-Service-NameSWCUEngine

    2020-10-21 0 0 0 0
  • 仔细研究对特斯拉的未遂勒索软件攻击

    仔细研究对特斯拉的未遂勒索软件攻击

    分子通过特斯拉的一名员工将特斯拉作为目标客户,据称他们承诺向特斯拉支付100万美元,以帮助他们用恶意软件感染该公司的系统。幸运的是,这种犯罪行为遭到了一名正直的员工的挫败,但它突显了恶意攻击者在企图危害公司网络并获取敏感信息的过程中变得多么卑鄙。内部人作为脆弱点的风险特斯拉网络攻击突显了内部人员(例如员工)对公司数据造成的漏洞。即使组织通过部署防火墙,防病毒系统,渗透测试和恶意软件防护来增强安全性

    2020-10-21 0 0 0 0
  • 六名俄罗斯GRU官员因涉嫌在网络空间中部署破坏性恶意软件和其他破坏性行动而被指控

    六名俄罗斯GRU官员因涉嫌在网络空间中部署破坏性恶意软件和其他破坏性行动而被指控

    被告的恶意软件攻击给3名受害者造成了近10亿美元的损失;还试图破坏2017年法国大选和2018年冬季奥运会2020年10月15日,匹兹堡联邦大陪审团退回了起诉书,指控六名计算机黑客,他们都是俄罗斯联邦(俄罗斯)的居民和国民以及俄罗斯主要情报局(GRU)74455部队的官员,武装部队总参谋部的军事情报机构。这些GRU黑客及其同谋从事计算机入侵和攻击,旨在支持俄罗斯政府破坏,报复或破坏稳定的努力:(1

    2020-10-21 0 0 0 0
  • 伊朗国家港口遭受网络攻击

    伊朗国家港口遭受网络攻击

    伊朗发布了一份新闻声明,称该国的两个港口遭到网络攻击。但是,有消息称,这些攻击已被及时中和,从而避免了对海港控制系统的严重破坏。伊朗计算机紧急响应小组协调中心证实了这一消息,并指出不能排除外国数字入侵的可能性。两周前,据伊朗新闻通讯社报道,伊朗的港口和航运组织以及海事行业的一些公司容易受到对手的网络攻击。网络安全内部人员的读者必须在这里通知一个事实,即一些以色列政府网站在2020年5月遭到伊朗黑客

    2020-10-19 0 0 0 0
  • 使用伪造的Windows Update模板的Emotet恶意软件

    使用伪造的Windows Update模板的Emotet恶意软件

    臭名昭著的银行Trojan Emotet一直在使用伪造的Windows Update模板作为一项活动的一部分,以将恶意软件有效载荷传递到受害系统上。这是根据研究人员在Cryptolaemus,谁状态假冒模板看起来就像从Windows实际系统警报。Emotet是一种复杂的恶意软件,旨在在安装一系列其他恶意软件之后从受感染的系统中窃取敏感信息。在2014年首次发现时,Emotet是一种银行木马,主要通

    2020-10-19 0 0 0 0
  • 谷歌发现它被2.5Tbps DDoS击中

    谷歌发现它被2.5Tbps DDoS击中

    谷歌透露了来自中国的针对它的民族国家DDoS运动,这可能是有史以来规模最大的一次攻击。2.5Tbps DDoS于2017年9月发生,但在周五的报告中首次公开发布,该报告旨在分享有关网络防御的最佳做法并堵塞Google Cloud缓解措施。根据Google安全可靠性工程师Damian Menscher的说法,这次攻击是对该公司进行为期六个月的攻击的最高点。“尽管同时瞄准了我们的数千个IP,大概是希望

    2020-10-19 0 0 0 0
  • Microsoft发布安全更新以解决远程执行代码漏洞

    Microsoft发布安全更新以解决远程执行代码漏洞

    Microsoft已发布安全更新,以解决影响Windows Codecs库和Visual Studio Code的远程代码执行漏洞。攻击者可能利用这些漏洞来控制受影响的系统。网络安全和基础结构安全局(CISA)鼓励用户和管理员查看CVE-2020-17022和CVE-2020-17023的Microsoft安全公告,并应用必要的更新。

    2020-10-19 0 0 0 0
  • 严重的Magento漏洞打开在线商店以执行代码

    严重的Magento漏洞打开在线商店以执行代码

    Adobe说这两个关键缺陷(CVE-2020-24407和CVE-2020-24400)可能允许任意代码执行以及对数据库的读取或写入访问。Magento中的两个关键缺陷(Adobe的电子商务平台通常被Magecart威胁组织这样的攻击者作为目标) 可以在受影响的系统上执行任意代码。在接下来的几个月内,即本周的亚马逊Prime Day和11月的黑色星期五之间,零售业将蓬勃发展,这将给Adobe施加压

    2020-10-16 0 0 0 0
  • 美国网络司令部敦促用户修补新的“死亡之屏” Windows缺陷

    美国网络司令部敦促用户修补新的“死亡之屏” Windows缺陷

    美国网络司令部(USCYBERCOM)警告,用户应为Microsoft软件应用最新补丁,以确保他们不会成为利用攻击的受害者。美国网络司令部指出,这些问题中最重要的是CVE-2020-16898,这是Windows TCP / IP堆栈中的关键错误,可以远程触发该漏洞,从而有可能在受害计算机上实现远程代码执行。尽管远程代码执行可能不容易实现,但Sophos展示了如何利用此漏洞导致“蓝屏死亡”(BSo

    2020-10-16 0 0 0 0
  • 针对严重漏洞实施的措施:Zerologon Windows Netlogon安全

    针对严重漏洞实施的措施:Zerologon Windows Netlogon安全

    Zerologon如何运作?Netlogon远程协议是Windows Server中的客户端身份验证体系结构使用的一种机制。它的作用是验证会话登录并注册,认证和定位域控制器。这样,它可通过客户端和充当域控制器的服务器之间的加密来确保安全通道,并使用户能够登录服务器。现在,由于Netlogon协议中AES-CFB8的实施不正确,攻击者可以在没有任何其他要求的情况下设置新密码,从而完全控制DC并获得管

    2020-10-16 0 0 0 0
  • 2020年9月在黑客论坛上出售的``网络访问权'',估计售价为500,00美元

    2020年9月在黑客论坛上出售的``网络访问权'',估计售价为500,00美元

    网络安全公司KELA发布了一份报告,指出该报告在热门黑客论坛上索引了108个网络访问列表。所有广告访问的总价值约为500,000美元。广告数量是前几个月看到的数量的三倍。出售网络访问权的广告在黑客论坛上已经存在多年了,但是数量和要价却在上升。在此类论坛上进行网络访问的费用可能高达100,000美元,具体取决于所提供的网络和访问级别。平均价格约为5,000美元。要价往往根据公司的价值而不是网络的规模

    2020-10-16 0 0 0 0
最新图文
更多
  • javascript如何实现斐波那契列数?3种方法介绍

    javascript如何实现斐波那契列数?3种方法介绍

    下面本篇文章给大家介绍一下使用javascript实现斐波那契列数的三种方法。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。JS实现斐波那契列数的三种方法大家是怎么实现斐波那契列数的1,1,2,3,5,8...f(n)=f(n-1) + f(n-2)方法一:functionf(n){

    if(n==1||n==0){

    return1;

    }

    returnf(n-1)+f(n-

    2020-10-24 0 0 0 0
  • 11种实用的JavaScript技巧

    11种实用的JavaScript技巧

    JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的高级编程语言。本文为大家介绍了11种实用的JavaScript技巧,希望对大家有一定的帮助。1、过滤唯一值Set对象类型是在ES6中引入的,配合展开操作...一起,我们可以使用它来创建一个新数组,该数组只有唯一的值。constarray=[1,1,2,3,5,5,1]

    constuniqueArray=[...n

    2020-10-24 0 0 0 0
  • 浅谈JavaScript中!和!!的区别

    浅谈JavaScript中!和!!的区别

    本篇文章和大家一起聊聊JavaScript中!和!!的区别。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。js中!的用法是比较灵活的,它除了做逻辑运算常常会用!做类型判断,可以用!与上对象来求得一个布尔值,1、!可将变量转换成boolean类型,null、undefined和空字符串取反都为false,其余都为true。!null=true

    !undefined=true

    !

    2020-10-23 0 0 0 0
  • 快速了解 js 中的垃圾回收

    快速了解 js 中的垃圾回收

    前言JS具有自动垃圾回收机制,换句话说,执行环境会管理代码执行过程中使用的内存。JS垃圾回收的原理执行环境会找出那些不再继续使用的变量,然后释放其占用的内存。JS垃圾回收的策略标记清除当变量进入环境时,就将这个变量标记为“进入环境”,而当变量离开环境时,则将其标记为“离开环境”。标记变量方式看具体的实现,比如可以使用一个“进入环境”的变量列表和一个“离开环境”的变量列表来跟踪哪个变量发生了变化。使

    2020-10-22 0 0 0 0
  • 7个提升网页SVG文件可访问性的方案

    7个提升网页SVG文件可访问性的方案

    SVG是一种图像文件格式,它的英文全称为Scalable Vector Graphics,意思为可缩放的矢量图形。本文就来为大家介绍7个提升网页SVG文件可访问性的方案。1、作为图片使用的 SVG 文件如果你的 SVG 是作为img的 src 引入的,务必为img添加role=img属性:imgsrc=https://s3-us-west-2.amazonaws.com/s.cdpn.io/163

    2020-10-22 0 0 0 0
  • javascript数组如何去重?

    javascript数组如何去重?

    我们可以利用indexOf()方法去除数组中的重复值。思路:首先创建一个新数组,然后循环要去重的数组,然后用新数组去找要去重数组的值,如果找不到则使用.push添加到新数组,最后把新数组返回回去就行了。具体代码:functionfun(arr){

    letnewsArr=[];

    for(leti=0;iarr.length;i++){

    if(newsArr.indexOf(arr[i])===

    2020-10-21 0 0 0 0
  • 先建立css还是html?

    先建立css还是html?

    很多朋友都有自己的习惯,有的人喜欢先写CSS,有的人喜欢先写HTML,那么网页布局最科学的写法流程是什么呢?对于一个新手而言,在有了一点html知识之后,对于CSS、DIV都感觉特别的疑惑,不知道这其中到底是什么联系?为什么用了CSS的网页不能像其它代码一样直观?html和css哪个先写?其实这些问题在我看完教程,但还没真正上手实践时的疑惑!等真正上手自己做时,我才发现应该是两者同时写!下面我们就

    2020-10-21 0 0 0 0
  • JavaScript中如果降低函数复杂度?

    JavaScript中如果降低函数复杂度?

    JavaScript 是一种易于学习的编程语言,编写运行并执行某些操作的程序很容易。然而,要编写一段干净的JavaScript 代码是很困难的。在本文中,我们将研究如何降低函数复杂度。将重复的代码移到同个位置我们应该将重复的代码提取出来,合并放到同个位置,这样当有需要修改的,我们只需要改一个地方即可,同时也减少犯错率。假设我们有可能很写出下面的代码:constbutton=document.que

    2020-10-20 0 0 0 0
  • JavaScript中如何让函数更简单明了?

    JavaScript中如何让函数更简单明了?

    JavaScript 是一种易于学习的编程语言,编写运行并执行某些操作的程序很容易。然而,要编写一段干净的JavaScript 代码是很困难的。在本文中,我们将研究如何让我们的函数更清晰明了。对对象参数使用解构如果我们希望函数接收很多参数,那么应该使用对象。在此基础上,我们就可以使用解构语法提取我们需要的参数。例如,对于对象参数,我们可能会这样使用:constgreet=(obj)={

    retu

    2020-10-20 0 0 0 0
  • 一些提升css性能的小知识

    一些提升css性能的小知识

    大家都知道,对于网站来说,性能至关重要,CSS作为页面渲染和内容展现的重要环节,影响着用户对整个网站的第一体验。因此,与其相关的性能优化是不容忽视的。对于性能优化我们常常在项目完成时才去考虑,经常在项目的末期,性能问题才会暴露出来,此时才进行一些相关的性能优化。其实,如果我们从一开始编码,就注意一些细节问题,后面的工作量会小很多,下面我们来看看在书写CSS时,我们可以注意哪些细节,从而来提升CSS

    2020-10-19 0 0 0 0
  • html+css+js如何实现魔性舞蹈动画效果?(附代码)

    html+css+js如何实现魔性舞蹈动画效果?(附代码)

    本篇文章给大家介绍一下使用html+css+js实现魔性舞蹈动画效果(附代码)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。使用html+css+js实现魔性的舞蹈,让我们燥起来!!!代码如下,复制代码即可使用:!DOCTYPEhtml

    html

    head

    metacharset=UTF-8

    titleTheLastExperience/title

    style

    ht

    2020-10-19 0 0 0 0
  • JavaScript异步函数发展历程介绍

    JavaScript异步函数发展历程介绍

    JavaScript异步函数的发展历程,首先通过回调函数实现异步,之后又经历了Promise/A+、生成器函数,而未来将是async函数的。对大部分的JavaScript开发者而言,async函数是个新鲜事物,它的发展经历了一个漫长的旅程。在不久之前,我们还只能写回调函数来实现异步,然后Promise/A+标准出来了,这之后又出现了生成器函数,而未来显然是async函数的。现在让我们一起来回顾这些

    2020-10-18 0 0 0 0
  • 9 个强大而非主流的JS写法(各种 Hack 写法)

    9 个强大而非主流的JS写法(各种 Hack 写法)

    在日常开发中优雅的写法可提高代码的可读性,以及使代码整洁,本篇文章介绍了9种非常主流且又优雅的写法(各种 Hack 写法)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。1. 全局替换我们知道,字符串函数 replace () 仅替换第一次出现的情况。您可以通过在正则表达式的末尾添加 /g 来替换所有出现的内容。varexample=potatopotato;

    console.

    2020-10-18 0 0 0 0
  • 浅谈js中的typeof、instanceof和===

    浅谈js中的typeof、instanceof和===

    本篇文章就来浅谈一下js中的typeof、instanceof和===。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。typeof:用于判断number/string/boolean/underfined类型/function,不能判断:null和object ,不能区分object和Arrayinstanceof:判断具体的对象类型===:用于判断undefined和null/

    2020-10-05 0 0 0 0
  • JavaScript中使用递归的方法

    JavaScript中使用递归的方法

    在JavaScript程序中,函数直接或间接调用自己。通过某个条件判断跳出结构,有了跳出才有结果。本文就来为大家介绍一下JavaScript中使用递归的方法。递归的步骤(技巧)1、假设递归函数已经写好2、寻找递推关系3、将递推关系的结构转换为递归体4、将临界条件加入到递归体中(一定要加临界条件,某则陷入死循环,内存泄漏)简单递归示例:一、求1-100的和假设让你来,你是否会这样写?varsum=0

    2020-10-05 0 0 0 0
  • 深入研究CSS Grid(网格布局)

    深入研究CSS Grid(网格布局)

    本教程将深入探讨 CSS 网格布局,并探索几乎所有的属性和功能。读完之后,你将能够用这种出色的 CSS 附加功能去处理任何一种布局。术语:GridGrid 是二维网格系统。它可以用来构建复杂的布局以及较小的界面。属性:display只需要把一个元素的display属性设置为grid,它就成了网格。.grid-to-be{

    display:grid;

    }这样就使.grid-to-be成为grid

    2020-09-30 0 0 0 0
  • 5个v8引擎编写优化代码的技巧

    5个v8引擎编写优化代码的技巧

    JavaScript 引擎是执行 JavaScript 代码的程序或解释器。JavaScript 引擎可以实现为标准解释器,或者以某种形式将 JavaScript 编译为字节码的即时编译器。以下为实现 JavaScript 引擎的流行项目的列表:V8 —  开源,由 Google 开发,用 C ++ 编写Rhino —  由 Mozilla 基金会管

    2020-09-30 0 0 0 0
  • 应该避免使用箭头函数的 5种 情况

    应该避免使用箭头函数的 5种 情况

    本篇文章给大家介绍5种应该避免使用箭头函数的情况。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。避免在定义对象方法时使用箭头函数虽然因语法简练受人追捧。但由于没有 this 会导致在一些情况下出现预想不到的意外情况。比如在对象中定义一个方法:看起来很完美调用这个方法能够按照预期,获得对象的 food 属性但如果将其改为箭头函数:由于箭头函数自身没有 this 会导致自动继承外层的

    2020-09-29 0 0 0 0
  • 了解 JS 中Continue和Break语句的差异

    了解 JS 中Continue和Break语句的差异

    在这篇文章中,我们会详细介绍continue和break,分析它们的相同和不同之处,甚至用一些可运行的实例。continue和break都是用于控制循环的。我们先来看一下他们的定义:Continue:结束当前的执行,并继续下一个循环。Break:终止整个循环的执行。注意:break还可以用在switch中,本文主要介绍在循环中的使用。Continue考虑如下代码:for(leti=1;i=10;i

    2020-09-29 0 0 0 0
  • css中隐藏滚动条的3种方法

    css中隐藏滚动条的3种方法

    隐藏滚动条的同时还需要支持滚动,我们经常在前端开发中遇到这种情况,最容易想到的是加一个iscroll插件,但其实现在CSS也可以实现这个功能,我已经在很多地方使用了,下面一起看看这三种方法。方法1:计算滚动条宽度并隐藏起来在本站的侧栏,你可以看到前端日报的那块内容并没有滚动条,但鼠标移上去却可以滚动内容。这是什么技术呢? 其实我只是把滚动条通过定位把它隐藏了起来。下面给一个简化版的代码:divcl

    2020-09-28 0 0 0 0
最新图文
更多
  • 设计师工作不饱和怎么办?试试这些方法!

    设计师工作不饱和怎么办?试试这些方法!

    设计是一个迭代很快的行业,稍有懈怠就会跟不上节奏,设计师就是这个行业里面不断奔跑的一群人。在这条设计跑道上,有人从不懈怠,一直在奔跑;有人偶尔懈怠,稍作休息;有人在散步,却已差之千里。你在这条跑道上的速度如何,决定了你能以何种姿态到达终点。工作饱和度是设计跑道上的一种状态,影响着设计师是原地踏步还是一路前行。工作饱和度是一把双刃剑,如果饱和度太高会影响设计师的休息质量和工作心态;如果饱和度太低会让

    2020-10-25 0 0 0 0
  • 简单实用!系统化总结「地图标签」设计

    简单实用!系统化总结「地图标签」设计

    大家好,我是Clippp。今天为大家带来的文章是「地图标签」设计。很多App会内嵌地图功能,这些地图的功能相对简单,更多是起到查看和引导的作用,但在产品中又不可或缺~除了常见的地图类App,还有其他很多产品会根据使用需求嵌入地图功能,通过在地图页中添加引导性的交互标签,让用户了解所处的位置或者导航路线。如何保持地图页面与产品风格统一,同时又方便用户使用呢?通过系统化的方法可以快速实现地图组件的选择

    2020-10-24 0 0 0 0
  • iOS14 交互上这5点变化,值得细细研究

    iOS14 交互上这5点变化,值得细细研究

    一直很喜欢苹果系统的交互设计,因为绝大多数设计点都考虑得周到且成熟,体现出苹果作为顶级大厂的范儿。研究优秀的设计,学习他们的方案,会使我们也更优秀。下面就带大家看看,苹果系统这次更新,在交互上值得细说的5个功能点。桌面小组件这次iOS最大的更新,莫过于这个桌面小组件了。说白了,就是把app的一个功能拿出来,直接展示在桌面上。这样用户不用进入应用,也能看到需要的信息。其实这个小组件,在安卓和Wind

    2020-10-24 0 0 0 0
  • 新晋黑马神器!Figma完全入门指南(附超多插件+教程)

    新晋黑马神器!Figma完全入门指南(附超多插件+教程)

    这是一篇关于Figma全面介绍的文章,非常适合刚刚入门,目录总览前言我为什么要说Figma,最直观的感受就是,这个工具真的非常好用,使用起来非常流畅。可以提高设计效率,用起来很爽,然后想分享给大家最重要的是,Figma已经成为主流原型设计工具,为什么这么说?我们来看一份来自UXTOOLS调查2019年的设计工具使用报告(2020年Figma的用户应该会更多),报告详情请查看:https://uxt

    2020-10-22 0 0 0 0
  • 用三个双11海报实战案例,帮你深入学会「中心构图」

    用三个双11海报实战案例,帮你深入学会「中心构图」

    “中心构图”是把主体放置在画面视觉中心,形成视觉焦点,再使用其他信息烘托和呼应主体。这样的构图形式能够将核心内容直观的展示给受众,内容要点展示更有条理,也具有良好的视觉效果。为了让大家加深对“中心构图”的理解,运用上一期知识点进行一则双11潮牌海报实操演示。方案一寻找时尚潮流的人物素材,在PS中把人物退底处理。把调整好的图片放置到AI中,背景色选取和人物相近的淡绿色。标题文字选用“字魂-正酷超级黑

    2020-10-22 0 0 0 0
  • 拿到需求别急着抄竞品,高手用这5个方法做出优秀方案!

    拿到需求别急着抄竞品,高手用这5个方法做出优秀方案!

    很多读者很关心的一个问题,就是如何做出优秀的甚至很惊艳的设计方案?大家拿着产品需求之后,很容易就没有头绪,不知道如何下手,最多也就看看相关的竞品,借鉴竞品的思路和方案,然后就开始做设计。这样的话,设计师就缺乏独立思考能力,缺乏设计推导。有没有一些方法,让设计师做出符合自己的设计方案呢?这里我总结了5个方法,可以助力设计师做出优秀甚至惊艳的设计方案。以下是本文5个方法的大纲:拆解设计需求分析线上数据

    2020-10-21 0 0 0 0
  • “你的设计没效果,今年绩效不发了”

    “你的设计没效果,今年绩效不发了”

    编者注:产品觉得公司业绩取决于运营和产品,设计师作用不大,老板甚至想取消年度绩效,该怎么办?该如何衡量和验证UE设计效果?来看这篇高手的经验总结。前段时间在项目复盘会上,产品经理向设计团队提出了这个问题。我认为这是一个很好的问题,我目前负责的业务是一款教育问答产品,受众是以大学生青年群体为主,机构发布悬赏题目来吸引大学生回答,从而帮助完善机构题库,大学生从中获取悬赏报酬,而我们平台则从中赚取佣金。

    2020-10-21 0 0 0 0
  • 全面解读2020最值得上手的界面设计工具:Figma

    全面解读2020最值得上手的界面设计工具:Figma

    前言工欲善其事必先利其器,器即工具。选择一种工具的本质是选择一种方式。个人的选择或许是基于喜好习惯,行业的选择则伴随行业工作模式的变化。作为互联网行业的设计师,我们应当时时跟进技术的发展,解锁新模式和新工具。设计工具的战场1. 概述随着日新月异的技术发展,互联网时代进入深水区。行业环境越复杂,设计师将面临越多机遇和挑战。设计不同于艺术,本质是为了解决问题,而设计工具直接影响着设计师思考问题和解决问

    2020-10-20 0 0 0 0
  • 腾讯设计师出品!超全面的3D设计自学指南(附超多教程)

    腾讯设计师出品!超全面的3D设计自学指南(附超多教程)

    Hi,大家好,我是彩云。3D设计趋势近年来大火,得益于它能给用户带来非常好的视觉体验,其炫酷的表现力也非常能展现设计师的专业能力。平时在群里经常能见到有群友问3D学习相关的问题,而我正好之前做过一个3D游戏项目,想跟大家分享自学3D的一些小心得和学习资源之类的,相互学习。在这之前,我只会一些基本的3D知识,软件也只是会一点C4D,曾经也断断续续的学了蛮久,但始终不得要领,属于关掉教程就不会做的那种

    2020-10-20 0 0 0 0
  • 2020年10月超实用设计干货大合集

    2020年10月超实用设计干货大合集

    10月份的设计圈干货大合集来了!这次的实用干货当中有相当一部分是和前端相关的开发和设计素材,除此之外,还有大家最喜欢的字体、图标等常规设计素材!来看看吧:Tooltip Sequence如果你的 APP 或者网站已经准备就绪,但是需要加入工具提示,让用户可以更好地参与进来,那么你可能需要这个「工具提示工具包」。这是一个简单的 JavaScript 程序包,能够帮里创建一系列工具提示,帮助用户更好了

    2020-10-18 0 0 0 0
  • 10个产品细节剖析,让你看看大厂是如何做设计的

    10个产品细节剖析,让你看看大厂是如何做设计的

    很多产品里的小细节,如果用户发现的话,就很容易给用户带来惊喜的感受。一个产品的好坏与否,都不能站在自己的主观意见上去做判断,即使只有20%的用户喜欢,如果在产品设计策略上跟公司的战略相匹配,刚好满足于这20% 的主要用户群,无疑这个产品是成功的。「波洞」趣味的视频点赞效果1. 产品体验:在波洞APP观看视频,给自己喜欢的视频点赞时,会以点赞图标为中心,通过动画效果向四周发散出五颜六色的二次元图标,

    2020-10-05 0 0 0 0
  • 简单易用!快速改善用户界面的10个技巧

    简单易用!快速改善用户界面的10个技巧

    创建美观、好用和高效的UI需要花费时间,并且需要不断的调整修正,才能产生让用户和自己真正满意的设计。在本文中,总结了一些简单易用的设计小技巧,通过进行一些简单的视觉调整,可以快速改善你要创建的视觉效果。1. 减轻文本的字重当涉及到长篇内容时,某些常规的粗体字看起来会有些沉重和生硬,可以通过选择深灰色(Dark Gray),比如#4F4F4F 来解决这个问题,让文本看起来更美观一些。2. 字号越小,

    2020-10-05 0 0 0 0
  • 强迫症最爱的「对称构图」,来领这份超全攻略!

    强迫症最爱的「对称构图」,来领这份超全攻略!

    对称之美对称之美源于自然,在日常生活中处处都可见,对称之所以为美,这是视觉美的天性使然。稍微留意一下我们身边的事物,就会发现我们生活在一个充满对称的世界里。人们对“对称美”的思索可以追溯到人类文明的初始阶段。早在古希腊时期,哲学家对艺术中的美的理解就多与对称有关。如亚里士多德认为“美在于秩序、对称、明确”,毕达哥拉斯说“美的线型和其他一切美的形体都必须有对称形式”等。这体现了人类在自觉不自觉中,以

    2020-09-30 0 0 0 0
  • 2020日本包装设计大赏,获奖作品也太精彩了吧!

    2020日本包装设计大赏,获奖作品也太精彩了吧!

    在设计行业中,提到精彩二字,很难不联想到大海彼岸的日本索尼、松下、三菱,不少日企都曾凭借设计风靡过全世界,可问题是,这么多年过去日本的设计师们,是否依旧还是那么能打呢?正好,由日本包装设计协会所举办的JPDA包装设计大赏2020年获奖名单,最近新鲜出炉!即便日本饱受疫情困扰,参赛的作品数量仍旧高达827份,大奖1名、金奖12名、银奖11名、铜奖14名、特别奖4名杀出重围的,无疑都是代表之作当今日本

    2020-09-29 0 0 0 0
  • 喜欢宫崎骏?吉卜力工作室放出400 张动画剧照免费下载!

    喜欢宫崎骏?吉卜力工作室放出400 张动画剧照免费下载!

    如果你喜欢宫崎骏作品,现在吉卜力将这些动画剧照释出,让使用者免费下载使用。吉卜力工作室(Studio Ghibli)官网9/18贴出公告:从本月开始,将按顺序提供吉卜力工作室的所有动画作品剧照,这个月会先开放八部作品,主要是较近期的动画,总共400张剧照免费下载。只要「在常识范围内」就能自由使用,但网站没有详细解释何谓常识范围,一般来说个人使用应该没有问题,若用于商业用途可能就必须事先询问或申请。

    2020-09-28 0 0 0 0
  • 如何做好图片标签设计?来看Vivo设计总结的三部曲!

    如何做好图片标签设计?来看Vivo设计总结的三部曲!

    缘起最近组内设计评审,视频和小说两个业务都涉及到在图片上显示标签(Tag)的设计,但是Tag的样式和位置却不完全不同,如下图所示:加之对其他产品中图片上Tag的位置和样式各异的印象,不由得引发了我的思考,到底什么位置,何种样式的标签设计才是更合适的设计?这背后的设计逻辑又是什么?竞品分析带着这样的疑问,我打开了手机中Top3的视频和小说App,通过分析整理,发现竞品主要采用了以下4种图片Tag样式

    2020-09-28 0 0 0 0
  • 作为产品高手,他是怎么思考一个功能的?

    作为产品高手,他是怎么思考一个功能的?

    最近,有读者发来一个问题,内容大概是这样:呆总,这个页面里我画圈的模块现在只有 2 个选项,如果有 15 个选项的话,那我要怎么设计呢?这类问题其实不难回答,但业务不明确,以至于无法给出符合问题本身的答案。这位读者这么问,应该是想要我直接给出形式上的设计建议。但是,我不知道这个模块的作用,页面缺少上下文的联系,也就不知道它要解决用户什么问题,更不知道选项变多至 15 个的原因。只能大致猜测是选择其

    2020-09-25 0 0 0 0
  • 如何从零开始设计一款IP形象?来看企鹅电竞的实战案例复盘!

    如何从零开始设计一款IP形象?来看企鹅电竞的实战案例复盘!

    前言小方鹅CUBIE是企鹅电竞官方的IP形象,设计方案是围绕“游戏机方盒子”的概念来展开创意,特别是小方鹅头上的游戏机摇杆的提取以及方块组合的表情符号,都体现其游戏属性;符合目前企鹅电竞以游戏直播为核心,多元化发展的产品定位;IP形象的诞生,提升了用户对企鹅电竞的的品牌认知和传播力,协助产品打造一个更具有情感化的游戏直播内容平台。前期设计分析,制定设计流程企鹅电竞作为游戏直播为主,多元化发展的直播

    2020-09-25 0 0 0 0
  • 赛博朋克风格案例!「商业合成海报」从构思到成品的全流程解析

    赛博朋克风格案例!「商业合成海报」从构思到成品的全流程解析

    本文通过赛博朋克海报案例给大家深度讲解“商业合成海报从构思到成品”的制作流程以及合成中“人造戏剧光影”的后期使用方法更多文章知识,请查阅ots网络安全门户 !!!

    2020-09-21 0 0 0 0
  • 如何让你的设计有据可依:界面中的点线面(下)

    如何让你的设计有据可依:界面中的点线面(下)

    点线面的临界问题康定斯基在书中曾讲到,线的强化加粗,与点不断增大面临同样的问题,即与面之间的临界。这句话的意思就是,当点、线通过强化自身的面积、宽度后,和面的界限开始模糊,从而具备了面本身的性质。比如ios11中让人印象深刻的大标题,便是由通过增加每个点的面积(增加每个字的字号),以及笔画的线宽(增加每个字的字重)来趋向于面,以来营造出饱满、冲击的视觉张力。辨识性面二维的属性让它可以向四周无限得扩

    2020-09-21 0 0 0 0
最新文章
渗透测试
最新图文
更多
  • Apple Bug赏金计划记录过程

    Apple Bug赏金计划记录过程

    在7月6日至10月6日期间,我本人Brett Buerhaus,Ben Sadeghipour,Samuel Erb和Tanner Barnes一起工作,并入侵了Apple Bug赏金计划。山姆咖喱(@samwcyo)布雷特·布尔豪斯(@bbuerhaus)Ben Sadeghipour(@nahamsec)塞缪尔·埃尔布(@erbbysam)坦纳·巴恩斯(@_StaticFlow_)在参与过程中

    2020-10-22 0 0 0 0
  • 红蓝对抗中的近源渗透

    红蓝对抗中的近源渗透

    编者按近源渗透(物理渗透)是红蓝对抗演练中的一个关键点,从相关新闻及实际测试结果来看,许多企业线上部署各种安全设备严阵以待,结果马奇诺防线在线下被物理渗透绕过 —— 物理安全或许就是部分企业的短板。本期TSRC特别邀请到腾讯企业IT部蓝军团队成员、《黑客大揭秘:近源渗透测试》第二作者杨芸菲(yyf),他将撰文与大家一起探讨近源渗透攻防。同时也向对近源渗透感兴趣的同志推荐该书。前言近源渗透是这两年常

    2020-09-23 0 0 0 0
  • Wireshark教程:网络和密码嗅探器

    Wireshark教程:网络和密码嗅探器

    计算机使用网络进行通信。这些网络可以位于局域网LAN上,也可以暴露于Internet。网络嗅探器是捕获通过网络传输的低级程序包数据的程序。攻击者可以分析此信息,以发现有价值的信息,例如用户ID和密码。在本文中,我们将向您介绍用于嗅探网络的常见网络嗅探技术和工具。我们还将研究可以采取的对策,以保护通过网络传输的敏感信息。什么是网络嗅探?计算机通过使用IP地址在网络上广播消息进行通信。在网络上发送消息

    2020-09-20 0 0 0 0
  • 通过示例了解ARP中毒

    通过示例了解ARP中毒

    什么是IP和MAC地址IP地址是Internet协议地址的缩写。Internet协议地址用于唯一标识计算机或设备,例如打印机,计算机网络上的存储磁盘。当前有两个版本的IP地址。IPv4使用32位数字。由于Internet的迅猛发展,已经开发了IPv6,它使用128位数字。IPv4地址的格式为四组数字,中间用点分隔。最小数为0,最大数为255。IPv4地址的示例如下所示;127.0.0.1IPv6地

    2020-09-20 0 0 0 0
  • 红蓝对抗之邮件钓鱼攻击

    红蓝对抗之邮件钓鱼攻击

    作者| 腾讯蓝军 jumbo红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,⼈永远是最⼤的弱点,在日渐增多的防护设备⾯前,钓⻥攻击(Phishing)已经成为对抗中&

    2020-09-07 0 0 0 0
  • 登录点测试的那些事

    登录点测试的那些事

    当我们渗透测试已经走到登录页面时,有哪些思路来作为本次渗透的切入点呢本文会分享关于登录页面测试一些常规的思路(水平有限,如果有缺有错,师傅们多带带)1.暴力破解对于用户名密码明文传输的登陆点。

    2020-08-30 0 0 0 0
  • 推荐几款渗透测试练习靶场

    推荐几款渗透测试练习靶场

    1.bWAPPbWAPP,或者一个有缺陷的web应用程序,是一个免费的、开源的、故意不安全的web应用程序。是什么让bWAPP如此独特?嗯,它有超过100个网络漏洞!它涵盖了所有已知的主要web错误,包括来自OWASP Top 10项目的所有风险。bWAPP是一个使用MySQL数据库的PHP应用程序。它可以通过Apache/IIS和MySQL托管在Linux/Windows上。它也可以与WAMP或

    2020-07-30 0 0 0 0
  • 渗透测试及漏洞复现的一个文章收集

    渗透测试及漏洞复现的一个文章收集

    某企业授权渗透报告https://www.freebuf.com/articles/network/243831.html渗透经验分享之SQL注入思路拓展https://xz.aliyun.com/t/7919从0到1学会搭建小型企业拓扑到由外向内的渗透测试https://www.anquanke.com/post/id/208992某大学渗透测试实战靶场报告-Part1https://mp.we

    2020-07-28 0 0 0 0
  • Dubbo2.7.7反序列化漏洞绕过分析

    Dubbo2.7.7反序列化漏洞绕过分析

    北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本,其中修复了一个严重的远程代码执行漏洞(CVE-2020-1948),这个漏洞是由腾讯安全玄武实验室的ruilin提交,该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求

    2020-07-08 0 0 0 0
  • DVWA渗透测试靶场环境搭建

    DVWA渗透测试靶场环境搭建

    一、DVWA官网:http://www.dvwa.co.uk/ 进入官网点击右上角框处的地方点击一下。点击后直接跳转GitHub平台,然后点击绿色图标,然后下载ZIP格式文件。二、下载一个环境,虚拟环境可以使用win7以及20008R2等phpStudy集成环境下载 - https://m.xp.cn/  如:你的虚拟系统是多少位就选择多少位 -三、因为我已经把虚拟系统安装好了,系统安装这块就先跳

    2020-07-04 0 0 0 0
  • 入侵国际快递(iParcel)包裹存放盒

    入侵国际快递(iParcel)包裹存放盒

    在2019年,McAfee Advanced Threat Research(ATR)披露了一个名为BoxLock的产品中的一个漏洞。此后的某个时间,英国公司iParcelBox的首席执行官与我们联系,并提出发送其一些产品进行测试。尽管这不是我们研究的典型MO,但我们赞扬该公司积极开展安全工作,因此,由于iParcelBox的团队很友好,可以将所有东西都交付给我们,因此我们决定看看。iParcel

    2020-06-23 0 0 0 0
  • 实战渗透-看我如何拿下自己学校的大屏幕(Bypass)

    实战渗透-看我如何拿下自己学校的大屏幕(Bypass)

    从1月份入坑到现在,已经5个月了。这五个月来一直在刷edusrc,并且在本月初成功达到了总榜第五名。很多人问我如何快速批量刷站?那么,他来了。本次分享一次对自己学校的一次安全检测实战文章。帮助萌新理清思路,同时,欢迎各位大佬指点不足。0x01先看学校的域名ip地址注意:这里我建议不要看主域名的,看二级域名的ip地址。因为一些地区的职业院校都是集中统一在一台服务器上的,只有一些二级域名才会搭建在学校

    2020-06-01 0 0 0 0
  • 挖洞经验 | 一次性验证密码(OTP)的简单绕过

    挖洞经验 | 一次性验证密码(OTP)的简单绕过

    今天分享的是作者在众测过程中实现的一次性验证密码(OTP)绕过技巧,通过拦截修改响应中的内容即可有效绕过OTP,姿势非常简单,但也值得学习借鉴,一起来看看。漏洞发现假设目标网站为example.com,当我在其中创建了用户账号之后,我的注册邮箱中就收到了一个一次性验证密码(OTP),该OTP目的是通过验证邮箱来确认我的身份。开启Burp抓包后,我输入了正确的OTP后,请求的响应简洁明了,其中包含一

    2020-06-01 0 0 0 0
  • Joomla提权漏洞(CVE-2020-11890)

    Joomla提权漏洞(CVE-2020-11890)

    漏洞简介近日,joomla官方给出了一个安全公告。从公告可知Joomla! CMS versions 2.5.0 - 3.9.16版本在处理用户组时缺少对根用户组的检查,从而导致了一个提权漏洞的产生(CVE-2020-11890)。

    2020-05-16 0 0 0 0
  • 对某大学管理信息系统的一次渗透测试

    对某大学管理信息系统的一次渗透测试

    本文没有getshell,漏洞已报送至教育行业漏洞平台,经验证漏洞已修复。我挖的是edu.cn的漏洞,使用了oneforall进行子域名搜集,在看到一个标题为“某某某管理信息系统”的站点,就上手了。1.任意密码重置账号 admin 密码123456(只要是数字就会自动进入修改密码页面)提示我们需要改密码。我们修改成 abc123456抓包,抓响应包。这里面有许多学号与身份证信息,我保留下来两个作为

    2020-05-13 0 0 0 0
  • 短信身份验证的安全风险

    短信身份验证的安全风险

    前言前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险,进行了总结,我将其翻译过来并结合自己以往的一些测试经验进行补充。涉及到的安全风险账户接管这个是短信身份验证最严重的安全风险,攻击者可以窃取任意用户的账户,甚至是事先不知道用户的手机号码用户模拟与上面的类似,但是这个的风险取决于具体的服务。通常,如果可以进行模拟,由于确认机制相同,因此也有可能窃取已注册的帐户。短信轰炸短信

    2020-05-05 0 0 0 0
  • 一人参赌,全家遭殃,给你康康Qp后台!

    一人参赌,全家遭殃,给你康康Qp后台!

    近时间某朋友分享一公众号发现是一个Qp-0day,那么这个0day也是有一段老久的时间了,本来我不想拿出来写的,不过那位老哥分享的工具是挺不错的;直接把APP安装包怼进去运行就可以获取APP的ip、url、hash、key等,还可以把安装包丢到360显微镜扫一扫,扫的过程的话一般都是低位;主要还是看个人如何去利用吧!这里就不多哆嗦了!那么QP 0day,我看了一下利用方式简直哪里是0day,就是普

    2020-04-25 0 0 0 0
  • 实战中内网穿透的打法

    实战中内网穿透的打法

    前言在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。以下为自我总结“实战中内网穿透的打法”思维导图:目标出网(socks代理)这是实战中最愿意碰到的网络环境,目标机可以正常访问互联网,可直

    2020-04-20 0 0 0 0
  • 挖洞技巧:绕过短信&邮箱轰炸限制以及后续

    挖洞技巧:绕过短信&邮箱轰炸限制以及后续

    在说到短信轰炸和邮箱轰炸,可能大家都遇到过,思路可能也就停留在那几个点,这篇文章我会带你进入各种思路下的不一样的短信邮箱轰炸问题。

    2020-04-11 0 0 0 0
  • 挖洞技巧:APP手势密码绕过思路总结

    挖洞技巧:APP手势密码绕过思路总结

    之前写的文章收到了很多的好评,主要就是帮助到了大家学习到了新的思路。自从发布了第一篇文章,我就开始筹备第二篇文章了,这篇文章我可以保障大家能够学习到很多思路。之前想准备例子视频,请求了很多家厂商进行授权,但是涉及漏洞信息方面的,厂商都是很严谨的,所以,整个过程没有相关的实际例子,但是我尽可能的用详细的描述让大家能够看得懂。大家不要睡着呦~说到APP手势密码绕过的问题,大家可能有些从来没接触过,或者

    2020-04-11 0 0 0 0
漏洞预警
漏洞预警
更多
  • 仔细研究对特斯拉的未遂勒索软件攻击

    仔细研究对特斯拉的未遂勒索软件攻击

    分子通过特斯拉的一名员工将特斯拉作为目标客户,据称他们承诺向特斯拉支付100万美元,以帮助他们用恶意软件感染该公司的系统。幸运的是,这种犯罪行为遭到了一名正直的员工的挫败,但它突显了恶意攻击者在企图危害公司网络并获取敏感信息的过程中变得多么卑鄙。内部人作为脆弱点的风险特斯拉网络攻击突显了内部人员(例如员工)对公司数据造成的漏洞。即使组织通过部署防火墙,防病毒系统,渗透测试和恶意软件防护来增强安全性

    2020-10-21 0 0 0 0
  • CVE-2019-4552

    CVE-2019-4552

    详情IBM Security Access Manager 9.0.7和IBM Security Verify Access 10.0.0容易受到HTTP响应拆分攻击的攻击。远程攻击者可以使用特制URL来利用此漏洞,一旦单击URL,服务器将返回拆分响应。这将使攻击者可以进行进一步的攻击,例如Web缓存中毒,跨站点脚本编写,并可能获取敏感信息。IBM X-Force ID:165960。原始资料网址

    2020-10-16 0 0 0 0
  • 谷歌研究员发现Linux蓝牙中的BleedingTooth漏洞

    谷歌研究员发现Linux蓝牙中的BleedingTooth漏洞

    谷歌安全研究人员在Linux内核中发现了蓝牙漏洞(BleedingTooth),该漏洞可能允许零点击攻击。谷歌安全研究员安迪·阮(Andy Nguyen)在Linux内核中发现了蓝牙漏洞,称为BleedingTooth,攻击者可以利用该漏洞运行任意代码或访问敏感信息。BleedingTooth缺陷被跟踪为CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。其中

    2020-10-15 0 0 0 0
  • F2fs-工具F2fs.Fsck中的多个漏洞

    F2fs-工具F2fs.Fsck中的多个漏洞

    风险低可用补丁没有漏洞数量5CVE IDCVE-2020-6104CVE-2020-6108CVE-2020-6107CVE-2020-6106CVE-2020-6105CWE编号CWE-125CWE-787CWE-200CWE-73开发矢量本地公开利用不适用安全咨询1)越界读取风险:低CVSSv3:4.1 [CVSS:3.0 / AV:L / AC:L / PR:H / UI:N / S:U /

    2020-10-15 0 0 0 0
  • 【漏洞预警】Windows TCP/IP远程执行代码漏洞(CVE-2020-16

    【漏洞预警】Windows TCP/IP远程执行代码漏洞(CVE-2020-16

    2020年10月13日,阿里云应急响应中心监测到微软发布补丁修复了TCP/IP远程执行代码漏洞(CVE-2020-16898),官方评级严重。目前微软官方已提供相应的月度安全补丁以修复该漏洞。漏洞描述微软官方于10月13日发布安全更新,其中修复了一个TCP/IP远程执行代码漏洞(CVE-2020-16898),攻击者通过构造并发送恶意的ICMPv6(路由通告)数据包,从而控制目标主机。同时,微软1

    2020-10-14 0 0 0 0
  • Acronis备份软件包含多个特权升级漏洞

    Acronis备份软件包含多个特权升级漏洞

    总览Acronis True Image,Cyber Backup和Cyber Protection都包含特权升级漏洞,这些漏洞可以使没有特权的Windows用户能够以SYSTEM特权运行任意代码。描述CVE-2020-10138Acronis Cyber Backup 12.5和Cyber Protect 15包含一个OpenSSL组件,该组件将OPENSSLDIR变量指定为的子目录C:\jen

    2020-10-13 0 0 0 0
  • 【漏洞预警】Apache Solr configset upload文件上传漏洞

    【漏洞预警】Apache Solr configset upload文件上传漏洞

    2020年10月13日,阿里云应急响应中心监测到Apache Solr发布安全更新,其中修复了CVE-2020-13957 Apache Solr configset upload文件上传漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。漏洞描述Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏

    2020-10-13 0 0 0 0
  • phpMyAdmin中的多个漏洞

    phpMyAdmin中的多个漏洞

    风险中可用补丁是漏洞数量2CVE ID不适用CWE编号CWE-79CWE-89开发矢量网络公开利用不适用易受攻击的软件phpMyAdminWeb应用程序/远程管理和托管面板

    2020-10-10 0 0 0 0
  • 安全公告:安全漏洞影响IBM Cloud Pak for Data-Node.j

    安全公告:安全漏洞影响IBM Cloud Pak for Data-Node.j

    安全漏洞影响IBM Cloud Pak for Data-Node.js(CVE-2019-15606,CVE-2019-15604,CVE-2019-15605)风险:中危受影响的产品和受影响的版本:受影响的产品版本IBM Cloud Private for Data2.5请参考以下参考URL以获取补救和其他漏洞详细信息: 源公告:https://www.ibm.com/support/page

    2020-10-07 0 0 0 0
  • 安全公告:适用于IBM Cloud的Java Liberty容易遭到拒绝服务(C

    安全公告:适用于IBM Cloud的Java Liberty容易遭到拒绝服务(C

    Liberty for Java for IBM Cloud中使用的IBM WebSphere Application Server Liberty中存在拒绝服务漏洞。受影响的产品和受影响的版本:受影响的产品版本Java自由3.48请参考以下参考URL以获取补救和其他漏洞详细信息: 源公告:https://www.ibm.com/support/pages/node/6343329

    2020-10-07 0 0 0 0
  • Zerologon利用了身份验证过程中使用的Netlogon远程协议

    Zerologon利用了身份验证过程中使用的Netlogon远程协议

    Windows域控制器中的一个新漏洞已被发现。在9月发表的一篇论文中,Secura的研究人员发现了一个加密漏洞,并将其称为Zerologon。它利用了身份验证过程中使用的Netlogon远程协议。所有的,它需要利用这个漏洞-和妥协各种各样的活动目录身份服务-是一个TCP级连接到域控制器本身。Secura在Github上发布了一个测试工具,可以告诉您域控制器是否容易受到攻击。这一发现导致CISA(美

    2020-09-30 0 0 0 0
  • Cisco ASR 900系列的Cisco IOS XE软件中的多个漏洞

    Cisco ASR 900系列的Cisco IOS XE软件中的多个漏洞

    发布时间:2020年9月30日风险低可用补丁是漏洞数量2CVE IDCVE-2020-3416CVE-2020-3513CWE编号CWE-749开发矢量本地公开利用不适用安全咨询1)暴露的危险方法或功能风险:低CVSSv3:5.8 [CVSS:3.0 / AV:L / AC:L / PR:H / UI:N / S:U / C:H / I:H / A:H / E:U / RL:O / RC: C][

    2020-09-30 0 0 0 0
  • Ubuntu 4546-1:Firefox漏洞

    Ubuntu 4546-1:Firefox漏洞

    如果Firefox打开了恶意网站,则可能会使其崩溃或运行程序作为您的登录名。==========================================================================Ubuntu安全公告USN-4546-12020年9月28日火狐漏洞======================================================

    2020-09-28 0 0 0 0
  • OpenSSH的漏洞:通过scp Backticks执行代码

    OpenSSH的漏洞:通过scp Backticks执行代码

    漏洞描述攻击者可以通过OpenSSH的scp Backticks使用漏洞来运行代码。此计算机威胁公告影响到软件或系统,例如BIG-IP硬件,TMOS和OpenSSH。信任级别是由编辑者确认的类型,带有用户帐户的来源。提供了概念证明或攻击工具,因此您的团队必须处理此警报。具有技术能力的攻击者可以利用此网络安全警报。解决此威胁的方法OpenSSH:scp反引号的解决方法。一种解决方法是过滤位于提供给调

    2020-09-27 0 0 0 0
  • 黑客积极使用Windows Server Zerologon漏洞

    黑客积极使用Windows Server Zerologon漏洞

    在发布任何严重的安全错误时,数十名熟练的攻击者都试图将其用于攻击。类似的情况发生在一个新的严重安全漏洞中,该漏洞的CVSS分数为10/10,被跟踪为CVE-2020-1472,并命名为Zerologon。最新更新是什么?Microsoft在其Twitter帐户上发布了一系列推文,其中包含有关Zerologon漏洞的警告,攻击者正在主动使用这些漏洞来瞄准Windows域控制器。Microsoft还提

    2020-09-26 0 0 0 0
  • CVE-2020-3153的POC代码-Cisco Anyconnect路径遍历

    CVE-2020-3153的POC代码-Cisco Anyconnect路径遍历

    CVE-2020-3153CVE-2020-3153的POC代码-Cisco Anyconnect路径遍历漏洞在此处阅读有关此漏洞的更多信息:https://ssd-disclosure.com/ssd-advisory-cisco-anyconnect-privilege-elevation-through-path-traversal/要获得具有SYSTEM特权的桌面Windows Shell

    2020-09-25 0 0 0 0
  • Cisco IOS XE软件Web UI输入验证不当漏洞

    Cisco IOS XE软件Web UI输入验证不当漏洞

    Cisco IOS XE软件的Web服务器身份验证中的漏洞可能允许经过身份验证的远程攻击者破坏设备上的Web服务器。该漏洞是由于身份验证期间输入验证不足所致。攻击者可以通过在有效身份验证期间输入意外字符来利用此漏洞。成功的利用可能使攻击者使设备上的Web服务器崩溃,必须通过禁用和重新启用Web服务器来手动恢复该Web服务器。思科已经发布了解决此漏洞的软件更新。没有解决此漏洞的解决方法。可通过以下链

    2020-09-25 0 0 0 0
  • Django安全发行版:3.1.1、3.0.10和2.2.16

    Django安全发行版:3.1.1、3.0.10和2.2.16

    根据我们的安全性发布政策,Django团队正在发布 Django 3.1.1, Django 3.0.10和 Django 2.2.16。这些版本解决了下面详述的安全问题。我们鼓励Django的所有用户尽快升级。CVE-2020-24583:Python 3.7+上的中级目录的权限不正确在Python 3.7及更高版本上,当使用collectstatic管理命令时,FILE_UPLOAD_DIRE

    2020-09-24 0 0 0 0
  • 【漏洞预警】Linux内核AF_PACKET内存破坏导致权限提升漏洞(CVE-2

    【漏洞预警】Linux内核AF_PACKET内存破坏导致权限提升漏洞(CVE-2

    近日,阿里云应急响应中心监测到Openwall社区披露一个Linux内核AF_PACKET原生套接字内存破坏漏洞,该漏洞出现在net/packet/af_packet.c中,由整数溢出导致越界写,可以通过它进行权限提升。该漏洞危害评级为高,编号为CVE-2020-14386。漏洞描述Linux发行版高于4.6的内核版本net/packet/af_packet.c中,在处理AF_PACKET时存在整

    2020-09-23 0 0 0 0
  • 体验iOS 14的新数据泄露通知功能

    体验iOS 14的新数据泄露通知功能

    随着iOS 14的发布,Apple引入了一项新功能,当用户存储的密码因数据泄露而受到破坏时,会向用户发出警告。iOS包含钥匙串密码管理器,该密码管理器允许用户保存凭据并将其自动填写到网站和应用程序的登录表单中。密码管理器可在“设置” “ 密码”下找到,访问时,可让您查看所有已保存的密码或添加其他密码。在iOS的早期版本中,钥匙串密码管理器会警告用户是否使用了容易猜测或破解的密码,并会提示您进行更改

    2020-09-19 0 0 0 0
系统安全
最新图文
更多
  • 红队策略:隐藏Windows服务

    红队策略:隐藏Windows服务

    Windows的一个鲜为人知的功能允许红色团队或攻击者将服务隐藏在视线之外,从而有机会规避基于主机的常见威胁搜寻技术的检测。在最近的一次红队交锋中,我的球队与一些训练有素,经验丰富的后卫对抗。我们构建了自定义恶意软件来逃避预期的EDR平台,但我们知道主机分析最终将使我们陷入困境,并迅速从目标组织中撤离。PSC:\WINDOWS\system32Get-Service-NameSWCUEngine

    2020-10-21 0 0 0 0
  • Microsoft发布安全更新以解决远程执行代码漏洞

    Microsoft发布安全更新以解决远程执行代码漏洞

    Microsoft已发布安全更新,以解决影响Windows Codecs库和Visual Studio Code的远程代码执行漏洞。攻击者可能利用这些漏洞来控制受影响的系统。网络安全和基础结构安全局(CISA)鼓励用户和管理员查看CVE-2020-17022和CVE-2020-17023的Microsoft安全公告,并应用必要的更新。

    2020-10-19 0 0 0 0
  • 美国网络司令部敦促用户修补新的“死亡之屏” Windows缺陷

    美国网络司令部敦促用户修补新的“死亡之屏” Windows缺陷

    美国网络司令部(USCYBERCOM)警告,用户应为Microsoft软件应用最新补丁,以确保他们不会成为利用攻击的受害者。美国网络司令部指出,这些问题中最重要的是CVE-2020-16898,这是Windows TCP / IP堆栈中的关键错误,可以远程触发该漏洞,从而有可能在受害计算机上实现远程代码执行。尽管远程代码执行可能不容易实现,但Sophos展示了如何利用此漏洞导致“蓝屏死亡”(BSo

    2020-10-16 0 0 0 0
  • 针对严重漏洞实施的措施:Zerologon Windows Netlogon安全

    针对严重漏洞实施的措施:Zerologon Windows Netlogon安全

    Zerologon如何运作?Netlogon远程协议是Windows Server中的客户端身份验证体系结构使用的一种机制。它的作用是验证会话登录并注册,认证和定位域控制器。这样,它可通过客户端和充当域控制器的服务器之间的加密来确保安全通道,并使用户能够登录服务器。现在,由于Netlogon协议中AES-CFB8的实施不正确,攻击者可以在没有任何其他要求的情况下设置新密码,从而完全控制DC并获得管

    2020-10-16 0 0 0 0
  • 020年10月Microsoft补丁周二-严重的,严重的RCE错误修补程序!

    020年10月Microsoft补丁周二-严重的,严重的RCE错误修补程序!

    在本月定期计划的Microsoft更新中,有11个严重的bug和6个未修补,但已为公众所知。微软在10月发布了针对87个安全漏洞的修复程序-其中11个为严重漏洞-其中1个可能是蠕虫病毒。十月的补丁程序星期二包括对Microsoft Windows,Office和Office Services和Web Apps,Azure函数,开放源代码软件,Exchange Server,Visual Studi

    2020-10-16 0 0 0 0
  • 浅谈大规模红蓝对抗攻与防

    浅谈大规模红蓝对抗攻与防

    编者按蓝军(Red Team)的价值是站在攻击者的位置从实战角度协助防守方发现问题,避免防守方在进行安全建设时以自我为中心纸上谈兵,所谓以攻促防是也。蓝军的实战经验很重要,本文即是腾讯蓝军团队两位经常参与各类红蓝对抗赛事成员的经验之谈,欢迎与大家探讨。近年来各种大规模的红蓝对抗赛事方兴未艾,攻防实战受到了更多的重视。红队和蓝队的打法逐渐提升并趋于成熟,已不再是单方面的攻击与防御,而演变为攻防博弈和

    2020-10-14 0 0 0 0
  • 使用验证码的网络钓鱼攻击

    使用验证码的网络钓鱼攻击

    使用验证码的网络钓鱼攻击使用验证码的网络钓鱼攻击–网络犯罪分子使用多个验证码攻击其目标。他们安装了Office 365用户必须在网络钓鱼页面之前单击的各种验证码。这些攻击一直在发生,并以医疗保健机构为目标。犯罪分子一直在使用视觉验证码来规避暴露并显示真实。1-什么是验证码?网站通常使用CAPTCHA来确定和测试用户是否为人类。完成测试,例如,单击具有自行车或消防栓图片的零件,或具有特定图像的网格。

    2020-10-07 0 0 0 0
  • 为什么集成式网络钓鱼攻击培训正在重塑网络安全— Microsoft安全

    为什么集成式网络钓鱼攻击培训正在重塑网络安全— Microsoft安全

    网络钓鱼仍然是当今企业面临的最重要的风险媒介之一。诸如Office 365的Microsoft Defender之类的创新电子邮件安全技术可以在大多数网络钓鱼攻击击中用户收件箱之前将其阻止,但是世界上没有一种技术可以阻止100%的网络钓鱼攻击击中用户收件箱。在那时,您的员工将成为您的捍卫者。必须对他们进行培训以识别和报告网络钓鱼攻击。但是,并非所有培训都同样熟练。该博客检查了安全意识培训的当前状态

    2020-10-06 0 0 0 0
  • 从僵尸网络到网络钓鱼:关于2020年威胁形势的讨论

    从僵尸网络到网络钓鱼:关于2020年威胁形势的讨论

    作者: Aamir Lakhani | 2020年10月5日到2020年,网络结构和攻击策略的不可预见的变化已在网络安全行业中消失了。随着COVID-19大流行继续对全球组织和个人造成重大损失,我们现在正面临着越来越严重的威胁态势,复杂,比以往任何时候都饱和。而且,许多组织发现分配足够的资源来管理和缓解这些不断增长和不断发展的威胁具有挑战性,而由于突然过渡到完全偏远的工作场所而已面临运营挫折。考虑

    2020-10-06 0 0 0 0
  • CVE-2018-14558:通过以前未知的缺陷对Ttint IoT特洛伊木马进

    CVE-2018-14558:通过以前未知的缺陷对Ttint IoT特洛伊木马进

    一个未知的黑客组织正在利用一种称为Ttint的先前未知的恶意软件,该恶意软件被归类为IoT特定的木马。我们所知道的是,黑客开发人员正在使用两个零日漏洞来侵入目标设备。安全分析已导致进行调查,从而揭示了两个已发布的通报中的弱点:CVE-2018-14558和CVE-2020-10987。从捕获的样本中可以看出,该恶意软件基于Mirai代码。CVE-2018-14558和CVE-2020-10987用

    2020-10-03 0 0 0 0
  • 前沿 | “拔网线”,解决不了安全产品0Day问题

    前沿 | “拔网线”,解决不了安全产品0Day问题

    日前,一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹,乙方安全产品频频被曝出0Day漏洞,各种真假消息满天飞,让甲方企业每天都惴惴不安,开始用看”内鬼“的眼光看待自己的安全防线。为应对安全产品0Day问题,有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式,直接让业务系统处于“裸奔”状态。这种乱象不禁让业界陷入深思。甲方企业平日几乎不会遇到0Day攻击,但在攻防对抗大赛

    2020-09-26 0 0 0 0
  • 有关网络安全和云的几个问题

    有关网络安全和云的几个问题

    8月31日,卡内基国际和平基金会的网络政策倡议发布了蒂姆·毛勒(Tim Maurer)和加勒特·欣克(Garrett Hinck)撰写的报告“ 云安全:政策制定者入门 ”,大西洋理事会的网络治国倡议发起了“ 关于云的四个神话:云计算的地缘政治”通过Trey Herr。卡内基报告的重点是(a)云是什么的问题,(b)云及其市场的发展以及(c)云安全性,包括对过去与云相关的事件的回顾以及可以考虑的新颖框

    2020-09-25 0 0 0 0
  • 等保2.0云计算定级对象如何确定

    等保2.0云计算定级对象如何确定

    文章来源:等级保护测评2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的“等保2.0”时代。网络安全等级保护2.0较1.0最大的特点是等级保护对象在原有的传统系统上增加了云计算、大数据、物联网等新技术的应用。云计算看不见、也摸不着,使得关于如何开展云计算等级保护工作成为当下面临的重要问题之一。网络安全等级保护2.0时代,落实等级保护制度的五个规定基本动作:定级、备案、建设整改

    2020-09-24 0 0 0 0
  • SSL握手失败错误:它是什么以及如何修复

    SSL握手失败错误:它是什么以及如何修复

    什么是SSL握手?这是浏览器建议与Internet服务器建立安全连接的现象。有时客户端(因此服务器)无法通过协议建立连接。这就是SSL握手失败发生的时间。此故障通常发生在Apigee Edge中。不幸的是,客户端收到带有文本“ Service Unavailable”的HTTP状态503。并不是您的错,因为公司提供了这些SSL安全证书。在浏览器打开页面时发生此类错误是他们的错。该错误还会出现类似“

    2020-09-18 0 0 0 0
  • Zoom通过两方面身份验证增强安全性

    Zoom通过两方面身份验证增强安全性

    自大流行开始以来,视频会议和呼叫应用程序的使用猛增,这已将威胁参与者的眼球吸引到这种新的攻击面上。这无意中意味着视频通话平台已经受到关注,而Zoom恰好陷入了陷阱,因为它以前不支持免费用户的端到端(E2E)加密。它受到了很多攻击,特别是来自信息安全社区。但是,它纠正了错误,并为其所有用户提供了端到端加密。但是,它缺少一些基本的安全功能,例如两因素身份验证(2FA)。看来它终于有义务了,现在为用户引

    2020-09-13 0 0 0 0
  • “人为失误心理”可以帮助企业防止安全漏洞

    “人为失误心理”可以帮助企业防止安全漏洞

    几个组织担心人为错误导致意外泄露公司的关键数据。斯坦福大学教授杰夫·汉考克(Jeff Hancock)和安全公司Tessian的一项联合研究表明,十分之九(88%)的数据泄露事件是由员工的错误引起的。研究“ 人为错误的心理学 ”强调指出,如果组织严厉地评判员工,他们不愿意承认自己的错误。了解人为错误背后的心理有助于组织了解如何防止错误变成数据泄漏。根据这项研究,将近50%的员工表示他们“非常”或“

    2020-09-13 0 0 0 0
  • 物联网安全威胁与防御调查英文版本.PDF

    物联网安全威胁与防御调查英文版本.PDF

    IoT安全威胁与防御的调查Shassan I.Ahmed1*、Abdurrahman A.Nasr2、Salah Abdel-Mageid3和Heba K.Aslan4,开罗信息学系电子研究所助理研究员,埃及1爱资哈尔大学计算机和系统工程系主任,埃及开罗系统与计算机工程系2埃及开罗爱资哈尔大学系统与计算机工程系项目负责人埃及开罗爱资哈尔大学电子与通信工程系4接收日期:2019年7月13日;修订日期

    2020-09-12 0 0 0 0
  • 物联网,人工智能和量子计算的阴暗面:黑客入侵,数据泄露和生存威胁

    物联网,人工智能和量子计算的阴暗面:黑客入侵,数据泄露和生存威胁

    世界经济论坛(WEF)警告说,诸如物联网,人工智能和量子计算等新兴技术具有改变人类生活的潜力,但也可能以使社会更容易受到网络攻击的形式带来意想不到的后果。与保险经纪和风险管理公司Marsh合作编写的《 WEF 2020年全球风险报告》已进入第15年, 详细介绍了明年及以后世界面临的最大威胁。数据泄露和网络攻击是2018年和2019年最可能发生的全球五大风险之一,但尽管两者仍然构成重大风险,但它们现

    2020-09-12 0 0 0 0
  • 民航业网络安全工作思考

    9月2日,内蒙古自治区综合性网络安全检查组一行到乌兰浩特机场进行现场督导检查,此次检查由内蒙古大数据发展管理局网络与数据安全处副处长包瑞林带队,机场副总经理王志刚陪同。当日,检查组一行到机场召开现场会议,会上首先由王志刚简要汇报机场网络与信息安全工作开展情况。随后,检查组包瑞林强调,要提高政治站位,认真落实《网络安全法》《密码法》等工作要求,切实履行网络安全工作责任制,加强网络安全工作部署,提升网

    2020-09-11 0 0 0 0
  • 不做等保你就在违法!你知不知道?

    不做等保你就在违法!你知不知道?

    文章来源:等级保护测评最近在和一些客户交流,很惊讶地发现,都2020年了,还有人不知道《中华人民共和国网络安全法》第21条明确规定:国家实行网络安全等级保护制度。换句话说,不做等保就等于在违法。不可能所有人都知道这个事,这是对所有人来说是这样。但是对于我们这些从事网络安全工作,从事IT工作,负责信息化的同志来说这是思想上认识严重不足,对网络安全工作对等保这项工作重视不够,长此以往,早晚要出事。上周

    2020-09-09 0 0 0 0
病毒木马
最新图文
更多
  • 检测Microsoft 365和Azure Active Directory后门

    检测Microsoft 365和Azure Active Directory后门

    Mandiant看到涉及Microsoft 365(M365)和Azure Active Directory(Azure AD)的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他事件是由于对M365租户进行了密码喷洒,密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中,用户或帐户都不受多因素身份验证(MFA)的保护。这些机会主义攻击肯定是

    2020-10-02 0 0 0 0
  • Android恶意软件绕过2FA并定向电报,Gmail密码

    Android恶意软件绕过2FA并定向电报,Gmail密码

    Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分,已经发现了一种新的Android恶意软件菌株。研究人员发现威胁组织发起了针对受害者的个人设备数据,浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件,该恶意软件收集发送到设备的所有两因素身份验证(2FA)安全代码,嗅探Telegram凭据并发起Google帐户网络钓鱼

    2020-09-22 0 0 0 0
  • Maze勒索软件通过虚拟机加密 分析报告

    Maze勒索软件通过虚拟机加密 分析报告

    迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略;从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享,然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件,并且正在安装主机的驱动器,因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比,这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用

    2020-09-19 0 0 0 0
  • 什么是Lokibot恶意软件?

    什么是Lokibot恶意软件?

    什么是Lokibot恶意软件?Lokibot,也称为Loki-bot或Loki bot,是一种信息窃取恶意软件,可从最广泛使用的Web浏览器,FTP,电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。它是由创作者发布的销售公告于2015年5月3日首次发现的,该恶意软件至今仍处于活动状态。Lokibot的一般描述Lokibot间谍软件的最初版本最初是由称为“

    2020-09-09 0 0 0 0
  • Thanos勒索软件:针对中东和北非的国有组织的破坏性变异

    Thanos勒索软件:针对中东和北非的国有组织的破坏性变异

    执行摘要在2020年7月6日和7月9日,我们观察到与对中东和北非的两个国有组织的攻击有关的文件,这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件,该文件显示赎金消息,要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响,也无法了解威胁行为者是否成功从受害者那里获得了付款。图1.加密文件后显示的Thanos赎金

    2020-09-05 0 0 0 0
  • 第三方支付平台付款1元实付1000,这个新骗术坑了不少人!

    第三方支付平台付款1元实付1000,这个新骗术坑了不少人!

    概述近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目,在地下论坛中被称为“暗雷”和“明雷”。

    2020-08-19 0 0 0 0
  • LaoXinWon携带两个勒索病毒样本,重复加密或增加解密难度

    LaoXinWon携带两个勒索病毒样本,重复加密或增加解密难度

    【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃,攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本,一款为C#编写的勒索模块,加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块,加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。一、概述腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者

    2020-08-14 0 0 0 0
  • PyPI 官方仓库遭request恶意包投毒,攻击行为严重威胁linux服务器安

    PyPI 官方仓库遭request恶意包投毒,攻击行为严重威胁linux服务器安

    【文章摘要】腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包,攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全应急响应中心(TSRC)建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理,确保清除恶意库,保障用户系统安全。一、概述8月5日,腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包,

    2020-08-14 0 0 0 0
  • Phorphiex / Trik Botnet提供Avaddon勒索软件

    Phorphiex / Trik Botnet提供Avaddon勒索软件

    Zix / AppRiver威胁团队对Phorphiex / Trik僵尸网络及其广泛的攻击并不陌生。在6月4日(星期四),我们开始捕获由同一僵尸网络分发的活动,该活动反映了我们在去年4月防御和分析的僵尸网络所使用的技术,战术和程序。但是,此活动提供了新的Avaddon勒索软件,该软件转换为Abaddon,意味着厄运或破坏。这些消息的主题非常简单。所有这些都包含各种主题行,试图诱使收件人打开“照片

    2020-08-12 0 0 0 0
  • APT小组使用MgBot恶意软件的新变种针对印度和香港

    APT小组使用MgBot恶意软件的新变种针对印度和香港

    7月2日,我们找到了一个带有嵌入式文件的存档文件,该文件伪装成来自印度政府。此文件使用模板注入来删除加载了Cobalt Strike变体的恶意模板。一天后,同一威胁参与者更改了模板,并放下了一个名为MgBot的加载程序,通过使用Windows上的应用程序管理(AppMgmt)服务来执行并注入其最终有效负载。7月5日,我们观察到另一个带有嵌入式文件的存档文件,该文件借用了英国首相鲍里斯·约翰逊(Bo

    2020-07-24 0 0 0 0
  • Android Rootnik恶意软件:深入研究 第二部分

    Android Rootnik恶意软件:深入研究 第二部分

    在该博客的第一部分中,我完成了对新发现的Rootnik恶意软件变体的本机层的分析,并获得了解密后的真实DEX文件。在第二部分中,我们将继续进行分析。看解密的真实DEX文件解密的DEX文件的条目是demo.outerappshell.OuterShellApp类。类OuterShellApp的定义如下所示。图1.类demo.outerappshell.OuterShellApp我们将首先分析函数at

    2020-07-23 0 0 0 0
  • 通过PDF文件传播新的Loki变体

    通过PDF文件传播新的Loki变体

    背景Loki Bot已被观察多年。如您所知,它旨在从受害者计算机上已安装的软件中窃取凭据,例如电子邮件客户端,浏览器,FTP客户端,文件管理客户端等。FortiGuard Labs最近捕获了一个PDF样本,该样本用于传播新的Loki变体。在此博客中,我们将分析此新变体的工作原理以及它所窃取的东西。PDF样本图1. PDF示例的内容PDF样本仅包含一页,如上所示,其中包含一些社会工程学内容,以诱使用

    2020-07-19 0 0 0 0
  • TA505组织:Dridex木马分析

    TA505组织:Dridex木马分析

    2019年TA505组织攻击统计在过去的六个月中,积极技术专家安全中心的威胁情报团队一直密切关注TA505网络犯罪组织。恶意因素被吸引到金融领域,其目标分散在多个大洲的数十个国家中。TA505组织以什么有名?该cybergang已经相当多产从2014年起:他们的武器库包括Dridex银行木马,僵尸网络中微子,以及Locky,JAFF,GlobeImposter和其他勒索。从北美到中亚,全世界都发现

    2020-07-11 0 0 0 0
  • HiddenAds恶意软件分析

    HiddenAds恶意软件分析

    数以千计的HiddenAds Trojan应用程序伪装成Google Play应用程序McAfee移动研究团队最近发现了HiddenAds Trojan的新变种。HiddenAds Trojan是一个广告软件应用程序,用于显示广告和收集用户数据以进行营销。此类应用程序的目标是通过将用户重定向到广告来产生收入。广告软件通常有两种赚钱的方法:在用户计算机上展示广告以及用户点击广告后的每次点击付款。尽管

    2020-07-05 0 0 0 0
  • CSI:针对目标勒索软件攻击的证据指标–第二部分

    CSI:针对目标勒索软件攻击的证据指标–第二部分

    在我们的第一篇文章中,我们讨论了有针对性的勒索软件攻击的增长模式,其中第一个感染阶段通常是一种信息窃取类恶意软件,用于获取凭据/访问权以确定目标是否对勒索软件攻击有价值。在第二部分中,我们将从中断的地方继续前进:攻击者可以通过控制受感染的主机来在网络上立足,或者拥有有效的帐户来访问远程服务。使用有效的帐户或有权访问公司系统的东西,您要了解的前两件事是:我可以从这台机器获得什么样的权利?我在这个网络

    2020-06-22 0 0 0 0
  • CSI:针对目标勒索软件攻击的证据指标–第一部分

    CSI:针对目标勒索软件攻击的证据指标–第一部分

    多年来,我一直在数字取证,恶意软件分析和威胁情报领域工作和教学。在上一堂课时,我们总是谈论洛克的交换原则:“两个项目接触,就会进行交换”。如果我们将其转换为数字世界:“当对手违反系统时,他们将留下证据的痕迹”。面临的挑战通常是如何及时发现证据以采取行动并发现可用于检测的来源。易失性证据来源必须尽快得到保护,而非易失性证据来源的优先级较低。波动顺序的一个例子:在本系列的两篇文章中,您将看到一个示例,

    2020-06-22 0 0 0 0
  • 通过反射加载注入的Netwalker无文件勒索软件

    通过反射加载注入的Netwalker无文件勒索软件

    威胁行动者正在不断创造出更复杂的方式来使恶意软件逃避防御。我们已经观察到Netwalker 勒索软件攻击所涉及的恶意软件不是经过编译而是用PowerShell编写,而是直接在内存中执行,而没有将实际的勒索软件二进制文件存储到磁盘中。这使该勒索软件变种成为无文件的威胁,从而使其能够保持持久性并通过滥用系统中已经存在的工具来发起攻击来逃避检测。这种类型的威胁利用了一种称为反射式动态链接库(DLL)注入

    2020-05-20 0 0 0 0
  • QNodeService:通过Covid-19诱饵传播Node.js木马

    QNodeService:通过Covid-19诱饵传播Node.js木马

    我们最近注意到MalwareHunterTeam 在Twitter上发布的帖子显示Java下载器的检测率较低。其名称为“由于Covid-19爆发CI + PL.jar而导致的公司PLP_Tax减免”,表明它可能已用于以Covid-19为主题的网络钓鱼活动。运行该文件导致下载了一个用Node.js编写的,未检测到的新恶意软件样本。该木马被称为“ QNodeService”。对于编写商品恶意软件的恶意

    2020-05-20 0 0 0 0
  • 逆向分析永恒之蓝勒索蠕虫病毒

    逆向分析永恒之蓝勒索蠕虫病毒

    前言本文分析的病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。该病毒会扫描端口,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染。病毒运行1.电脑感

    2020-02-10 0 0 0 0
  • 伪装成麦当劳广告并使用恶意Chrome扩展:Mispadu恶意软件分析

    伪装成麦当劳广告并使用恶意Chrome扩展:Mispadu恶意软件分析

    概述在本篇文章中,我们将重点介绍Mispadu,这是一个主要以拉丁美洲地区为目标的银行木马,伪装成麦当劳的广告从而将其攻击面扩展到Web浏览器。我们认为,该恶意软件家族针对的是普通用户,其主要目标是窃取金钱和用户凭据。在巴西地区,我们发现其背后的攻击者分发了一个恶意的Google Chrome扩展程序,该程序时图窃取信用卡数据和在线网银数据,并伪装成Boleto支付系统。恶意软件特征Mispadu

    2020-01-23 0 0 0 0
全栈工程
最新图文
更多
  • javascript如何实现斐波那契列数?3种方法介绍

    javascript如何实现斐波那契列数?3种方法介绍

    下面本篇文章给大家介绍一下使用javascript实现斐波那契列数的三种方法。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。JS实现斐波那契列数的三种方法大家是怎么实现斐波那契列数的1,1,2,3,5,8...f(n)=f(n-1) + f(n-2)方法一:functionf(n){

    if(n==1||n==0){

    return1;

    }

    returnf(n-1)+f(n-

    2020-10-24 0 0 0 0
  • 11种实用的JavaScript技巧

    11种实用的JavaScript技巧

    JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的高级编程语言。本文为大家介绍了11种实用的JavaScript技巧,希望对大家有一定的帮助。1、过滤唯一值Set对象类型是在ES6中引入的,配合展开操作...一起,我们可以使用它来创建一个新数组,该数组只有唯一的值。constarray=[1,1,2,3,5,5,1]

    constuniqueArray=[...n

    2020-10-24 0 0 0 0
  • 浅谈JavaScript中!和!!的区别

    浅谈JavaScript中!和!!的区别

    本篇文章和大家一起聊聊JavaScript中!和!!的区别。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。js中!的用法是比较灵活的,它除了做逻辑运算常常会用!做类型判断,可以用!与上对象来求得一个布尔值,1、!可将变量转换成boolean类型,null、undefined和空字符串取反都为false,其余都为true。!null=true

    !undefined=true

    !

    2020-10-23 0 0 0 0
  • 快速了解 js 中的垃圾回收

    快速了解 js 中的垃圾回收

    前言JS具有自动垃圾回收机制,换句话说,执行环境会管理代码执行过程中使用的内存。JS垃圾回收的原理执行环境会找出那些不再继续使用的变量,然后释放其占用的内存。JS垃圾回收的策略标记清除当变量进入环境时,就将这个变量标记为“进入环境”,而当变量离开环境时,则将其标记为“离开环境”。标记变量方式看具体的实现,比如可以使用一个“进入环境”的变量列表和一个“离开环境”的变量列表来跟踪哪个变量发生了变化。使

    2020-10-22 0 0 0 0
  • 7个提升网页SVG文件可访问性的方案

    7个提升网页SVG文件可访问性的方案

    SVG是一种图像文件格式,它的英文全称为Scalable Vector Graphics,意思为可缩放的矢量图形。本文就来为大家介绍7个提升网页SVG文件可访问性的方案。1、作为图片使用的 SVG 文件如果你的 SVG 是作为img的 src 引入的,务必为img添加role=img属性:imgsrc=https://s3-us-west-2.amazonaws.com/s.cdpn.io/163

    2020-10-22 0 0 0 0
  • javascript数组如何去重?

    javascript数组如何去重?

    我们可以利用indexOf()方法去除数组中的重复值。思路:首先创建一个新数组,然后循环要去重的数组,然后用新数组去找要去重数组的值,如果找不到则使用.push添加到新数组,最后把新数组返回回去就行了。具体代码:functionfun(arr){

    letnewsArr=[];

    for(leti=0;iarr.length;i++){

    if(newsArr.indexOf(arr[i])===

    2020-10-21 0 0 0 0
  • 先建立css还是html?

    先建立css还是html?

    很多朋友都有自己的习惯,有的人喜欢先写CSS,有的人喜欢先写HTML,那么网页布局最科学的写法流程是什么呢?对于一个新手而言,在有了一点html知识之后,对于CSS、DIV都感觉特别的疑惑,不知道这其中到底是什么联系?为什么用了CSS的网页不能像其它代码一样直观?html和css哪个先写?其实这些问题在我看完教程,但还没真正上手实践时的疑惑!等真正上手自己做时,我才发现应该是两者同时写!下面我们就

    2020-10-21 0 0 0 0
  • JavaScript中如果降低函数复杂度?

    JavaScript中如果降低函数复杂度?

    JavaScript 是一种易于学习的编程语言,编写运行并执行某些操作的程序很容易。然而,要编写一段干净的JavaScript 代码是很困难的。在本文中,我们将研究如何降低函数复杂度。将重复的代码移到同个位置我们应该将重复的代码提取出来,合并放到同个位置,这样当有需要修改的,我们只需要改一个地方即可,同时也减少犯错率。假设我们有可能很写出下面的代码:constbutton=document.que

    2020-10-20 0 0 0 0
  • JavaScript中如何让函数更简单明了?

    JavaScript中如何让函数更简单明了?

    JavaScript 是一种易于学习的编程语言,编写运行并执行某些操作的程序很容易。然而,要编写一段干净的JavaScript 代码是很困难的。在本文中,我们将研究如何让我们的函数更清晰明了。对对象参数使用解构如果我们希望函数接收很多参数,那么应该使用对象。在此基础上,我们就可以使用解构语法提取我们需要的参数。例如,对于对象参数,我们可能会这样使用:constgreet=(obj)={

    retu

    2020-10-20 0 0 0 0
  • 一些提升css性能的小知识

    一些提升css性能的小知识

    大家都知道,对于网站来说,性能至关重要,CSS作为页面渲染和内容展现的重要环节,影响着用户对整个网站的第一体验。因此,与其相关的性能优化是不容忽视的。对于性能优化我们常常在项目完成时才去考虑,经常在项目的末期,性能问题才会暴露出来,此时才进行一些相关的性能优化。其实,如果我们从一开始编码,就注意一些细节问题,后面的工作量会小很多,下面我们来看看在书写CSS时,我们可以注意哪些细节,从而来提升CSS

    2020-10-19 0 0 0 0
  • html+css+js如何实现魔性舞蹈动画效果?(附代码)

    html+css+js如何实现魔性舞蹈动画效果?(附代码)

    本篇文章给大家介绍一下使用html+css+js实现魔性舞蹈动画效果(附代码)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。使用html+css+js实现魔性的舞蹈,让我们燥起来!!!代码如下,复制代码即可使用:!DOCTYPEhtml

    html

    head

    metacharset=UTF-8

    titleTheLastExperience/title

    style

    ht

    2020-10-19 0 0 0 0
  • JavaScript异步函数发展历程介绍

    JavaScript异步函数发展历程介绍

    JavaScript异步函数的发展历程,首先通过回调函数实现异步,之后又经历了Promise/A+、生成器函数,而未来将是async函数的。对大部分的JavaScript开发者而言,async函数是个新鲜事物,它的发展经历了一个漫长的旅程。在不久之前,我们还只能写回调函数来实现异步,然后Promise/A+标准出来了,这之后又出现了生成器函数,而未来显然是async函数的。现在让我们一起来回顾这些

    2020-10-18 0 0 0 0
  • 9 个强大而非主流的JS写法(各种 Hack 写法)

    9 个强大而非主流的JS写法(各种 Hack 写法)

    在日常开发中优雅的写法可提高代码的可读性,以及使代码整洁,本篇文章介绍了9种非常主流且又优雅的写法(各种 Hack 写法)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。1. 全局替换我们知道,字符串函数 replace () 仅替换第一次出现的情况。您可以通过在正则表达式的末尾添加 /g 来替换所有出现的内容。varexample=potatopotato;

    console.

    2020-10-18 0 0 0 0
  • 浅谈js中的typeof、instanceof和===

    浅谈js中的typeof、instanceof和===

    本篇文章就来浅谈一下js中的typeof、instanceof和===。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。typeof:用于判断number/string/boolean/underfined类型/function,不能判断:null和object ,不能区分object和Arrayinstanceof:判断具体的对象类型===:用于判断undefined和null/

    2020-10-05 0 0 0 0
  • JavaScript中使用递归的方法

    JavaScript中使用递归的方法

    在JavaScript程序中,函数直接或间接调用自己。通过某个条件判断跳出结构,有了跳出才有结果。本文就来为大家介绍一下JavaScript中使用递归的方法。递归的步骤(技巧)1、假设递归函数已经写好2、寻找递推关系3、将递推关系的结构转换为递归体4、将临界条件加入到递归体中(一定要加临界条件,某则陷入死循环,内存泄漏)简单递归示例:一、求1-100的和假设让你来,你是否会这样写?varsum=0

    2020-10-05 0 0 0 0
  • 深入研究CSS Grid(网格布局)

    深入研究CSS Grid(网格布局)

    本教程将深入探讨 CSS 网格布局,并探索几乎所有的属性和功能。读完之后,你将能够用这种出色的 CSS 附加功能去处理任何一种布局。术语:GridGrid 是二维网格系统。它可以用来构建复杂的布局以及较小的界面。属性:display只需要把一个元素的display属性设置为grid,它就成了网格。.grid-to-be{

    display:grid;

    }这样就使.grid-to-be成为grid

    2020-09-30 0 0 0 0
  • 5个v8引擎编写优化代码的技巧

    5个v8引擎编写优化代码的技巧

    JavaScript 引擎是执行 JavaScript 代码的程序或解释器。JavaScript 引擎可以实现为标准解释器,或者以某种形式将 JavaScript 编译为字节码的即时编译器。以下为实现 JavaScript 引擎的流行项目的列表:V8 —  开源,由 Google 开发,用 C ++ 编写Rhino —  由 Mozilla 基金会管

    2020-09-30 0 0 0 0
  • 应该避免使用箭头函数的 5种 情况

    应该避免使用箭头函数的 5种 情况

    本篇文章给大家介绍5种应该避免使用箭头函数的情况。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。避免在定义对象方法时使用箭头函数虽然因语法简练受人追捧。但由于没有 this 会导致在一些情况下出现预想不到的意外情况。比如在对象中定义一个方法:看起来很完美调用这个方法能够按照预期,获得对象的 food 属性但如果将其改为箭头函数:由于箭头函数自身没有 this 会导致自动继承外层的

    2020-09-29 0 0 0 0
  • 了解 JS 中Continue和Break语句的差异

    了解 JS 中Continue和Break语句的差异

    在这篇文章中,我们会详细介绍continue和break,分析它们的相同和不同之处,甚至用一些可运行的实例。continue和break都是用于控制循环的。我们先来看一下他们的定义:Continue:结束当前的执行,并继续下一个循环。Break:终止整个循环的执行。注意:break还可以用在switch中,本文主要介绍在循环中的使用。Continue考虑如下代码:for(leti=1;i=10;i

    2020-09-29 0 0 0 0
  • css中隐藏滚动条的3种方法

    css中隐藏滚动条的3种方法

    隐藏滚动条的同时还需要支持滚动,我们经常在前端开发中遇到这种情况,最容易想到的是加一个iscroll插件,但其实现在CSS也可以实现这个功能,我已经在很多地方使用了,下面一起看看这三种方法。方法1:计算滚动条宽度并隐藏起来在本站的侧栏,你可以看到前端日报的那块内容并没有滚动条,但鼠标移上去却可以滚动内容。这是什么技术呢? 其实我只是把滚动条通过定位把它隐藏了起来。下面给一个简化版的代码:divcl

    2020-09-28 0 0 0 0
平面设计
最新图文
更多
  • 设计师工作不饱和怎么办?试试这些方法!

    设计师工作不饱和怎么办?试试这些方法!

    设计是一个迭代很快的行业,稍有懈怠就会跟不上节奏,设计师就是这个行业里面不断奔跑的一群人。在这条设计跑道上,有人从不懈怠,一直在奔跑;有人偶尔懈怠,稍作休息;有人在散步,却已差之千里。你在这条跑道上的速度如何,决定了你能以何种姿态到达终点。工作饱和度是设计跑道上的一种状态,影响着设计师是原地踏步还是一路前行。工作饱和度是一把双刃剑,如果饱和度太高会影响设计师的休息质量和工作心态;如果饱和度太低会让

    2020-10-25 0 0 0 0
  • 简单实用!系统化总结「地图标签」设计

    简单实用!系统化总结「地图标签」设计

    大家好,我是Clippp。今天为大家带来的文章是「地图标签」设计。很多App会内嵌地图功能,这些地图的功能相对简单,更多是起到查看和引导的作用,但在产品中又不可或缺~除了常见的地图类App,还有其他很多产品会根据使用需求嵌入地图功能,通过在地图页中添加引导性的交互标签,让用户了解所处的位置或者导航路线。如何保持地图页面与产品风格统一,同时又方便用户使用呢?通过系统化的方法可以快速实现地图组件的选择

    2020-10-24 0 0 0 0
  • iOS14 交互上这5点变化,值得细细研究

    iOS14 交互上这5点变化,值得细细研究

    一直很喜欢苹果系统的交互设计,因为绝大多数设计点都考虑得周到且成熟,体现出苹果作为顶级大厂的范儿。研究优秀的设计,学习他们的方案,会使我们也更优秀。下面就带大家看看,苹果系统这次更新,在交互上值得细说的5个功能点。桌面小组件这次iOS最大的更新,莫过于这个桌面小组件了。说白了,就是把app的一个功能拿出来,直接展示在桌面上。这样用户不用进入应用,也能看到需要的信息。其实这个小组件,在安卓和Wind

    2020-10-24 0 0 0 0
  • 新晋黑马神器!Figma完全入门指南(附超多插件+教程)

    新晋黑马神器!Figma完全入门指南(附超多插件+教程)

    这是一篇关于Figma全面介绍的文章,非常适合刚刚入门,目录总览前言我为什么要说Figma,最直观的感受就是,这个工具真的非常好用,使用起来非常流畅。可以提高设计效率,用起来很爽,然后想分享给大家最重要的是,Figma已经成为主流原型设计工具,为什么这么说?我们来看一份来自UXTOOLS调查2019年的设计工具使用报告(2020年Figma的用户应该会更多),报告详情请查看:https://uxt

    2020-10-22 0 0 0 0
  • 用三个双11海报实战案例,帮你深入学会「中心构图」

    用三个双11海报实战案例,帮你深入学会「中心构图」

    “中心构图”是把主体放置在画面视觉中心,形成视觉焦点,再使用其他信息烘托和呼应主体。这样的构图形式能够将核心内容直观的展示给受众,内容要点展示更有条理,也具有良好的视觉效果。为了让大家加深对“中心构图”的理解,运用上一期知识点进行一则双11潮牌海报实操演示。方案一寻找时尚潮流的人物素材,在PS中把人物退底处理。把调整好的图片放置到AI中,背景色选取和人物相近的淡绿色。标题文字选用“字魂-正酷超级黑

    2020-10-22 0 0 0 0
  • 拿到需求别急着抄竞品,高手用这5个方法做出优秀方案!

    拿到需求别急着抄竞品,高手用这5个方法做出优秀方案!

    很多读者很关心的一个问题,就是如何做出优秀的甚至很惊艳的设计方案?大家拿着产品需求之后,很容易就没有头绪,不知道如何下手,最多也就看看相关的竞品,借鉴竞品的思路和方案,然后就开始做设计。这样的话,设计师就缺乏独立思考能力,缺乏设计推导。有没有一些方法,让设计师做出符合自己的设计方案呢?这里我总结了5个方法,可以助力设计师做出优秀甚至惊艳的设计方案。以下是本文5个方法的大纲:拆解设计需求分析线上数据

    2020-10-21 0 0 0 0
  • “你的设计没效果,今年绩效不发了”

    “你的设计没效果,今年绩效不发了”

    编者注:产品觉得公司业绩取决于运营和产品,设计师作用不大,老板甚至想取消年度绩效,该怎么办?该如何衡量和验证UE设计效果?来看这篇高手的经验总结。前段时间在项目复盘会上,产品经理向设计团队提出了这个问题。我认为这是一个很好的问题,我目前负责的业务是一款教育问答产品,受众是以大学生青年群体为主,机构发布悬赏题目来吸引大学生回答,从而帮助完善机构题库,大学生从中获取悬赏报酬,而我们平台则从中赚取佣金。

    2020-10-21 0 0 0 0
  • 全面解读2020最值得上手的界面设计工具:Figma

    全面解读2020最值得上手的界面设计工具:Figma

    前言工欲善其事必先利其器,器即工具。选择一种工具的本质是选择一种方式。个人的选择或许是基于喜好习惯,行业的选择则伴随行业工作模式的变化。作为互联网行业的设计师,我们应当时时跟进技术的发展,解锁新模式和新工具。设计工具的战场1. 概述随着日新月异的技术发展,互联网时代进入深水区。行业环境越复杂,设计师将面临越多机遇和挑战。设计不同于艺术,本质是为了解决问题,而设计工具直接影响着设计师思考问题和解决问

    2020-10-20 0 0 0 0
  • 腾讯设计师出品!超全面的3D设计自学指南(附超多教程)

    腾讯设计师出品!超全面的3D设计自学指南(附超多教程)

    Hi,大家好,我是彩云。3D设计趋势近年来大火,得益于它能给用户带来非常好的视觉体验,其炫酷的表现力也非常能展现设计师的专业能力。平时在群里经常能见到有群友问3D学习相关的问题,而我正好之前做过一个3D游戏项目,想跟大家分享自学3D的一些小心得和学习资源之类的,相互学习。在这之前,我只会一些基本的3D知识,软件也只是会一点C4D,曾经也断断续续的学了蛮久,但始终不得要领,属于关掉教程就不会做的那种

    2020-10-20 0 0 0 0
  • 2020年10月超实用设计干货大合集

    2020年10月超实用设计干货大合集

    10月份的设计圈干货大合集来了!这次的实用干货当中有相当一部分是和前端相关的开发和设计素材,除此之外,还有大家最喜欢的字体、图标等常规设计素材!来看看吧:Tooltip Sequence如果你的 APP 或者网站已经准备就绪,但是需要加入工具提示,让用户可以更好地参与进来,那么你可能需要这个「工具提示工具包」。这是一个简单的 JavaScript 程序包,能够帮里创建一系列工具提示,帮助用户更好了

    2020-10-18 0 0 0 0
  • 10个产品细节剖析,让你看看大厂是如何做设计的

    10个产品细节剖析,让你看看大厂是如何做设计的

    很多产品里的小细节,如果用户发现的话,就很容易给用户带来惊喜的感受。一个产品的好坏与否,都不能站在自己的主观意见上去做判断,即使只有20%的用户喜欢,如果在产品设计策略上跟公司的战略相匹配,刚好满足于这20% 的主要用户群,无疑这个产品是成功的。「波洞」趣味的视频点赞效果1. 产品体验:在波洞APP观看视频,给自己喜欢的视频点赞时,会以点赞图标为中心,通过动画效果向四周发散出五颜六色的二次元图标,

    2020-10-05 0 0 0 0
  • 简单易用!快速改善用户界面的10个技巧

    简单易用!快速改善用户界面的10个技巧

    创建美观、好用和高效的UI需要花费时间,并且需要不断的调整修正,才能产生让用户和自己真正满意的设计。在本文中,总结了一些简单易用的设计小技巧,通过进行一些简单的视觉调整,可以快速改善你要创建的视觉效果。1. 减轻文本的字重当涉及到长篇内容时,某些常规的粗体字看起来会有些沉重和生硬,可以通过选择深灰色(Dark Gray),比如#4F4F4F 来解决这个问题,让文本看起来更美观一些。2. 字号越小,

    2020-10-05 0 0 0 0
  • 强迫症最爱的「对称构图」,来领这份超全攻略!

    强迫症最爱的「对称构图」,来领这份超全攻略!

    对称之美对称之美源于自然,在日常生活中处处都可见,对称之所以为美,这是视觉美的天性使然。稍微留意一下我们身边的事物,就会发现我们生活在一个充满对称的世界里。人们对“对称美”的思索可以追溯到人类文明的初始阶段。早在古希腊时期,哲学家对艺术中的美的理解就多与对称有关。如亚里士多德认为“美在于秩序、对称、明确”,毕达哥拉斯说“美的线型和其他一切美的形体都必须有对称形式”等。这体现了人类在自觉不自觉中,以

    2020-09-30 0 0 0 0
  • 2020日本包装设计大赏,获奖作品也太精彩了吧!

    2020日本包装设计大赏,获奖作品也太精彩了吧!

    在设计行业中,提到精彩二字,很难不联想到大海彼岸的日本索尼、松下、三菱,不少日企都曾凭借设计风靡过全世界,可问题是,这么多年过去日本的设计师们,是否依旧还是那么能打呢?正好,由日本包装设计协会所举办的JPDA包装设计大赏2020年获奖名单,最近新鲜出炉!即便日本饱受疫情困扰,参赛的作品数量仍旧高达827份,大奖1名、金奖12名、银奖11名、铜奖14名、特别奖4名杀出重围的,无疑都是代表之作当今日本

    2020-09-29 0 0 0 0
  • 喜欢宫崎骏?吉卜力工作室放出400 张动画剧照免费下载!

    喜欢宫崎骏?吉卜力工作室放出400 张动画剧照免费下载!

    如果你喜欢宫崎骏作品,现在吉卜力将这些动画剧照释出,让使用者免费下载使用。吉卜力工作室(Studio Ghibli)官网9/18贴出公告:从本月开始,将按顺序提供吉卜力工作室的所有动画作品剧照,这个月会先开放八部作品,主要是较近期的动画,总共400张剧照免费下载。只要「在常识范围内」就能自由使用,但网站没有详细解释何谓常识范围,一般来说个人使用应该没有问题,若用于商业用途可能就必须事先询问或申请。

    2020-09-28 0 0 0 0
  • 如何做好图片标签设计?来看Vivo设计总结的三部曲!

    如何做好图片标签设计?来看Vivo设计总结的三部曲!

    缘起最近组内设计评审,视频和小说两个业务都涉及到在图片上显示标签(Tag)的设计,但是Tag的样式和位置却不完全不同,如下图所示:加之对其他产品中图片上Tag的位置和样式各异的印象,不由得引发了我的思考,到底什么位置,何种样式的标签设计才是更合适的设计?这背后的设计逻辑又是什么?竞品分析带着这样的疑问,我打开了手机中Top3的视频和小说App,通过分析整理,发现竞品主要采用了以下4种图片Tag样式

    2020-09-28 0 0 0 0
  • 作为产品高手,他是怎么思考一个功能的?

    作为产品高手,他是怎么思考一个功能的?

    最近,有读者发来一个问题,内容大概是这样:呆总,这个页面里我画圈的模块现在只有 2 个选项,如果有 15 个选项的话,那我要怎么设计呢?这类问题其实不难回答,但业务不明确,以至于无法给出符合问题本身的答案。这位读者这么问,应该是想要我直接给出形式上的设计建议。但是,我不知道这个模块的作用,页面缺少上下文的联系,也就不知道它要解决用户什么问题,更不知道选项变多至 15 个的原因。只能大致猜测是选择其

    2020-09-25 0 0 0 0
  • 如何从零开始设计一款IP形象?来看企鹅电竞的实战案例复盘!

    如何从零开始设计一款IP形象?来看企鹅电竞的实战案例复盘!

    前言小方鹅CUBIE是企鹅电竞官方的IP形象,设计方案是围绕“游戏机方盒子”的概念来展开创意,特别是小方鹅头上的游戏机摇杆的提取以及方块组合的表情符号,都体现其游戏属性;符合目前企鹅电竞以游戏直播为核心,多元化发展的产品定位;IP形象的诞生,提升了用户对企鹅电竞的的品牌认知和传播力,协助产品打造一个更具有情感化的游戏直播内容平台。前期设计分析,制定设计流程企鹅电竞作为游戏直播为主,多元化发展的直播

    2020-09-25 0 0 0 0
  • 赛博朋克风格案例!「商业合成海报」从构思到成品的全流程解析

    赛博朋克风格案例!「商业合成海报」从构思到成品的全流程解析

    本文通过赛博朋克海报案例给大家深度讲解“商业合成海报从构思到成品”的制作流程以及合成中“人造戏剧光影”的后期使用方法更多文章知识,请查阅ots网络安全门户 !!!

    2020-09-21 0 0 0 0
  • 如何让你的设计有据可依:界面中的点线面(下)

    如何让你的设计有据可依:界面中的点线面(下)

    点线面的临界问题康定斯基在书中曾讲到,线的强化加粗,与点不断增大面临同样的问题,即与面之间的临界。这句话的意思就是,当点、线通过强化自身的面积、宽度后,和面的界限开始模糊,从而具备了面本身的性质。比如ios11中让人印象深刻的大标题,便是由通过增加每个点的面积(增加每个字的字号),以及笔画的线宽(增加每个字的字重)来趋向于面,以来营造出饱满、冲击的视觉张力。辨识性面二维的属性让它可以向四周无限得扩

    2020-09-21 0 0 0 0
热门文章
更多
视频教程
更多
工具利用
更多
.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录