服務供應商如果有為用家推出 2FA (雙重因素驗證) 或 MFA (多重因素驗證),理論上都會覺得較安全。不過,網絡安全公司 Varonis Threat Labs 去年就發現,有實施 2FA 或 MFA 登入政策的雲端儲存服務供應商 Box,原來在驗證機制上出現漏洞,如果用家只登記使用 SMS 收額外驗證碼,黑客是可以完全避過驗證登入受害者的帳戶,不過漏洞現時已被堵塞,各位可以繼續使用。 雙重或多重因素安全驗證,是指用家除了要使用帳戶名稱及密碼登入外,還需配合其他因素如額外驗證碼、生物特徵等。額外安全編碼現時仍是主流驗證技術,視乎需要,它可透過電郵或 SMS 短訊接收,另外亦可使用如…
Search Results: Box (61)
網站程式在商業世界扮演著重要角色,從網上商店到公司內部系統都離不開開發網站。然而,隨著針對網站的攻擊不斷湧現,單純的網站開發技能,已不足以應對日益複雜的安全挑戰。因此,近年越來越多公司聘請專家,為自家網站作漏洞測試。 網站漏洞測試是通過模擬黑客攻擊,來識別系統的缺陷,與網站開發相比,漏洞發掘更側重於對網站各組成部分的深入理解。測試員需要深入剖析網站的運作原理,從細微之處發掘潛在的安全隱患。擁有網站開發經驗的程式員,在理解和識別系統脆弱性方面具備天然優勢。為進入網站滲透測試領域奠定了堅實的基礎。 想睇更多專家見解?立即免費訂閱! 尋找漏洞需要深入學習網站常見的安全性問題,如 SQL 注入、跨站腳本(XSS)等。透過並瞭解網站漏洞的成因、並擴展知識領域至資料庫管理、網絡基礎以及互聯網協定,將有助於更好地理解資料傳輸機制以及其潛在的攻擊手段。 同時,熟悉 Linux 作業系統與其命令行操作模式,也是關鍵技能,因為大多數測試工具和網站伺服器都基於 Linux 平台。日常 Linux 上的操作如查看系統日誌、伺服器參數、管理使用者許可權等操作,在滲透測試過程中同樣需要,透過學習相關知識能更深入地瞭解系統的運行機制和潛在的安全風險。 如想淺嘗如何發掘網站漏洞,在 Hack The Box、TryHackMe 等平台,有不同的漏洞模擬系統可用作學習,並透過接觸不同類型的漏洞掌握滲透測試技能。 持續進修是轉型過程中不可或缺的一部分。欲想學習更多有關尋找網站漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。…
今時今日,應該絕大部分人都會用到雲端儲存服務,甚至會將重要檔案上載其中,但有無想過檔案有可能突然消失,而且還是雲服務巨頭出事?最近有 Google 用家就上網哭訴,GoogleDrive 上部分檔案竟離奇消失,備份資料的狀態竟回到今年 4、5 月,原因暫時不明,重要檔案隨時凍過水。 想知最新科技新聞?立即免費訂閱 ! GoogleDrive 全球擁 30 億用戶 相信各位對 GoogleDrive 都不會陌生,特別是 Android 手機用家,就更需要用到 GoogleDrive 服務。不過,但凡擁有 Google…
Minecraft的開放式遊戲玩法,不單瘋魔全球數以千萬計玩家,更吸引不少黑客搵食,通過不同方法感染玩家的電腦及手機,暗中進行非法行為。網絡安全公司McAfee的手機安全研究團隊就發現,Google Play 上曾有 38 款總下載量超過 3,000 萬的 Minecraft 抄襲遊戲內存惡意廣告軟件,而且因為惡意行為隱藏在遊戲後面,令玩家更難發現。 想知最新科技新聞?立即免費訂閱 ! 據微軟遊戲部門領導人估計,現時 Minecraft 遊戲每月約有 1.4 億活躍玩家,相較他們在 2014 年收購遊戲時的 3,000 萬,數字上升近四倍,認真誇張,難怪有不少遊戲開發商都抄襲它的玩法及畫風,希望可以分一杯羮。…
網絡安全公司Palo Alto Networks一向以創新為宗旨,在新版 PAN-OS 軟件新增逾 50 項新功能外,連舉辦活動亦具心思。早前順利舉行的《Stop Zero-Day Malware with Zero Stress》活動上,五位專業 Systems Engineers 轉陣到台上,以話劇形式將虛擬世界實體呈現,透過情景及對白介紹最新版 PAN-OS 軟件 PAN-OS® 11.0 Nova(下稱 Nova)特色,相當貼地。…
虛擬化(Virtualization)已成為每間企業的必備 IT 基礎建設(Infrastructure),但一直以來都與網絡保安分開管理。Sangfor 的 HCI 技術,將基礎建設及保安合而為一,加上 7X24 的專家支援服務,為企業達成「人機共治」。 Sangfor 方案顧問黎栢琛表示, 現時社會營商環境不斷改變,「今日可能只係有 100 個用戶,聽日就可能300 個」,增加可擴展性越趨重要。以根據過去經驗,不少企業購買防火牆、Endpoint security 等等設備及製定了防護方案後就以為一勞永逸,未深入了解將來需要的擴展性問題。 而 Sangfor HCI 致力簡化客戶系統架構之餘,亦與保安進行「一體化」,即使公司有新的員工加入,亦易於上手,不用作多層次了解 系統架構;方案更設有坊間少有的備份功能,不需額外找第三方設置。…
美國 FBI 剛發出網絡安全警告,指有詐騙集團利用區塊鏈遊戲的邊玩邊賺(play-to-earn,又稱 P2E)玩法,引誘玩家將資金兌換成加密貨幣再上存電子錢包,有玩家更在注入大量加密貨幣後被騙徒一次過清空。有意嘗試這類遊戲,就要認清楚以下風險。 想知最新科技新聞?立即免費訂閱 ! 邊玩邊賺錢好似好荒謬?但其實近年已有不少遊戲以這個概念吸引玩家加入,例如有港資背景的SANDBOX ALPHA就是一款開放世界的線上遊戲。要在遊戲內賺錢,玩家可以透過交易虛擬土地和 NFT 賺錢,此外,在 Season 2 中,玩家只要完成越多遊戲體驗,便可自動獲得 SAND Token 再換取現金。 由於這是開發公司壯大遊戲玩家的手段,例如 SANDBOX 便在短時間內,將玩家數量由數百萬增加至數千萬,因此邊玩邊賺絕非無可能。 在美國…
Microsoft早年引入 Mark-of-the-Web(MOTW)功能,又在去年開始阻止 Office 應用工具執行文件檔案內的 Macro 功能,用家以為可以放心使用?原來細心的黑客又再找到安全漏洞,借助未受保護的 OneNote 協助工具上載包含惡意功能的檔案。漏洞一曝光,黑客集團即爭相濫用! 想知最新科技新聞?立即免費訂閱 ! MOTW 是 Microsoft 於 2016 年引入的安全機制,它的主要作用是為下載的檔案追查來源,並為檔案加上一個 ZoneID 標記,如發現這個標記屬不安全,瀏覽器或防毒軟件就會發出警告,而在 Microsoft 未禁止…
電郵安全公司 Green Radar 劍達(香港)公布第二季電子郵件威脅指數,發現電郵威脅風險大幅上升,其中來自本地的網絡釣魚電郵威脅越來越多,模仿品牌貼近日常生活,令企業受到攻擊機會大增。 現時電郵安全方案為企業的必需品,大中華區領先的電信中立網路服務供應商第一線 DYXnet(互聯科技NEOLINK 成員)聯乘 Green Radar 推出最新的電郵安全方案,採用 Green Radar 的 grMail 技術,其「保安即服務」功能,全天候為企業杜絕經郵件為企業帶來的災難。 「本地化」網絡釣魚電郵為企業響起警號 Green Radar 銷售執行副總裁馬偉雄分析指,網絡釣魚電郵升幅十分明顯,這些電郵亦漸趨「本地化」,如假冒港鐵、PayMe 等要求填寫個人身份證號碼及信用卡資料等,因為品牌貼近日常生活,令企業更易受騙,受到攻擊機會大增。…
國際刑警組織開新戰線,新設專責保衛元宇宙和平的特別調查團隊 Interpol Metaverse,讓探員化身為 avatars 穿梭元宇宙世界,還會有沉浸式搜證調查及相關的世界觀知識培訓,不過最重要的法例,似乎就未有聲氣。 自從 Facebook 改名 Meta,表示要全情投入發展元宇宙業務,Metaverse 概念才正式被炒起,市場調查公司 Gartner 早前發表報告,估計在 2027 年全球將有 40% 大企業會借助 web3 及 AR 擴充實景技術為員工或客戶提供元宇宙服務。而現時有港資背景的…