Aggregator

在数字经济蓬勃发展的今天，用户的个人信息保护已成为社会各界广泛关注的焦点，反映出人们对隐私安全的重视日益增强。随着互联网技术的进步，用户在享受便利的同时，个人隐私泄露和个人信息滥用等问题也愈发突出。《个人信息保护法》规定，企业在进行收集、存储和使用等一系列个人信息处理活动时，必须遵循透明性、合法性和必要性原则。随着法律法规的不断完善，企业面临的合规压力显著加大。

与此同时，用户对于隐私保护的关注程度不断提升，越来越多的用户在选择应用程序时，优先考虑其隐私安全保护措施和合规性。因此，企业不仅要了解相关法律法规，还需建立健全的个人信息保护体系，以保障用户隐私安全。

在这一背景下，App隐私合规检测、个人信息保护影响评估（PIA）和个人信息保护合规审计这三者相辅相成，构成了企业个人信息保护的核心框架。本篇文章将探讨三者的基本概念，为理解隐私保护的全景图奠定基础。

一、三者概述

1、App隐私合规检测

App隐私合规检测是对移动应用程序在个人信息收集、存储、使用、传输等一系列个人信息处理活动以及保护用户个人信息方面的行为进行检测。该过程的核心在于确保移动应用程序在处理用户个人信息时，遵循国家法律法规（如《个人信息保护法》）、部门规章及规范性文件（如《App违法违规收集使用个人信息行为认定方法》）以及行业标准（如《信息安全技术—个人信息安全规范》GB/T 35273-2020）。一张图看懂检测内容要点：

·隐私政策的透明度：

检查App中是否存在隐私政策，以及首次启动时是否通过弹窗等明显方式提示用户阅读隐私政策。评估隐私政策是否清晰易懂、是否使用大量专业术语、用户能否轻松理解。检查隐私政策中是否明确说明App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式和范围等。

·收集个人信息的合法性：

确认App在收集用户个人信息前是否获得了用户的明确同意，是否以默认选择同意等非明示方式征求用户同意，是否收集与其提供的服务无关的个人信息，是否存在超范围、超频次收集个人信息的行为，是否以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限。

·信息传输安全措施：

分析应用程序是否采取了足够的技术和保护措施来保障传输过程中个人信息的安全，是否对传输的个人信息采取匿名化处理和加密传输，是否存在向境外传输个人信息。

·用户权利管理：

检查App提供给用户更正、删除个人信息及注销用户账号的功能是否有效，以及是否向用户提供撤回同意收集个人信息的途径、方式，是否建立并公布个人信息安全投诉、举报渠道。

2、个人信息保护影响评估（PIA）

个人信息保护影响评估（PIA）是对拟实施的个人信息处理活动进行的合法合规性评估，旨在评估这些活动是否可能对个人信息主体的合法权益造成损害，并判断相关风险。同时，还评估保护个人信息主体的各项措施的有效性。通过PIA，能够识别潜在风险，采取相应的安全控制措施，提升风险处置能力，确保风险可控。一张图看懂评估内容要点：

·个人信息的处理目的、方式等是否合法、正当、必要：

评估应先审查收集和处理个人信息的目的是否明确、合法，并且是否符合《个人信息保护法》以及其他相关法规的要求。在进行个人信息处理时，必须确保其处理目的正当且必要，即收集和使用个人信息的范围不能超出提供服务所必需的最小范围。同时，需要评估对个人信息的处理方式是否合规，确保所有个人信息处理活动都在合法的框架内进行。

·对个人权益的影响及安全风险：

评估过程中，需分析其个人信息处理活动对个人隐私权益的潜在影响，特别是在个人信息泄露、滥用或不当处理情况下可能对个人造成的损害。例如，个人信息泄露可能导致身份盗用、财务损失或个人声誉受损，因此必须全面评估这种影响的可能性和严重性。此外，还需要评估处理活动中的安全风险，如存储漏洞、传输过程中个人信息被拦截或篡改的风险、以及第三方合作中可能带来的额外风险。

·所采取的保护措施是否合法有效并与风险程度相适应：

在评估保护措施时，需要确认其采取的技术和保护措施是否符合国家和行业的安全标准（如加密传输、个人信息匿名化处理等）。同时，必须评估这些保护措施是否与识别到的安全风险相匹配。例如，针对敏感个人信息的处理，是否采取了足够严格的保护措施，如双重认证、加密存储等，以降低敏感个人信息泄露的风险。还应评估保护措施的有效性，检查其是否能有效防止个人信息滥用、泄露。

3、个保合规审计 

个人信息保护合规审计是指对个人信息处理者在收集、存储、使用、传输、披露等个人信息处理活动中，是否遵循相关法律、行政法规进行审查与评价的监督活动。其核心目的是确保个人信息处理活动符合法律要求，保障个人信息主体的隐私权和信息安全。一张图看懂审计内容要点：

·个人信息处理规则（C.1-C.13条）：

对个人信息处理的合法性基础、必要性、处理规则、告知义务；共同处理、委托处理、自动化决策处理个人信息；因合并、重组、分立、解散、被宣告破产等需转移个人信息；向其他个人信息处理者提供其处理的个人信息；公开其处理的个人信息；公共场所采集；处理已公开信息、敏感个人信息等要求提出了审计要点。（标红的审计点：应审计是否事前进行个人信息保护影响评估）

·个人信息跨境提供规则（C.14-C.15条）：

对个人信息处理者、关键信息基础设施运营者向境外提供个人信息；对境外接收方采取监督措施的有效性等要求提出了审计要点。

·未成年人信息保护（C.16-C.22条）：

对未成年人个人信息的告知义务、未成年人真实身份审核、收集未成年人个人信息的最小必要、未成年人个人信息主体权利、未成年人个人信息安全事件应急响应处置、未成年人个人信息访问的最小必要、未成年人私密信息保护等要求提出了审计要点。

·个人信息主体权利保障（C.23-C.25条）：

对个人信息删除权保障、个人行使个人信息权益的权利保障、响应个人对个人信息处理规则解释说明的申请等提出了审计要点。

·个人信息处理者的义务（C.26-C.33条）：

对个人信息处理者保护责任、管理措施和操作流程、安全技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急预案和响应处置等要求提出了审计要点。

·大型互联网平台规则（C.34-C.37条）：

对外部独立监督机构、大型互联网平台规则、平台内产品或者服务提供者的个人信息处理活动监督、个人信息保护社会责任报告等方面提出了审计要点。

二、总结与建议

通过本篇的分析，我们了解到App隐私合规检测、PIA认证和个保合规审计是企业在数字时代确保个人信息隐私安全的三大支柱。App隐私合规检测帮助企业检测应用是否符合相关法律法规，PIA认证则通过对拟实施的个人信息处理活动的隐私影响评估，预防潜在风险，而个保审计则对企业的个人信息保护措施进行审查和评估，确保合规性和有效性。这三者相辅相成，共同构建了企业个人信息保护的坚实基础，为企业在复杂的合规环境中提供了全面的保障。

Red Hat introduced Red Hat Connectivity Link, a hybrid multicloud application connectivity solution that provides a modern approach to connecting disparate applications and infrastructure. Red Hat Connectivity Link integrates advanced traffic management, policy enforcement and role-based access control (RBAC) directly within Kubernetes, enhancing security and compliance across multiple layers of application infrastructure. Application development and platform engineering teams can now manage application connectivity across single and multi-cluster Kubernetes environments — streamlining the definition, management and … More →

The post Red Hat Connectivity Link enhances security across multiple layers of application infrastructure appeared first on Help Net Security.

在这里分享一下通过拖取 DataCube 代码审计后发现的一些漏洞，包括前台的文件上传，信息泄露出账号密码，后台的文件上传。当然还有部分 SQL 注入漏洞，因为 DataCube 采用的是 SQLite 的数据库，所以SQL 注入相对来说显得就很鸡肋。当然可能还有没有发现的漏洞，可以互相讨论。

/DataCube/www/admin/setting_schedule.php

SQLite 没有sleep()函数，但是可以用 randomblob(N) 来制造延时。randomblob(N)函数是SQLite数据库中的一个常用函数，它的作用是生成一个指定长度的随机二进制字符串。

正常请求时间

延时响应

判断对应的 SQLite 的版本号

可以判断出SQLite的版本是3

查询出 sqlite 的版本号

www\admin\pr_monitor\getting_index_data.php

www\admin\pr_monitor\getting_screen_data.php#getData

www\admin\pr_monitor\getting_screen_data.php#getMonitorItemList

www\admin\config_all.php

将从 SQLite3 数据库中获取的数据转换为一个 JSON 字符串，并输出在页面上

www\admin\transceiver_schedule.php

www\admin\setting_photo.php

www\admin\setting_photo.php#insertPhoto

www\admin\images.php

登录后获取参数 accesstime 的值

将值替换到数据包中

成功将文件上传到 /images/slideshow/ 目录下

类似的注入有很多，但是每一次都进行了 accesstime 的校验，所以需要不停的从页面上获取，这里仅从一处来进行探讨

www\admin\config_time_sync.php

www\admin\Util.class.php#TblConfUpdate

我们很明显的可以看到这里的SQL 语句是我们可控的

首先请求页面 /admin/config_time_sync.php 来获取一个 accesstime 值

再构造请求进行发包

我们将执行的 SQL 语句打印出来

这里很奇怪，已经完美的闭合并提示执行成功，却没有执行这条语句，有明白的大佬可以一起讨论一下。

Policy management is the sturdy scaffolding that supports governance, risk, and compliance (GRC) objectives while shaping corporate culture and ensuring adherence to regulatory obligations. Yet, many organizations grapple with a fragmented approach—policies scattered across departments, processes misaligned, and technology underutilized. The result? A disjointed strategy that hampers visibility, agility, and, ultimately, effectiveness. Why Policy Management […]

The post 10 Essential GRC Policy Management Best Practices appeared first on Centraleyes.

The post 10 Essential GRC Policy Management Best Practices appeared first on Security Boulevard.

最近参与某次攻防演练，通过前期信息收集，发现某靶标单位存在某域名备案。

通过fofa搜索子域名站点，发现存在一个子域名的61000端口开放着一个后台，于是开始进行渗透。

进行目录扫描吗，发现/bin.rar路径可以访问到一个压缩文件。

使用下载器下载到电脑，打开压缩包，猜测内容为站点源代码，代码为.net形式，使用c#语言编写。

C#代码经过编译后为dll文件形式，根据dll文件命名规则和.net类型代码格式。我们可以初步判定xxx.Application.Web.dll文件中存在主要的后端逻辑代码。

但是dll为二进制文件我们无法直接查看，因此需要使用dnspy进行反编译查看。

查看方法：将dll文件丢入dnspy即可。

在源码中发现该系统使用UEditor。

可得UEditor的路径/Utility/UEditor/controller.ashx

访问关键接口/Utility/UEditor/?action=catchimage和/Utility/UEditor/?action=config

然而服务器返回403无法访问。

通过Fuzz发现403的原因是有可能是因为waf或者edr的拦截。

使用/Utility/UEditor/.css?action=catchimage可进行bypass，成功访问关键接口。

接下来就是参考UEditor .net版本的任意文件上传漏洞进行上传哥斯拉jsp webshell。

漏洞利用参考链接：

https://www.freebuf.com/vuls/181814.html

上传过程中发现普通哥斯拉jsp webshell上传后就被杀软拦截无法访问。

于是用https://github.com/Tas9er/ByPassGodzilla项目对webshell进行免杀处理。

方可成功上传webshell并进行连接，至此该UEditor站点利用完成，后面就是愉快的打内网。

传统的UEditor利用都是本地编写一个html文件中包含一个表单，通过提交表单使目标服务器根据提交的图片马地址下载webshell。

原理还是通过http请求发送图片马地址，所以直接在burpsuite发包也可以达到相同的效果，省去制作html文件的步骤。

请求发送后，返回包返回webshell路径。

1. UEditor作为热门常见漏洞，在大型企业集团中的.net老旧系统中非常常见，相关的利用方法以及绕过方法需要非常熟练，方可快人一步迅速拿下权限；

2. 在渗透测试过程中，我们可能会遇到一些与实验环境或他人分享的情况不同的挑战。这时，我们需要具备排查问题原因的能力。例如，在利用漏洞的过程中,可能会遇到无法上传webshell或请求被WAF拦截等情况。我们需要根据场景，修改payload或使用fuzz等技术进行绕过，直到成功利用漏洞并获取所需的权限，完成渗透。大战UEditor并突破。

LLMs are becoming very powerful and reliable, and multi-agent systems — multiple LLMs having a major impact tackling complex tasks — are upon us, for better and worse. 

The post Infectious Prompt Injection Attacks on Multi-Agent AI Systems  appeared first on Security Boulevard.

A significant security vulnerability has been identified in the W3 Total Cache plugin for WordPress, affecting all versions up to and including 2.8.1. This critical flaw cataloged as CVE-2024-12365, has a CVSS score of 8.5, categorizing it as a high-severity risk. Discovered by security researcher villu164, the vulnerability allows authenticated attackers with Subscriber-level access and […]

The post W3 Total Cache Plugin Vulnerability Let Attackers Gain Unauthorized Access to Sensitive Data appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

A critical vulnerability has been identified in Veeam Backup for Microsoft Azure, specifically referenced as CVE-2025-23082. Discovered during internal testing, this security flaw could allow an attacker to exploit Server-Side Request Forgery (SSRF) vulnerabilities to send unauthorized requests originating from the system. This could potentially lead to serious consequences, including network enumeration and the facilitation […]

The post Veeam Azure Backup Vulnerability Allows Attackers to Utilize SSRF & Send Unauthorized Requests appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.