卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应用可以帮助用户通过手机就能定位车的GPS位置、追踪汽车行驶路线、锁车、启动发动机和提前打开一些辅助设备等等功能,像是一些受欢迎的汽车品牌动辄就有超过上百万用户。 但是在研究人员分析了7款流行车控App之后发现,这些应用缺乏适当的安全功能。 7款应用评测 匿名监测了7款App后,研究人员发现这些应用缺乏基本的安全功能,才让用户暴露在被入侵的风险之中。他们主要将…
_ ___ _____ ____ | |/_/ | /| / / _ | / __/ _. < | |/ |/ / __ |/ _/ /_/|_| |__/|__/_/ |_/_/ xwaf xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf Disclaimer [!] legal disclaimer: Usage of 3xp10it.py and web.py for attacking targets…
近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。经金山公司确认,该漏洞存在。根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201702-646。漏洞相关情况如下: 一、漏洞简介 WPS Office是北京金山办公软件公司研发的一套办公软件。该软件提供了办公软件最常用的文字、表格、演示等功能。 WPS Office中存在越边界读取漏洞(CNNVD-201702-646)。该漏洞是由于WPS Off…
近日,部分谷歌Chrome浏览器用户遭遇到了新的黑客诈骗攻击方式,安全专家提醒各位用户提高警惕。网络安全公司NeoSmart Technologies首先在一家WordPress架构的网站发现此类陷阱式攻击方式,WordPress最新版本存在着问题让用户无法及时更新安全补丁,为黑客留下了可乘之机。 此类攻击隐藏的非常好,JS脚本首先将会篡改被感染的WP网站文本渲染呈现方式,导致用户在使用Chrome时看上去非常混乱,随后脚本会提示用户缺乏某个特定字体,建议用户升级Chrome字体包来解决问题,但下载的字体文件其实含…
其相关攻击活动将矛头直指俄罗斯各金融机构 E安全2月22日讯 网络犯罪组织RTM正在着手部署一款基于Delphi编程语言的高复杂度恶意软件,旨在利用其攻击远程银行系统(简称RBS)——一类用于实现大规模资金转移的商业软件。 这一问题的严重程度已经引发俄罗斯中央银行FinCERT方面的注意,FinCERT自2016年年末开始负责打击针对俄罗斯各金融机构的网络犯罪活动。 根据斯洛伐克安全软件厂商ESET公司的介绍,RTM组织利用其恶意软件通过多种方式对受害者开展网络间谍活动,具体包括监控键盘输入以及接入系统的智能卡内容…
E安全2月22日讯 美国国土安全部已经筹集近100万美元资金,计划将其作为五家物联网网络安全技术初创开发商的竞争性奖励。 根据DHS本周二发布的新闻稿,这五家企业之所以能够获取这笔资金,是因为其此前在由美国国土安全部科学与技术局网络安全部组织的硅谷创新计划(或简称SVIP)当中成功挺进至第二阶段。该计划凭借一项名为“其它交易征集(Other Transaction Solicitatio)”的特殊政府采购议案以帮助“非传统”承包商参与开发技术性解决方案,从而解决“国土安全部以及美国国土安全任务所面临的部分最为严重的…
国家发展改革委办公厅关于印发 2017年中国西部开发远程学习网培训计划的通知 有关省、自治区、直辖市和新疆生产建设兵团发展改革委,国家信息中心,有关单位: 根据各地上报的培训需求建议,并结合贯彻落实《关于改进西部开发远程学习网管理运行机制的指导意见》,我们研究制定了《2017年中国西部开发远程学习网培训计划》,现印发给你们,并就有关事项通知如下: 一、认真完成直播课程计划。2017年西部开发远程学习网公益性直播课程计划包括26个专题,共计140课时。西部开发远程学习网管理中心(以下简称“管理中心”)要加强专家资源库…
E安全2月22日讯 假设你在酒吧碰到一个朋友的朋友,小明,他是大型政府承包商的采购经理,他现在已经喝的酩酊大醉。这时,只需要跟他握手就能获取他的姓名、联系信息、行程和LinkedIn资料,将其下载到你的iPhone里。而这个过程不需要借助无线技术,而将小明的数据发送到你手机的媒介竟是人体。 将人体作为连接电子设备的媒介可能变得实际,并且最终可能会非常普遍。在IEEE Computer现刊文章中,美国佐治亚理工学院(Georgia Institute of Technology, GIT)的研究人员描述了一款基于人体…
实现HTTPS传输对网站有很多好处,不仅防止第三方窥探网络流量来保护他们的用户,并且防止内容劫持和Cookie窃取,还在Google中获得更好的排名,因为搜索巨头在其搜索算法中使用HTTPS作为信号。在没有提供HTTPS保护的网站上,看重隐私的用户根本不会注册登陆或者输入自己的信用卡信息。 互联网上大部分网站需要很长时间才能从HTTP转换到HTTPS,但是电子前沿基金会(EFF)一份报告显示,截至本月初,加密网络的举措达到了一个重要的里程碑,现在所有网络流量当中有一半是通过HTTPS进行保护。 从下面的图表可以看出…
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-07,绿盟科技漏洞库本周新增49条,其中高危24条。本次周报建议大家关注 OpenSSL拒绝服务漏洞 CVE-2017-3733 。目前OpenSSL开发小组已经发布补丁,强烈建议受影响的用户进行升级。 焦点漏洞 OpenSSL拒绝服务漏洞 NSFOCUS ID 30935 CVE ID CVE-2017-3733 影响范围 受影响版本 < 1.1.0e 漏洞点评 OpenSSL在握手重协商过程中的某些情况下,如果协商使用Encrypt-Then-Ma…
近三年来,“Threat”和“Intelligence”在RSA的所有演讲中,已成为了最热的主题词,不少新兴厂商把目光瞄准这一市场,许多安全厂商也纷纷将业务扩展到威胁情报领域,使威胁情报成为安全战略中的重要组成部分,不断丰富原有的安全产品和服务模式,来面对日益复杂和严峻的安全形势。国外曾有调研公司整理了超过20家威胁情报相关的厂家。 为什么Network World只推荐了三家 在刚刚闭幕的RSA 2017中,IDG旗下著名的Network World网站报道了RSA 2017推荐的48款热点产品( Hot pro…
根据 Google 数据分析,企业电子邮箱比个人电子邮箱更容易受到恶意软件,网络诈骗和垃圾邮件的攻击。 Google 的 Gmail 服务已拥有超过 10 亿的活跃用户,该公司表示,它每周都会阻止数百亿次针对这些帐户的攻击。 在本周的 RSA 会议上,搜索巨头分享了本公司收件箱受到的攻击情况,并将这些数据与其他账户类型进行了对比。 迄今收集到的数据显示,与个人邮箱相比,企业电子邮箱收到恶意软件的可能性高出 4.3 倍,收到网络钓鱼邮件的可能性高出 6.2 倍,而接收垃圾邮件的可能性高出 0.4 倍。 以上为 201…
20 日凌晨 4 点左右,韩国韩亚航空网站遭黑客攻击致网页无法正常打开,目前韩国警方已经介入调查。 截至 2 月 20 日上午 6 点 30 分,韩亚航空官方网站的初始画面出现带有“No Justice No Peace”字样的图画,黑客自称“’Kuroi’SH and Prosox”,并留下“虽然对韩亚航空感到抱歉,但阿尔巴尼亚对塞尔维亚人犯下的罪行需要让全世界都知道”、“塞尔维亚人正被像*一样的阿尔巴尼亚人杀害和蹂躏”、“将在科索沃普里什蒂纳引爆*弹”等英文语句。 韩亚航空方面表示:“管理公司网站地址的外包公司…
据外媒报道,日前,维基解密创始人朱利安·阿桑奇在与澳大利亚喜剧演员 Chas Licciardello 的视频对话中谈到了全球新闻媒体的“信息武器化”问题。当谈到虚假新闻和丑闻的时候,阿桑奇提出了不一样的看法—他非常乐于见到这些。 假新闻的“丑恶”凸显了维基解密的“淳朴” 阿桑奇表示,读者在维基解密上读到的信息都是未经过“武器化”,而他们在新闻媒体平台上阅读到的文章则都是已经经过“武器化”,这些文章都是具有针对性并伴有影响性。“我认为这就是维基解密的美丽之处…这里是信息的海洋、这里都是宝藏、知识的宝藏、这里是你可以…
安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 …
写在前面的话 Leakedsource.com可能是目前最大的数据泄漏信息收集网站了,用户可以在该网站找到很多严重数据泄漏事件中泄漏出来的数据,其中还包括很多热门网站(例如LinkedIn和Myspace等)的数十亿用户账号以及相应的登录密码。但是在上个月月底,多家新闻媒体报道称执法部门已经成功拿下了Leakedsource的服务器。 事件详情 根据知情人士透露的信息,执法部门似乎已经掌握了LeakedSource幕后运营者的真实身份,而尴尬的地方就在于,他的真实身份是被他自己正在兜售的被盗数据库曝光的。 从201…
威胁情报公司 Recorded Future 披露,一名说俄语的黑帽子黑客,入侵了超过60所大学和美国政府机构的系统。 该黑客被 Recorded Future 命名为“Rasputin”,通常利用SQL注入漏洞获取敏感信息,在网络犯罪市场上出售。Rasputin去年入侵了美国选举协助委员会电脑,尝试售卖100多个访问凭证,包括有管理员权限的那些。研究人员发现,他曾与代表中东政府的潜在买家协商。 Recorded Future 一直在监视该黑客的活动,识别出了很多他的受害者,包括20多所美国大学,10所英国大学,以…
三个月内的第二次,Google 工程师披露了微软未修复的一个 Windows 漏洞。上一次微软曾公开对 Google 的做法表示失望。新 bug 与 Windows GDI (Graphics Device Interface) (gdi32.dll)相关,允许攻击者利用恶意的 EMF 文件阅读用户内存中的内容,而 EMF 文件可以隐藏在 DOCX 等类型的文件中,也是就是它可以通过 Office、IE 等流行应用程序利用。Google Project Zero 团队最初是在 2016 年 3 月报告了这一该 bu…
美国总统特朗普的竞选筹款网站 donaldjtrump.com 的一个子域名 secure2.donaldjtrump.com 遭到了自称 Pro_Mast3r 的黑客的纂改。黑客留言自称来自伊拉克“Nothing Is Impossible Peace From Iraq”,被纂改的网页展示一张照片,其源代码包含了一个连接已经不存在的 Google Code 账号的 javascript 脚本,对脚本的分析显示它不是恶意程序而只是一段雪动画脚本。该子域名目前已经下线。 0day
近期,安全研究人员发现被称为Magic Hound的网络间谍行为与伊朗黑客和Shamoon 2恶意软件有关。 针对中东的间谍行为 来自Palo Alto Networks的安全专家最近发现了一个与伊朗有关的最新网络间谍行为,攻击目标主要是一些中东组织。这个被称为Magic Hound网络间谍行为可以追溯到2016年中期,入侵者对中东表现出了极大的兴趣,被攻击的能源、政府以及科技公司都恰巧位于沙特阿拉伯。 在入侵过程中攻击者使用了多种多样的自定义工具以及被称为Pupy的开源跨平台远程访问工具(RAT)。 戴尔旗下安全…
Android for Work是Android的“沙盒”机制,它的目的是安全地存储企业资料。然后最近来自Skycure 的安全研究人员发现,Android for Work可以通过一种“中间app攻击”的方式被Hack。 这个Android work模式其实就是遵从BYOD(Bring Your Own Device)理念的产物,BYOD指的是携带自己的设备办公。Android for work从Android 5.0 Lollipop版本引入,就是为了将个人的Android设备变成公司环境,将个人环境和企业环境…
臭名昭著的网银木马 Ursnif(a.k.a Gozi),在过去的一年多里,一直将日本作为其主要的攻击对象。该木马的传播方式也很常见,就是利用垃圾电子邮件,附带恶意附件的形式,群发放给指定目标。一旦用户打开其中的附件,就会激活恶意程序,并主动从远程服务器下载 Ursnif 木马的可执行文件。 东京警察局和日本网络犯罪控制中心,已于近期向网络用户发出了恶意电子邮件活跃的警告。经过分析,我们大致确定了用于针对包括日本和几个欧洲国家在内的,网银木马的分发网络结构。该网络主要由两个部分组成:负责传送垃圾电子邮件的僵尸网络,…
安全研究员发现一个芯片漏洞,此漏洞影响到数以百万计的设备,不管设备上安装的是什么操作系统或是应用程序,这个漏洞都能让设备的防黑保护无效化。更糟糕的是,这个漏洞不会因为任何的软件升级而被彻底修复。 该漏洞存在于内存管理单元(MMU)(许多CPU的组件)的工作方式中,利用此漏洞就能绕过地址空间布局随机化(ASLR)保护。 ASLR是现代操作系统重要的安全防御手段,无论是Windows和Linux还是macOS,Android,BSD都已采用了该技术。 一般来说,ASLR是一种内存保护机制,它使程序在设备内存中运行的位置…
中国信息安全测评中心 测评公告 (2016年第12号) 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息 安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。 根据国家职能授权,测评结果定期向社会公布。 特此公告。 中国信息安全测评中心 二〇一六年十一月 E安全注:本文系中国国家信息安全测评中心授权E安全编辑报道,转载请联系授权,并保留出处与链接,不得删…