引言 最近在鼓捣跨站脚本包含（XSSI）攻击时，我突然意识到可以通过HTTP状态码来玩泄漏信息和跨域。如果你想到的是“XSSI登录神谕”，那么说明你的已经上道了，但该攻击还可以扩展到更多的情形中。这里说的登录神谕通常是根据当前认证状态来决定加载与否的一些JavaScript文件。然而，这种攻击还可以针对HTML、JSON、XML或任意的内容类型。这实际上就是为XSSI攻击开辟了一个新的战场：从GET参数枚举信息，一次一位。 对于这种类型的攻击手法，我至今尚未见过公开的介绍，所以我将尽力使这篇文章尽可能全面。这意味着…

前言 在过去的三周里，针对全球WordPress网站的网络暴力攻击（brute-force attacks，更准确的说法应该是字典攻击）数量几乎翻了一番，根据WordPress的安全公司Wordfence的研究，从11月24日开始，攻击量开始上升，并持续了几周时间。 该公司表示，近六分之一的攻击来源于一个特殊的国家，更特殊的是，其中的大部分攻击来源于一个ISP。 WordPress暴力攻击持续增加 WordFence称在过去的三个周，能看到每天遭受攻击的网站数量几乎翻了一番，下图蓝色虚线表示过去60天被攻击的网站平…

前言 不久前，安全研究人员又发现了一个全新POS恶意软件家族——ScanPOS。 安全研究人员在分析Kronos网络钓鱼活动过程中，发现了一个含有下载银行恶意软件Kronos的恶意宏指令的相关文档。当Kronos运行时，它的payload将进一步下载另外几种恶意软件，但是引起他们注意的是一种新型的信用卡转储软件，该软件的检测难度非常大。根据在这款恶意软件中发现的字符串，安全研究人员将其正式命名为ScanPOS，以便于进行持续的跟踪和研究。 1 C:\Users\example\documents\visual st…

Google在本周宣布推出Project Wycheproof。Project Wycheproof是一个开源工具，设计用于检查流行加密软件库中是否存在已知漏洞。 Project Wycheproof工具下载 https://github.com/google/wycheproof Project Wycheproof已经发现过40个加密算法的缺陷 鉴于Java能够实现通用加密界面，Project Wycheproof利用Java开发。Project Wycheproof包括针对最流行的加密算法的测试，如AES-E…

当地时间 12 月 19日晚间，俄驻土耳其大使在土耳其首都参加艺术展开幕式时遭枪击后身亡。虽然随后刺客被击毙，但调查仍需要继续，刺客生前所使用的手机成为了重要的突破口。苹果现在就被拖入此案件当中，因为刺客使用的正是一部 iPhone 4S。根据 MacReports 的报道，案件发生之后当地官员就向苹果发出了解锁手机的要求，但目前苹果还没有回应。 当地媒体表示，从以往的办事风格来看，苹果很有可能会拒绝土耳其当局的要求。不过媒体也透露，如果苹果拒绝，那么俄罗斯当局将会插手解锁 iPhone 一事。报道称，一名土耳其官…

据外媒报道，团购网站 Groupon 多个用户账户疑遭到黑客入侵，账户银行卡存款被盗取用来购买欧洲度假服务、高端电子设备、星巴克礼品卡等昂贵物品，单起盗窃金额最高达 2,420 英镑。用户纷纷指责 Groupon 未能保护好账户安全及时发现异常情况、阻止欺诈行为。 团购网站 Groupon 表示最近确实接到少部分用户投诉称遭到欺诈攻击、账户余额被盗用。目前已成立专案小组调查该问题，如果证实问题是平台导致的， Groupon 将立即赔偿用户损失的金额。Groupon 向公众澄清，网站系统用没有遭到黑客入侵、移动应用也…

专门瞄准知名大佬推特帐号的黑客集团 OurMine 沉寂一个多月后，于近日再次行动，先后攻陷了在线影片租赁提供商 Netflix 、美国国家橄榄球联盟 NFL 、漫威娱乐公司以及“美国队长”等多个“美国英雄”官方 Twitter 账号。 据外媒 21 日报道，黑客接管了在线影片租赁提供商 Netflix 的官方 Twitter ，并向 250 万粉丝发送多则消息。黑客除了发表言论奚落 Netflix 的安全性差，还继续声称这只是安全测试。 昨日， OurMine 又再次行动接管了漫威娱乐（ @Marvel Ente…

联邦德国内阁会议决定 扩大德国国内录像监视 。根据内政部长提交的一揽子法律草案，德国将允许尤其在体育场所和购物中心加强录像监视。自动识别面部的”智慧”监视也将扩大。此外，也将为联邦警察配备”随身摄像机”以及用于识别机动车牌照的阅读系统。 相关决定是对本周一导致 12 人丧生的柏林圣诞市场袭击案的直接反应。但德国左翼党怀疑扩大监控只能增加虚假的安全感，而柏林绿党则反对扩大监视。 如果此文章侵权，请留言，我们进行删除。0day

欧盟最高法院做出 裁决（ PDF ），政府只有在打击严重犯罪时才能强制收集计算机数据。这一裁决 直接挑战了英国的监视法律。英国最近通过的监视法律要求 ISP 提供不加筛选的用户记录，并储存所有英国居民的移动和桌面浏览历史最长一年时间。欧盟司法法院认为，如此大规模的收集用户数据将让公民感觉受到了持续的监视，允许政府得到个人私生活的精确结论。这种做法只有在打击严重犯罪时才能被认为是正当的，欧盟法院认为英国的监视法律超出了必要的限制，在民主社会中无法证明其合理性。英国政府将对裁决提起上诉，即使上诉失败了，退出欧盟也让大不…

随着大数据时代到来，数据信息在给我们生活带来便利的同时，个人信息泄露的问题也日渐凸显，近日媒体曝光的信息泄露背后的黑色产业链也引发公众的关注——只要有人付钱，开房记录、名下资产、乘坐航班，甚至网吧上网记录都能被轻易查到。“信息裸奔”令人不寒而栗，行走在大数据的社会，个人信息安全值得我们每个人关注。 信息泄露了，你知道吗？ 大数据被称为是社会发展的新“石油”，然而运用不当同样会产生“污染”。更为可怕的是，当信息泄露后完全处于裸露状态的我们，或许并未察觉。调查显示，人们在机票、宾馆订单泄露后的感知度仅为26%，加强对此…

日前，外媒motherboard刊文称，当警察想要访问一部手机，那么他们要做的可能只是打开箱子里的一台笔记本那么大小的设备，然后通过一根数据线将两者连接起来即可绕过设备主人设置的密码。就像变魔术一样，警方可以访问设备里的日志、短信记录甚至一些已经被删掉的数据。不过，想要获得这种魔术般的能力，美国国家警力得花上百万美元才行。 据悉，motherboard近日得到的2000多张政府发票、订单、通信记录以及其他文件都将目标指向了一家以色列公司--Cellebrite。 据了解，Cellebrite销售的工具几乎涵盖了市场…

自称是白帽子的安全团体 OurMine 声称，他们刚刚攻破了漫威娱乐（@Marvel Entertainment）和多位“超级英雄”的 Twitter 账号。OurMine 声称自己对攻破美队（Captain American）、钢铁侠（Tony Stark）、蚁人（Ant-Man）、复联（The Avengers）、无敌浩克（Incredible Hulk）等账号负责。在这些账号上，其发布了至少一条消息，称此举只是安全测试，且可通过电子邮件联系他们以提升安全性。、 黑客团队 OurMine 在 漫威娱乐 官方推特…

在优酷用户通过社交媒体反映账号密码泄露之后，主流媒体也开始跟踪这起事件，但《新京报》的报道（百度快照）在上线很短时间后就404了。报道称，对于用户帐户泄漏，优酷官方认为是用户账号可能被盗取，如果重设密码不能解决问题，建议用户重新注册账号。这位账号失窃的用户声称，在修改改了密码修改了手机号之后，别人还是能登陆。报道称，在百度搜索“优酷土豆免费会员”，第一页就有七八个网页显示有免费优酷账号和密码，更新日期均为12月，最新的更新为21日，一页共有20多条账号和密码信息。随机选择账号，在输入验证码后很快登录成功。 如果此文…

在黑客Chris Roberts去年声称因入侵飞机系统被FBI逮捕之后，很长一段时间，我们都没有再听过黑掉飞机的精彩故事了。最近，IOActive研究员Ruben Santamarta披露了松下航空电子设备公司的机载娱乐系统（IFE）漏洞。据Santamarta所说，攻击者入侵IFE系统能够干扰飞机运营，盗取敏感信息。不过他也在文中提到，如果说IFE系统与飞机控制系统物理隔离，则此类攻击对于飞行安全是不会产生影响的。 不过松下航空电子这两天特别向媒体回应，他们确实在2015年接收到了Santamarta的漏洞报告，…

对企业用户而言，是否总会感觉，花了钱和时间搞的安全措施没有达到预期中的效果？这可能是很多企业高层的困扰。不过，至少有一个可能是例外：安全运营中心（SOC）已经在帮助企业减少安全事故和提高运营的成熟度方面做出了切实贡献。 SOC的确加强了企业的安全能力 根据McAfee实验室在2016年12月发布的威胁报告可知，虽然各企业的发展阶段存在差异，但目前已有84%的商业组织和91%的企业在采用SOC。Intel Security（也就是McAfee）在这份报告中的调查对象包括加拿大、德国、英国和美国的近400名安全从业人员…

回顾即将过去的这一年，勒索软件正逐渐成为俄罗斯黑客进行政治宣传和网络攻击的强大武器。但是人们容易忽略的一点是，2016年发生的所有攻击事件并非都是如此丑陋和暴力的。 虽然，在过去这一年间，网络犯罪和网络间谍的控制和影响范围正在进一步扩张，但是2016年也展现了一些鲜为人知的“好”的一面：安全研究人员通过改变游戏规则进行了一系列饱含创意的网络攻击活动，他们通过既有创意又令人不安的攻击方法来破解物联网设备、攻破锁定计算机以及劫持电脑鼠标等。 所以，如果你依然对风靡一时的“400磅黑客”的生活感到困惑，或是厌倦听到那些关…

简介 Roundcube是一款被广泛使用的开源的电子邮件程序，在全球范围内有很多组织和公司都在使用。在过去的1年里，仅SourceForge上的镜像文件被下载次数就超过26万，这还仅仅是实际使用群体中的一小部分。在服务器上成功安装Roundcube之后，它会提供给用户一个web接口，通过验证的用户就可以通过Web浏览器收发电子邮件。 在本文中，我们将看到攻击者是如何仅仅通过Roundcube1.2.2(>=1.0)写封邮件，就能对底层操作系统实现任意命令执行。这是个高危漏洞，由于使用默认安装方式的Roundc…

一、背景 近期，火绒团队截获一个由商业软件携带的病毒，并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中，该病毒策略高明、技术暴力，并攻破HTTPS的“金钟罩”，让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。且该病毒驱动在”净广大师“卸载后仍然会持续加载并劫持百度搜索流量，行为及其恶劣。 我们曾在此前报告（“净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利）中进行过病毒简述，本文中我们将对“净广大师”病毒进行详细分析。 二、 样本分析 在“净广大师”安装过程中，我们注意到“AdAn…

俄罗斯APT小组Fancy Bear又搞了个大新闻。根据网络安全公司CrowdStrike的调查，Fancy Bear小组的成员从2014年底到2016年利用Android恶意软件跟踪乌克兰炮兵部队。 屡屡见诸报端的APT小组 Fancy Bear又名APT 28, Pawn Storm, Sednit, Sofacy。近几年来，这个APT以各种身份出现在各种攻击事件中： 2015年8月，电子前哨基金会声称遭到了Fancy Bear的钓鱼攻击。 今年6月，Pawn Storm被发现攻击4000个Google账户。 …

E安全12月23日讯 美国国家科学家正寻求私营部门和学术密码学家的帮助，编写复杂强大的新加密算法，以抵御量子计算机的破解。因为量子计算机的巨大计算能力，数学家认为量子计算机将最终能破解现有的加密算法。 美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）周二在《联合记事》（Federal Register）发布公告宣布，明年11月之前将接受新算法建议。 NIST加密技术小组在博文中表示，“通过公众的参与，NIST欲在接下来几年收集、测试并…

据外媒报道，日前，来自安全公司CrowdStrike的一份安全调查报告显示，俄罗斯黑客组织Fancy Bear利用Android恶意软件追踪乌克兰火炮军事人员，并且该组织极有可能隶属俄罗斯国家军事部门。CrowdStrike在报告中指出，他们在一名乌克兰炮弹军官使用的一款合法软件内发现了恶意软件。据悉，这款软件是乌克兰军方官方使用的软件之一，用于炮弹定位行动。 乌克兰总统彼得·波罗申科 被发现的恶意软件叫X-Agent，黑客可以利用它访问目标人物的电话通信、大致地理位置以及通讯录等数据。 报告称，这样的一套工具可能…

E安全12月23日讯 受到来自金融行业的批评后，纽约金融服务部（New York Department of Financial Services，监管美国和其它地区大型银行和保险公司的）将重新起草其提议的网络安全规则。 纽约金融服务部公共事务办公室表示，新草案经过额外30天的评论期，将于12月28日发布。建议规则于9月发布，原定经过45天的评论期，于1月1日生效。 根据该建议，纽约金融服务部监管的银行和其它金融服务机构将必须： 创建网络安全项目 采用书面网络安全政策 指定首席信息安全官（CISO），负责该项目和政…

E安全12月23日讯 2014年底至2016年，俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy，曾一度占据新闻头条。 网络安全公司CrowdStrike的专家报告称，据称2014年底至2016年，俄罗斯国家攻击者使用Android设备的恶意软件植入程序追踪并攻击乌克兰炮兵部队。 间谍将该恶意代码用来监视目标的通信，并获取乌克兰炮兵部队的位置数据，该信息可能被亲俄分裂分子攻…

E安全12月23日讯全球最大的政治性黑客组织“匿名者（Anonymous）”及其泰国同行已经入侵泰国外交部（简称MFA）、泰国国际合作署（简称TICA）以及皇家泰国海军的服务器设备，并随后公布了大量个人及官方数据。 此轮网络攻击属于“OpSingleGatewway”行动的一部分，旨在对抗泰国最近刚刚通过的网络审查法。这项名为单一互联网网关（Single Internet Gateway）项目的军方政府法案要求通过军备控制下的单一入口点对来自海外的全部数字化数据进行扫描。该项目自公布以来一直受到民间社会与互联网活动…

E安全12月23日讯 知名黑客Kapustkiy继续对世界各地的大使馆网站进行攻击，而最新曝出的受害者为哥斯达黎加驻中国使馆。 17岁的Kapustkiy此次访问的数据库中包含280项用户登录凭证，不过其仅仅在线公布了其中50项以证实攻击活动确实已经成功。在攻击完成后，哥斯达黎加驻中国大使馆网站costaricaembassycn.com已经无法正常访问。 Kapustkiy表示，“我首先开始利用自己发现的SQL注入漏洞。在此之后，我又尝试了暴力破解并获得了一份规模可观的用户清单。我已经公布了其中约50名用户，其余…