漏洞类别:Web Application 漏洞等级: 漏洞信息 Session cookie set over Non-HTTPS connection 漏洞危害 Session cookie set over Non-HTTPS connection can lead to a Man in the Middle attack and cookie data can be stolen. Cookie values can be sniffed by an attacker. This later can be …
漏洞类别:Web Application 洞等级: 漏洞信息 The session cookie does not contain the "secure" attribute 漏洞危害 Session Cookies with "secure" attribute are only permitted to be sent via HTTPS. Session cookies sent via HTTP expose users to sniffing attacks that could lead to us…
目标:我们希望纳入足够多的产品分类和厂家,至少名气大的、名气中等的,以及“小荷才露尖尖角”的厂家,都尽量能有露脸的机会。更希望能给新入行的朋友、准备采购产品的朋友,一个可供参考的文档。 物理安全 存储介质信息消除/粉碎机(北信源、和升达、科密、30所、利谱、交大捷普) 网络安全 防火墙/UTM/安全网关/下一代防火墙(天融信、山石网科、启明星辰、网御星云、网神、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、网康、卫士通、迪普、H3C、交大捷普、信安世纪、任子行、上海纽盾…
概述 我们怀着永无止境的追求,去保护世界免受恶意软件威胁。近日,我们发现了一个行为不端的Android木马。尽管恶意软件针对Android操作系统,早已不是一个新鲜事了,但是我们发现的这个木马相当的独特。因为它并不攻击用户,它的攻击目标是用户连接的Wi-Fi网络,或者,确切地说,攻击目标是为网络服务的无线路由器。这个木马名字是“Trojan.AndroidOS.Switcher”,该木马会针对路由器的Web管理页面,进行密码暴力破解攻击。如果攻击成功,该恶意软件会在路由器设置中更改DNS服务器的地址。从而将用户的所…
PHPMailer出现漏洞CVE-2016-10033,全球900万用户容易遭受远程攻击。官方目前已经发布新版本,请用户尽快升级。PHPMailer 5.2.18 之前所有版本都受到影响。CVE官方对于该漏洞的描述还处于 保留状态 。 PHP Mailer是什么 PHPMailer,用于发送电子邮件的最受欢迎的开源 PHP 库之一,也是PHPMailer是一个用于发送电子邮件的PHP函数包。据估计,世界各地的超过 900 万用户利用此库。数以百万计的使用 PHP 和流行的 CMS,目前包括 WordPress,ru…
本文由:nsfocus 发布,版权归属于原作者。 如果转载,请注明出处及本文链接: http://toutiao.secjia.com/nsfocus-iot-security-whitepaper-ppt 如果此文章侵权,请留言,我们进行删除。 0day
本周绿盟科技发布政府行业资讯周报,该周报为绿盟科技政府行业专家结合多年政府行业工作经验打造,着重关注政府行业重要安全事件。如下为报告全文: 中国国家网信办发布《国家网络空间安全战略》 2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》。信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,同时也带来了新的安全风险和挑战。网络空间安全(以下称网络安全)事关人类共同利益,事关世界和平与发展,事关各国国家安全。维护我国网络安全是协调推进全面建成小康社会、…
2016可以说是勒索软件年,各种版本各种变种,基本就是两个目标,加密用户系统或文件,躲避追杀及分析。就目前来看,勒索软件通常通过恶意邮件诱使用户执行,也有通过人力方式胁迫找下线的,但WatchGuard Technologies首席技术官Corey Nachreiner预见,勒索软件将向蠕虫病毒发展。电脑蠕虫是独立的恶意程序,它复制自身,传播到其他电脑上。它通常利用电脑安全故障和网络漏洞进行攻击,感染一个受害者后,它将自己复制到本地网络上可以访问的每台电脑上。 Locky勒索病毒伪装成诱惑性图片 大家要小心SVG、…
安全研究人员发现“Switcher”新安卓(Android)木马,这个安卓木马能够黑入路由器,更改其DNS设置,从而试图将流量重定向至恶意网站。一旦用户被诱导至恶意网站,有被二次钓鱼攻击的可能。 新安卓木马Switcher会伪装成百度APP 此恶意软件称为“Switcher”,它伪装成中国搜索引擎百度以及一个分享Wi-Fi网络详情的中文版应用的安卓用户。若用户安装了其中一个应用,该恶意软件就会试图猜测当前安卓设备连接的Wi-Fi路由器的用户名和密码。 Switcher包含20多个用户名和密码组合,例如 admin:…
著名第三方安卓团队 “Cyanogen” 上周宣布关闭所有服务,Android 发行版 CyanogenMod 背后的开发团队则另立门户,改名为 LineageOS。随着 Cyanogen 的解散,Google 对 Android 生态系统的控制比以往任何时候更严密。Cyanogen 从来不是 Google 控制 Android 的严重威胁,但它的解散仍然代表着 Google 的一大胜利。 Cyanogen 或主要通过其资助的开源发行版 CyanogenMod 代表了 Android 的开放精神,为 Android…
土耳其工商业协会(英国办事处)官方网站在过去几天内连续遭到两个不同的黑客组织入侵。 首先,库尔德黑客 Mezopotamia 入侵了官网并篡改主页内容,发布消息抗议土耳其在 2011 年 12 月下旬对库尔德进行空袭导致 34 名平民死亡。虽然他的动机很明确,但不清楚黑客是否“顺带”窃取了网站数据库信息或者篡改了更多的页面。 随后,黑客 Kapustkiy 也赶来“凑热闹”,利用 SQL 注入漏洞入侵了网站数据库。据 Softpedia 收到的泄露信息显示,黑客获得了数百人的个人信息如姓名、地址和电话号码等,还包括…
据外媒报道,端到端加密通信应用 Telegram 已经超过 Twitter 等社交应用成为 ISIS 组织最重要的沟通交流平台。 各大社交媒体都已采取行动,在“网络战场”上对抗伊斯兰武装分子的宣传和招募活动。此前,ISIS 借助大型社交媒体 Twitter 展开动员、筹措、宣传活动和恐怖主义。据今年初报道,Twitter 已关停了 12.5 万个威胁进行恐怖活动或宣传恐怖主义的账户,尤其是与 ISIS 恐怖组织相关的账户。 因社交媒体的封锁,ISIS 组织已经将目标转向 Telegram 应用。究其原因,一是 Te…
据卡巴斯基实验室报道,研究员发现了两个特别的 Android 木马版本,它们并非对用户设备进行攻击、窃取信息,而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码,并更改路由器设置中的 DNS 服务器地址,最终劫持流量重定向至恶意网站。 两种木马 acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi 木马( com.b…
美国司法部宣布起诉三名中国交易员窃取律所资料从事内线交易。中国长沙的郑波(Bo Zheng)以及澳门居民康逸(Iat Hong)和洪千(Chin Hung)分别被控犯有共谋、内幕交易、电信欺诈和入侵电脑等罪行,三人经由从法律事务所非法获得的讯息来买卖至少五家公司的股票,获利超过400万美元。26岁的康逸周日(25日)在香港被捕,正等待引渡;50岁的洪千和30岁的郑波仍然在逃。他们通过入侵负责并购交易的律所合伙人电邮帐户获得交易消息。根据起诉书,这三人在2014年4月至2015年底间从事了相关股票交易。起诉书没有公布…
在上周末偷跑的Windows 10 Build 14997向我们传递了很多信息,新增了蓝光过滤器等功能,并有望装备在即将到来的Creators Update中。经过深入发掘,外媒发现新版系统中Edge浏览器升级至39.14997,已经默认阻止Flash Player内容播放,进一步推进HTML5。 微软在12月中旬时候曾表示:“未来几个月,我们将会主动监视Flash的使用情况,并逐渐缩短自动例外列表的选项。在这个过渡过程中,用户将始终保留对内容的控制,无论访问任意网站都能控制Flash内容。” 微软表示届时Flas…
今年,亚马逊 Echo 音箱成了市场的宠儿,人们买它就是因为音箱的大脑——Alexa 虚拟助手。只需通过语音命令,Alexa 就能帮你找到答案。不过,Echo 最近却跟一桩命案搭上了关系,美国阿肯色州警方认为它曾经“听到”过嫌疑犯的某些对话,而这些信息对破解谋杀案至关重要。 雷锋网(公众号:雷锋网)了解到,本顿维尔警方要求亚马逊交出嫌犯家中 Echo 记录下来的音频信息,如果音频中确实有相关证据,那么嫌犯明年就将出庭受审,他将面临一级谋杀的指控。 亚马逊拒绝向警方上缴 Echo 服务器上的相关信息,但它们将嫌犯的账…
根据国外安全专家的最新报告,有一群黑客正在对美国的知名企业和媒体机构进行广告欺诈活动,而这群黑客每天都可以从中赚取三百万到五百万美金。 是的,你没看错,这绝对是人类历史上最牛X的恶意广告欺诈活动!不过,安全研究人员已经将关于该活动的详细信息提交给了美国联邦调查局,他们的好日子应该要到头了…吧? 发生了什么事? 专注于防御网络欺诈活动的安全公司White Ops发现了这一新型的广告欺诈活动,并将其命名为“Methbot”。因为在这一欺诈活动中,攻击者可以利用某种工具每天自动生成超过三亿个欺诈广告视频。这个网络犯罪组织…
调查数据分析 根据国外媒体在今天凌晨发布的一份研究报告显示,在今年的地下黑市市场中,各大医院的被盗医疗数据售价急剧下跌,网络犯罪分子们已经不再对“盗窃数据”感兴趣了,而是纷纷转向了勒索软件的传播活动之中。 据了解,这份调查报告是由美国加州的安全公司TrapX发布的,该公司的首席营销官Anthony James表示,虽然黑客们正在纷纷投向勒索软件的怀抱,但是他们目前仍然在地下黑市中出售被盗医疗数据,只不过每份被盗数据的售价已经跌到了1.5到10美金。现在的价格与今年夏天时的价格相比有所降低,当时黑客总共提供了1000…
网络安全法立法之后,需要再制定配套法规或者出台司法解释,以增强法律可操作性,此外还需要在网络安全的其他领域进一步制定专门法律。“网络安全法的通过,完成了(网络安全领域)基本制度框架的建构,同时意味着更艰巨立法任务的开始。”中国法学会法治研究所副研究员刘金瑞认为。国务院近日印发《“十三五”国家信息化规划》(下称《规划》)。《规划》要求完善信息化法律框架,统筹信息化立法需求,优先推进电信、网络安全、密码、个人信息保护、电子商务、电子政务、关键信息基础设施等重点领域相关立法工作。 《规划》还提出完善网络安全法律法规体系,…
E安全12月29日文 过去12个月当中,美国华盛顿当局对网络安全的态度已经发生巨大变化。 在2016年,美国当局已经意识到并开始谴责各类指向重要政治机构、企业及知名人士的网络犯罪活动。虽然目前尚不确定相关事件的具体数量,但E安全认为仍然有必要回顾2016年这一重要时间分水岭,探讨美国华盛顿方面对于网络安全问题的态度转变。 美国民主党DNC被黑客攻击 总统大选特朗普逆袭 今年6月,《华盛顿邮报》报道称俄罗斯黑客已经成功泄露来自民主党国家委员会(简称DNC)的内部信息。最初,人们认为这批黑客入侵DNC是为了窃取用于打击…
据外媒报道, 美国食品和药物管理局(FDA)在当地时间周二发布了一项针对医疗设备制造商的网络安全指南,建议他们如何维护联网医疗设备的安全,即使这些设备已经在医院、患者家中或者患者体内投入使用。FDA认为这些医疗设备遭遇黑客入侵后将对病人造成伤害,甚至会威胁到患者生命。 FDA在去年1月就发布了《售后医疗设备网络安全管理》草案,这份30页的文件鼓励制造商监控他们的医疗设备。并实时修复修复设备漏洞。 目前这份指南还不具备法律效力。 几年前FDA就已开始警告医疗保健行业,医疗设备极易遭到网络攻击。这样的担忧是合理的:此前…
E安全12月29日讯 ZDNet最近发布报告,详述了Cellebrite公司破解智能手机的能力。 Cellebrite来自以色列,是日本 Sun Corpation的全资子公司,其营收主要来自于两项业务:一项是执法部门、军队和情报机构正在使用的法医系统软件,另一项是为移动零售商提供技术服务。 去年12月,28岁的赛耶德·法鲁克和妻子对加州圣伯纳迪诺一家社会服务机构发起袭击,造成14人死亡,两人在枪战中被警方击毙。案发后,警方在其汽车上发现一支iPhone 5c手机。由于苹果在iPhone中使用了自己的加密技术,FB…
E安全12月29日讯 知名数据应用安全公司Imperva的安全专家发现,12月21日凌晨,公司网络遭遇大规模DDoS攻击,其攻击峰值流量达650 Gbps。 Imperva将攻击主力称为“Leet僵尸网络”(Leet Botnet),针对的是Imperva Incapsula网络中的多个IP地址。虽然尚不清楚实施攻击的具体设备,但有可能如同Mirai一样,使用的是成千上万受感染物联网设备。 此次攻击未针对特定用户,可能是因为黑客无法解析受害者的IP地址,因为Incapsula缓解代理服务器对受害者的IP地址做了隐藏…
E安全12月29日讯 根据Check Point安全研究人员所言,PHP 7的“unserialize(反序列化)”函数受到一系列安全漏洞的影响,可能允许攻击者对受影响服务器进行全面操控。 此次披露的CVE-2016-7479、CVE-2016-7480以及CVE-2016-7478等全新安全漏洞存在与今年8月发现的单一安全漏洞类似的利用方式。具体而言,此前曝光的该单一漏洞为SPL中的释放内存后使用漏洞,Check Point方面表示其可通过“对PHP 7中的反序列化漏洞基元进行复用”而起效。 在一份阐述具体漏洞使…
过去五年以来,发生了一系列备受瞩目的账户挟持事件。网络安全专家群体中逐渐形成了一个共识:即使是随机产生的冗长密码也不能百分之百保证电子邮件以及其他的网上资产的安全。基于这个共识,网络安全专家们认为这些网上资产需要第二层身份验证来提供额外的保障。一个为期两年,有超过50,000名谷歌员工参与的研究结果表明,以密码学为基础制造的实体安全密匙在安全性上超越了以移动电话为代表的其他双重验证方案。 这些实体安全密匙是以Universal Second Factor (U2F)技术为基础。U2F是一种能够同时满足终端用户易用性…