2017年1月10日上午，支付宝爆出“致命”登录漏洞，各方都在进行漏洞分析，甚至都有支付宝漏洞群的出现了。数小时后，支付宝官方给出回应称，“今日上午进一步提高了风控系统的安全等级”。有消息说， “支付宝的密码和风险策略做了修改，已经不存在风险， 如果还收到有风险的情况，可以及时和支付宝沟通下，我们及时反馈” 支付宝登录漏洞验证方式 有网友给出一种验证方式 支付宝新漏洞，各位用支付宝的小伙伴注意了，陌生人有5分之一的机会登录你的支付宝， 熟人有百分之百的机会登录你的支付宝。 登录手机账号--忘记密码--手机不在身边-…

英国欺诈与网络犯罪举报中心“ Action Fraud ”向教育部门发出勒索软件警告：欺诈分子正冒充政府官员，诱骗教育机构工作人员安装勒索软件，加密文件并勒索 8000 英镑（ 6.7 万人民币）赎金。 欺诈分子打电话声称来自教育部“ Department of Education ”并索要个人、校长或财务管理员的电子邮件和电话号码。 之后，欺诈分子解释称需要直向校长接发送表格文件，这些文件是用来指导心理健康评估的相关工作，由于文件包含敏感信息，所以不能直接发送到学校公共邮箱。邮件附件的压缩包中含有伪装成 EXCE…

安全公司 ClearSky 发现伊朗 APT 组织 OilRig 自 2015 年以来一直针对以色列、中东和其他国家。在最近的攻击中，他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件，攻击目标涉及多个以色列 IT 供应商、金融机构和邮局。 ClearSky 的安全专家发现，伊朗黑客建立了一个假的 Juniper Networks VPN 网站，并使用来自 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。恶意电子邮件中的链接指向该虚假网站，并要求用户输入用户名和密码，之后会要求受害者安装“ VPN…

据路透社 1 月 9 日报道，当地时间 1 月 8 日，美国候任总统特朗普团队首次承认：俄罗斯黑客曾经入侵并干扰美国大选，并表示将采取应对措施。特朗普新任命的白宫办公厅主任赖因斯·普里巴斯表示，特朗普相信俄罗斯曾经干扰美国大选期间的民主党大会。但是，普里巴斯并未指出，特朗普是否认为普京曾经指使这一行为。 普里巴斯在“周日福克斯新闻”节目上表示：“特朗普接受此案是俄罗斯团队所为的事实”。这是特朗普团队首次承认俄罗斯黑客曾经干扰美国大选。特朗普此前一直拒绝“俄罗斯黑客干扰美国大选”或是“俄罗斯黑客帮助特朗普赢得总统宝座…

法国国防部长 Jean-Yves Le Drian 敦促各政党进行安全自检，避免总统选举期间遭网络攻击。此外，Le Drian 表示在今年总统大选前，该国的民用基础设施（电力、水、交通、电信和媒体）很容易受到网络攻击。 此前，美国政府指责俄罗斯涉嫌通过网络袭击干预美国总统选举，导致两国外交关系趋于紧张。美国已驱逐 35 名俄外交官，并对俄情报机构实施制裁。当 Le Drian 被问及法国是否可以免受类似网络攻击时，Le Drian 表示“不，当然不可能，我们不应该这么天真的想”。 上周末 Le Drian 在接受采…

利用网站漏洞，“黑客”向某通过远程控制软件非法盗取一教育公司的考试习题资料，并在淘宝出售，获利10万余元。今天上午，向某因涉嫌非法获取计算机信息系统数据罪在昌平法院受审。在法庭上，向某认罪：“我在他们网站上看到了网页代码，发现了网站的用户名和密码，后来利用一远程控制软件从普通用户变成了管理员用户，共下载了一百多条考试题。” 指控 非法盗取考试习题资料 网售获利10万 现年35岁的向某是湖北人，高中文化，无职业。 据公诉机关指控，2015年3月，被告人向某在未经北京爱艺教育科技有限公司许可的情况下，利用该公司设立的“…

在美国情报机构详细说明俄罗斯黑客如何干扰2016年美国大选之后，英国宣布调查其自身网络安全。英国希望确保它不会受到影响美国2016年总统大选的网络攻击。星期一，英国国家安全战略联合委员会宣布，它正在审查国家的网络安全。 委员会主席玛格丽特·贝克特在一份声明中说，“网络安全对国家安全的影响是一个日益引起关注的问题。最近，各国将注意力集中在其他国家和相关行为体，为了政治目的发动的网络攻击上。” 两天之前，美国情报机构详细说明了俄罗斯在美国总统选举期间的黑客行为，并指责俄罗斯总统弗拉基米尔普京下令进行网络攻击，竞选影响结…

KillDisk系列数据清除恶意软件，因破坏乌克兰能源设施而蜚声四海，如今又被用于世界最贵勒索攻击中。 某些KillDisk恶意软件变种的画像 攻击者针对Windows和Linux桌面系统和服务器，索要数据赎金的数额更是挺搞笑的222比特币，价值 24.7万美元。（想钱想疯了？ ) 杀软公司ESET的研究员称：“必须强调的是，即便支付了这高得离谱的赎金，使用该KillDisk变种的攻击者依然提供不了解密密钥。”因为攻击者的加密密钥既没本地存储，也没传输到C&C服务器，根本解密不了受害者被锁定的文件。 该恶意…

前言 整个2016年，勒索软件呈现出集中的爆发态势。那么，到底爆发到了什么程度？来看一下12月份的统计数据，相当令人震惊：整个12月份，出现了32个新勒索软件样本，并出现了33个勒索软件的新变种。安全专家发布了9款勒索软件的解密工具，他们的工作还是很有成效的，但是，与出现的速度相比，还有很大差距。 下面我们按照时间，来具体说明每天发生的勒索事件、及反勒索事件。 12月1日 Matrix勒索软件首次出现，并使用了GnuPG加密系统 研究人员在实际环境中发现了一款新型勒索木马，叫做“Matrix”，它使用开源的GnuP…

美国大型三方电竞平台ESEA通过推特公布，12月30日遭到了黑客的失败敲诈勒索尝试攻击。预计目前有150万条数据记录被泄露，估计有百万名玩家或许可能遭到影响。由于泄露的数据记录为加盐加密哈希值，目前玩家数据可能并未被利用，但是用户请尽量更新更加强的密码，并且注意钓鱼式攻击。 其泄露的数据包括许多注册信息，如注册日期、城市、州或省、最后一次登陆、用户名、真实姓名、电邮地址、生日、邮编、电话、网址、Steam ID、Xbox ID和PSN ID等等。尽管这些用户数据均可能面临泄露，但是密码并未存储在服务器的数据记录中，…

机器人无疑是2016年科技界最火热的话题。就在刚刚过去的2017 FreeBuf互联网安全创新大会HACK DEMO环节上，数千名现场观众目睹了一场令人脑洞大开的机器人“物理入侵”案。 薛恩鹏网名烧鸡，是一名来自哈尔滨理工大学的大三学生。谈及这次演示的创意，就来自每个人学生时代都萌生过的一个美好愿望：要是我能在考试之前看到卷子就好了。 如何实现“密室入侵” 最开始的设想 当一个派送错误的快递箱静静的躺在老师办公室的某个角落… 夜幕降临，老师陆续下班，在夜深人静的办公室，纸箱自己打开，出来一个机器人，靠近老师的电脑主…

About 3xp10it 3xp10it是一个自动化渗透测试框架,目前没有做到完全自动化[自动上传漏洞利用框架和自动fuzz框架暂时没有加入。 b)支持功能列表 高危漏洞扫描模块 爬虫模块 目标网站脚本类型检测 目录扫描模块 sqli扫描模块 robots/sitemap自动收集 cms识别与cms漏洞扫描模块 自动识别管理员页面并爆破[支持自动识别简单验证码] webshell自动查找与爆破,支持asp,php,aspx,jsp,支持chopper一句话webshell和大马类型webshell a)apach…

* 本文作者：雪碧 0xroot@漏洞盒子安全团队 0×00 引子 近年来，随着云计算、物联网技术的快速发展，物联网的理念和相关技术产品已经广泛渗透到社会经济民生的各个领域，越来越多的穿戴设备、家用电器通过蓝牙、Wi-Fi、Li-Fi、z-wave、LoRa等技术接入互联网，成为联网的终端设备。 但是由于这些技术普遍为短距离无线通信技术，通常被设计用于室内和短距离使用，在室外尤其是非视距下性能表现非常差，而作为现有成熟的GSM(Global System for Mobile Communication)技术，因其…

今天，网上曝光支付宝“熟人可以修改登录密码”的“漏洞”。据说“陌生人有1/5的机会登录你的支付宝，而熟人甚至100%可以登录你的支付宝”，而且登录方式并没有什么技术含量。针对此事各个社区已经讨论炸锅，毕竟人们对支付宝的依赖非其他普通应用可比。 不过这个问题到底算不算漏洞，还有待讨论。即便这个所谓的“漏洞”如此粗糙，却的确存在危害性——支付宝修改密码的业务流程还是需要优化。 按图索骥，小编也测了下 重置支付宝登录密码的整个过程其实非常简单，小编只花了几十秒就按照网上的“教程”全程操作了一遍： 1. 打开支付宝App登…

近期，安全研究人员在Github上发现了疑似俄罗斯黑客团体Fancy Bear使用的网络攻击相关源代码程序，这些程序用于攻击端与受害端的通信控制。通过分析发现，黑客使用了Gmail邮箱进行加密信息的接发交流。而据源码分享者表示，这些文件是在黑客的某台C&C中转服务器上发现的。 程序源码Github https://github.com/rickey-g/fancybear 源代码语法信息 程序评论都是英文，但有很多语法错误； MailServer.py文件中，涉及的某封电子邮件主题为电子邮件主题为“pira…

美联邦贸易委员会（FTC）于上周四控告台湾友讯集团（D-Link），称其生产的路由器和网络摄像头存在安全漏洞，用户面临被黑客攻击的风险。 诉讼文档 据旧金山联邦法院收到的指控称，D-Link多次未能采取合理的安全措施确保设备安全，其产品存在的漏洞使得黑客可以远程监控用户活动，并进一步实施盗窃等犯罪行为。但FTC在本次诉讼中并没有提供任何关于D-Link设备已被黑客攻陷的事实，只是分析了用户受到上述攻击的可能性。 当然，D-Link正藉此予以反驳。他们否认FTC的所有指控并认为他们毫无依据。 立场强硬的FTC 据悉，…

在美国情报机构详细说明俄罗斯黑客如何干扰2016年美国大选之后，英国宣布调查其自身网络安全。英国希望确保它不会受到影响美国2016年总统大选的网络攻击。星期一，英国国家安全战略联合委员会宣布，它正在审查国家的网络安全。 委员会主席玛格丽特·贝克特在一份声明中说，“网络安全对国家安全的影响是一个日益引起关注的问题。最近，各国将注意力集中在其他国家和相关行为体，为了政治目的发动的网络攻击上。” 两天之前，美国情报机构详细说明了俄罗斯在美国总统选举期间的黑客行为，并指责俄罗斯总统弗拉基米尔普京下令进行网络攻击，竞选影响结…

“太可怕了，三年前注册了一个12306网站的账户，现在却发现账户被人盗用，常用联系人里绝大部分都是不认识的人。”市民潘小姐非常震惊，自己三年没用的账户，竟然被黄牛拿去刷票了，而且向铁路部门、110反映，也找不到原因。随着春运大幕开启，一些不常购票的市民发现他们“沉寂已久”的12306账户信息中出现了一个甚至多个素不相识的人：为什么黄牛会盯上这些“沉寂”的账户，这些账户又通过怎样的渠道落入黄牛手中？ 无法删除陌生人信息 1月6日，之前在国外读书的潘小姐尝试在12306网站购票。“账户三年前就注册了，但一直没用过。这次…

E安全1月10日讯 研究人员Dylan Ayrey发布工具，帮助管理员深入研究GitHub Commits，找到高熵密钥。这款工具名为“TruffleHog”，能通过Github定位高熵密钥，从而避免管理员暴露他们的网络和敏感数据。 TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击（Pastejack Attack）。他表示，这款工具将定位任何超过20个字符串的高熵密钥。 Ayrey表示，“TruffleHog”通过Git存储库搜索高熵字符串，深入挖掘提交历史（Commit Histor…

E安全1月10日讯 上周五，美国能源部发布第二份四年能源评估报告《改造国家电力系统》（Transforming the Nation’s Electricity System）。能源部在报告中警告称，美国电力基础设施面临“迫在眉睫”网络攻击风险。 美国能源部指出，虽然能源网的技术进步为提供能源带来更具动态、可靠、高效的系统，但同时也使得现有网络进一步集成。能源部在四年能源评估（Quadrennial Energy Review）上表示，由于实现了集成，安全性需要提高。美国的大多数能源网归私营企业所有，并由他们运营。…

美国食品和药物管理局(FDA）近日发出警告：确认心血管设备生产商圣犹达医疗（St Jude Medical）的部分产品存在网络安全性问题，其生产的特点型号起搏器和心血管仪器产品极易被黑客侵入。此前浑水发布做空报告称公司产品存在网络安全性问题，而信息安全研究员工也早已警告此类问题，在今年九月FDA计划彻查心血管设备生产商St Jude的产品安全性问题。而现在是首个由FDA发出的正式警告，这或将对圣裘德医疗的股价产生极大影响。 FDA指出，脉冲发生器/起搏器可以被经过恶意修改的St Jude自家的数据传输器Merlin…

绿盟科技发布了本周安全通告，周报编号NSFOCUS-16-39，绿盟科技漏洞库本周新增30条，其中高危9条。本次周报建议大家关注 MatrixSSL 堆缓冲区溢出漏洞 ，目前，此漏洞已经公布了一段时间并且官方已经进行了修复，强烈建议仍在使用受影响版本的用户进行升级。 焦点漏洞 MatrixSSL 堆缓冲区溢出漏洞 NSFOCUS ID  35726 CVE ID  CVE-2016-6890 受影响版本 3.8.5 漏洞点评 MatrixSSL是SSL/TLS的开源实现，主要应用于嵌入式系统中。由于MatrixSS…

师傅银行木马是一款Windows恶意程序，在 2015 年首次发现。师傅基于 Shiz 源代码构建，使用了 Zeus 所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据，最早在俄罗斯，后来日本、英国、 意大利和其他国家也发现了它的身影。 Arbor Unit 42 研究发现，师傅作者已经在 2016 年更新了这个银行木马恶意软件。师傅银行木马现已加入多个新技术，用于感染更多的计算机，同时规避微软 Windows 系统的检测。其中包括︰ CVE-2016-0167 Microsoft Windows 权限提…

比特币硬件钱包公司 KeepKey 创始人悬赏 30 比特币寻求线索逮捕黑客。该黑客入侵了 CEO 的电子邮件账户，并通过账户窃取了部分机密信息。 事件发生在 2016 年圣诞节，KeepKey 公司首席执行官 Darin Stanchfield 在博文表示，黑客入侵了他的工作邮件账户和智能手机账户并重置了相关联账户的密码。黑客访问了公司部分机密信息，包括销售分销渠道、运输和物流方面的供应商、以及营销软件电子邮件帐户，这意味着黑客可以借此访问部分用户数据如客户地址、电子邮件和电话号码。 黑客与公司工程师通过电话取得…

外媒援引《纽约时报》报道称，苹果和谷歌被要求分别从俄罗斯的 App Store 和 Google Play 商店中下架 LinkedIn 应用。就在几个星期前， 俄罗斯作出了阻止公共访问职业社交网络 LinkedIn 的决定，一家俄罗斯法院维持在俄罗斯境内禁止 LinkedIn 的裁定。 《纽约时报》在报道中指出：“在俄罗斯法院作出这家职业社交网络违反当地历史数据保存法规的裁定几周后，俄罗斯当局要求苹果和谷歌从 App Store 和 Google Play 商店中下架LinkedIn。”俄罗斯相关法律规定，在俄罗…