作者:phithon 在C语言里有一类特别有趣的漏洞,格式化字符串漏洞。轻则破坏内存,重则读写任意地址内容,二进制的内容我就不说了,说也不懂,分享个链接 https://github.com/shiyanlou/seedlab/blob/master/formatstring.md Python中的格式化字符串 Python中也有格式化字符串的方法,在Python2老版本中使用如下方法格式化字符串: 1 2 "My name is %s" % ('phithon', ) "My name is %(name)%" …
毫不夸张的说,自特朗普竞选以来,特别是在他成功赢得大选之后,特朗普的推特@realDonaldTrump一直都是不断炮轰各个公司,打到谁的身上谁就股价大跌。对特朗普Twitter知乎上有网友评论 一般来说公众人物的社交媒体会有专门的团队来维护管理,希拉里就是一个例子。 但是。。。特朗普的推特是什么鬼? 他的推特风格十分魔性。 总结一下有三个特点: 更新频率快,和小学生刷空间有一拼。 文风简单粗暴,基本以叹号结尾,有的单词拼不对,小学生写作水平 内容莫名其妙,却频频应验,让人心里发毛 虽然特朗普的全球推特粉丝已经有1…
由于今年的春运客流量依旧很大,火车票预售期又缩短了一半,不少热门线路车票仍然紧张。近两年,随着互联网购票的普及,黄牛越来越少,一些互联网的有偿抢票服务却开始兴起。 多个互联网平台推出有偿抢票服务 据初步统计,目前市面上有近 60 家第三方平台公布了抢票软件。当地记者在手机上随机下载了五款不同的购票 APP,进入购票环节后发现,这些抢票功能基本都会带上不同的加价套餐,价钱越贵抢票速度越快,如果使用免费抢票,则会提示成功率较低。 事实上,用户无法确定加价和成功率的线性关系。抢票软件的客服人员只表示,加价只是增加成功几率…
MalwareHunterTeam 的安全研究人员发现,勒索软件变种 FireCrypt 自带了某些新功能,允许攻击者发动小规模的 DDoS 攻击。 勒索功能 一旦,恶意 EXE 文件被触发,FireCrypt 将杀死计算机的任务管理器( taskmgr.exe )并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名。加密完成后会索要 500 美元赎金。FireCrypt 和勒索软件 Deadly 源代码很相似,都使用源代码的电子邮件和比特币地址,很有可能…
安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞,PHP代码审计大家比较熟悉了,Java代码如何进行安全审计呢?本期邀请到孙爱萍小伙伴为大家分享Java代码审计。 关于分享者: 孙爱萍是京东高级安全工程师,有着多年的Java代码审计经验,参与京东代码安全审计平台建设。 >>>1<<< 豌豆妹 Java的漏洞出现的原因是什么? 小丸子 1、程序员编码不当,编码时未考虑安全性。例…
估计当今世界上不会有第二家公司,比曾经大名鼎鼎的互联网巨头雅虎更懂得“后悔药”的滋味:2008年,当时的雅虎在最“时髦”的业务———搜索引擎领域稳居第二;在传统的电子邮箱业务上也保持领先。此外,手里还握着个当时被认为是“摇钱树”、前途无量的USdisplay,“除了缺流动资金别的问题不大”,就连当时红遍天下的新当选总统奥巴马,也不敢对雅虎这个“IT界老江湖”有半点不恭之意。然而就在这一年,雅虎的创始人、时任C EO杨致远却轻蔑地拒绝了微软470亿美元的打包收购要约,理由是“小瞧了我们雅虎”,当时雅虎最高峰市值125…
前言 近日,大量互联网用户发现:Google巴西官网(www.google.com.br)无法正常访问,该主页域名已失效。具体说来,当用户输入该域名后,浏览器会显示其他无关网页,而非Google巴西官网主页。因此,很多用户猜测Google巴西官网很可能遭到了黑客攻击。那么,事情的真相是怎样的?Google巴西官网是不是真的遭到攻击了呢?下文将会给出详细解答,让我们来一探究竟吧。 综述 两天前,我和我的团队成员接连看到了很多关于Google巴西官网域名失效的新闻报道,发现有很多用户都留言表示,他们均遇到了这一问题。起…
著名黑客CyberZeist最近入侵了FBI网站(FBI.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。 【1.6 更新】黑客宣称攻破FBI官网利用的是Plone CMS系统的0-day漏洞。然而在这则消息放出后,Plone坐不住了,其安全团队特别发布了一篇博客文章,表示:这件事情与我们根本无关,绝对是栽赃!具体是什么情况,请往下看。 FBI官网被黑,数据泄露…
美国联邦贸易委员会(FTC)周四向旧金山联邦法院起诉(PDF)台湾友讯科技(D-Link),FTC指控D-Link的路由器和网络摄像头让数以千计的消费者面临被黑客攻击的风险。FTC在起诉书中称,被告屡次未能采取合理的软件测试和防治措施保护路由器和网络摄像头免受已知的容易预防的安全漏洞,如硬编码用户凭证等后门,以及命令注入漏洞,这些漏洞允许远程攻击者控制消费者的设备。FTC还指控D-Link以明文的方式储存用户登录凭证。 如果此文章侵权,请留言,我们进行删除。0day
全球最强大的自媒体,就非特朗普的个人Twitter账户 @realDonaldTrump莫属了。特朗普当选后,其Twitter账号已经撼动市场,执行影子外交政策,并为全球媒体的焦点打开了新世界的大门。然而如果没有特殊的安全保护措施,特朗普的Twitter很可能被利用来谋取金钱利益,威胁地缘政治稳定,甚至更糟。如果一个推特账号只是关注花边新闻或者是健康养生,那被盗被黑都无所谓。然而特朗普的影响力,加上他推文的不可预测性,使其Twitter账户将是黑客的心仪目标。 140单词撼动市场 他曾发布核扩军言论引发铀矿股大涨,…
2016年,互联网似乎成为了一个新的战场。在过去的一年里,各种各样极具破坏力的网络攻击活动给全球的各行各业均带来了巨大的损失,其中金融机构、政府部门和技术领域受影响最为严重。 过去一年中出现了很多此前从未出现过的精英黑客组织,这些黑客团伙正在全球肆虐,并引起了安全届的一片恐慌。某些黑客组织利用大量的恶意流量对科技巨头发动了大规模DDoS攻击,而有些组织则尝试通过长期的网络间谍活动来推翻某些政府政权,而有的则企图通过网络攻击来破坏国家基础设施。 新年伊始,Freebuf将带领各位同学回顾一下2016年最顶尖的五大黑客…
本周梗概 究竟是何方神圣,不仅入侵了FBI网站,并将泄露资料公布在了Pastebin;在上周FBI和DHS发布联合报告, 奥巴马对俄罗斯涉嫌干预美国大选进行制裁之后,安全专家们却有不同的看法;汇总CVE数据的网站出炉了2016年度CVE Details报告,Andriod系统以漏洞数量榜首。 观看视频 https://v.qq.com/x/page/r0363wkut52.html * 本文作者:coco,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM) 如果此文章侵权…
1月5日,美国情报机构高级官员在国会参院听证会上共同签署的一份声明内容,该声明指出,俄罗斯黑客在美国大选期间对美发动了黑客攻击,攻击目标包括民主党全国委员会在内的美国政府组织、重要基础设施和其它企业。但声明也认为,俄罗斯黑客活动并没有改变美国票数统计或干预投票过程。 三位情报机构官员联合表态 美国国家情报总监克拉珀(James Clapper)、国家安全局长罗杰斯(Michael Rogers)以及主管情报的国防部次长莱特(Marcel Lettre)一致表示,经过评估,针对美国大选的相关网络攻击行动是经俄罗斯最高…
E安全1月6日讯 神秘黑客入侵了未经保护的MongoDB数据库,盗取了数据库内容,并索要赎金作为返还数据的筹码。 GDI Foundation公司(保护互联网安全的非盈利组织)的联合创始人Victor Gevers警告MongoDB安装程序的安全性能差。Gevers发现攻击者清除了MongoDB 196个实例,并以此索要赎金。黑客“Harak1r1”(网名)目前要求对方支付0.2比特币(大概200美元)还原安装。攻击者还要求系统管理员通过电子邮件证明安装的所有权。 如此看来,这名黑客的目标是MongoDB安装包,他…
在美国,任何方面的紧急情况都可以拨打911,民众对警察的依赖性也非常大,所以911报警电话对美国人民的重要性不言而喻。但是,一种可让911瘫痪的新型攻击已经出现,美国几位专家的研究解释了攻击者如何利用系统的漏洞发动攻击,证明了这些攻击可以对公共安全产生极其严重的影响。 近年来,人们对一种称为“拒绝服务”的网络攻击有了越来越多的了解,该种攻击可以导致网站流量超出负荷——流量通常由大量被黑客劫持并互相感染的计算机产生。这种情况一直在发生,并对金融机构、娱乐公司、政府机构乃至关键的互联网路由服务造成了影响。 可以对911…
2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》,再次强调了态势感知的重要性。“十大任务”中的最后一项,健全网络安全保障体系,提出”全天候全方位感知网络安全态势”,与习近平总书记在419网络安全和信息化工作座谈会上的讲话一致。 从习总书记419讲话,到《网络安全法》出台,再到《“十三五”国家信息化规划》,“态势感知”几乎成为了网络安全的基础词汇,人人需知。然而,对于态势感知的概念,安全圈内外仍存在很多误解。 今天,安全君梳理了态势感知的“身世来历”,和大家在谈及、使用这个概念时的几大误区,希望能…
阿桑奇创办的维基解密网站(WikiLeaks)曾先后公布了美国外交文件及希拉里竞选团队主席约翰·波德斯塔(John Podesta)秘密邮件。而近日维基解密宣布,他们正在考虑建立一个能够追踪已验证Twitter用户的个人详细信息,例如政党、家庭成员及财务等信息的数据库。 “维基解密特别工作小组”(Wikileak Task Force)”当地时间周五发推文表示:“我们正在考虑打造一个包括所有‘已验证’Twitter账户&他们的家庭/工作/金融/住房的关系的在线数据库。”该小组随后在另一篇推文中说道:“我们正…
E安全1月5日晚间讯 美国华盛顿当时时间2017年1月5日,美国参议院军事委员会举行的“外国针对美国的网络威胁”听证会上,美国国家情报总监詹姆斯·克拉珀(James Clapper)、国安局局长迈克尔·罗杰斯(Michael Roger)上将和的国防部负责情报的副部长马塞尔·莱特(Marcel Lettre)出席作证。詹姆斯·克拉珀向参议员表示,美国情报机构没有办法衡量俄罗斯入侵对选举结果的影响。 相关阅读:美国情报机构:无法判断俄罗斯黑客对美国选举的影响 随后詹姆斯·克拉珀、迈克尔·罗杰斯和马塞尔·莱特三人共同发…
近期物 联网恶意软件Mirai 持续利用 视频监控系统发起DDoS攻击 ,迫使许多企业、研究机构及政府开始关注物联网安全问题。而这其中物联网设备的安全性问题,更是引发 国际云安全联盟的关注 。就这个问题,非营利性研发组织MITRE向研究人员抛出了一个挑战,谁能给出脆弱物联网设备非传统检测方式,就可以赢得5万美元大奖,个人企业主、想展示才能的校园团队以及想在物联网市场上扬名的小公司都可以参加。 物联网安全性事件越来越多 物联网市场将在今后十年内快速膨胀。目前,全球已有65亿至80亿的物联网设备连接到了互联网上,预计该…
本周绿盟科技发布政府行业资讯周报,该周报为绿盟科技政府行业专家结合多年政府行业工作经验打造,着重关注政府行业重要安全事件。如下为报告全文: 2016年黑客攻击事件大盘点 今年是历史级黑客攻击事件频发的一年。延迟公布案例的增加,使得今年的数据泄露事件达到近3000起——波及超过22亿份档案。而这一年还没有结束呢。随着年底日益靠近,黑客攻击事件仍没有要停息的迹象。下面就来回顾一下今年以来所发生的最严重的17起黑客攻击和数据泄露事件。 http://tech.163.com/photoview/0AI20009/1384…
安全加几天前给大家展示了 wifi pineapple让你看看黑你有多容易 ,文中提到了个人在无线环境中尤其是面对机场的免费wifi的时候,应该从如下方面保护个人信息,包括: 在使用电脑连接wifi时 将网络归类为“公共” 确保连接的是航空公司的官方网络 警惕键盘记录器 使用强密码 使用VPN 在电脑上安装杀毒软件 使用防火墙 使用防间谍软件 拦截跟踪软件 提高警惕 这些措施面对下面这两个利器的时候,会有用吗? 安卓无线渗透利器:Hijacker Hijacker 是一个安卓平台下的无线渗透工具。它的功能非常强大,…
2016在朋友圈挥手告别之后,紧接着就是 2017春运抢票抢火车票 !!!12306当然不会忽略安全问题,当我们打开12306网站界面时,就会出现一行红字: “为保障您顺畅购票,请下载安装根证书。” 中华大地又到了每年春节抢火车票的季节 一般这时候大家见面都不问:嘛呢?吃了么?而是当头一句:回家的票你抢了么?如果这几天你身边的同事在上午10点到12点半左右,捶胸顿足,痛苦哀嚎,不用问,票没抢着!尤其是北上广深打拼的远方游子,春运的票不是你想买,想买就能买啊~ 数据显示,春运售票每天PV超400亿次,14亿人民的刚需…
安全研究员 Michael Gillespie 发现了 Koolova 勒索软件正在开发的新变种,该勒索软件要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥。两篇文章分别是 Google 安全的博客的“ Stay safe while browsing ”,以及 BleepingCompute 的“ Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom ”, Koolova 勒索软件会展示一个倒计时,…
HackerNews.cc 本月 2 日消息,自称“匿名者”的黑客组织成员近日入侵、篡改了维多利亚人权委员会网站,并在页面留下一长段文字“介绍”匿名社交平台 “ AnonPlus ”。匿名者辩解其“并非犯罪组织( non-criminal )”,行动的目的是宣扬互联网言论自由、帮助人们逃离腐败机构对信息的审查、揭露统治者编造的虚假事实。黑客强调此次入侵“只篡改了网站页面,没有盗取或删除数据”。维多利亚人权委员会官方也表示:网站没有存储任何个人资料,所以没有用户数据被泄露。 网站修复期间,维多利亚人权委员会已在 Tw…
据今日美国报道,美国空军参谋长 David Goldfein 表示,军方准备给当选总统唐纳德·特朗普提供建议:加强打击伊斯兰国家,包括授权指挥官对伊斯兰国发动秘密网络战、使用太空武器。 美国军方在网络和太空领域的作战能力一直是机密内容,每次都需要经政府最高层批准才能使用。目前军方有能力使用网络武器关闭恐怖分子的网站并干扰通信,但授权此类攻击也须极度谨慎小心,因为攻击很可能会干扰预定目标之外的合法网站和服务器。早在去年 5 月,美国国防部长卡特就督促军方使用网络空间武器攻击伊斯兰国,但卡特拒绝说明如何攻击。不过,美军…