很多人信赖麦当劳的汉堡,但是你别太指望其网站能够保障用户密码的安全。来自荷兰的独立软件工程师 Tijme Gommers 发现,这家快餐连锁企业的主站(McDonalds.com)上存在一个仍然活跃的漏洞,可被攻击者利用来获取用户敏感信息。Gommers 在博客中解释到:该漏洞归咎于输入环境的疏忽(本该是一项标准的保护措施),别有用心的人可以借其抓取用户的登录凭证等敏感信息。 由于麦当劳官网直接用 cookies 来保存用户密码,该漏洞可被用来存储用户的密码口令,使得攻击者能够轻松“恢复”出这些详情。 该漏洞仅影响…
引言 最近,火眼(FireEye)实验室发现了针对Netflix(一家在世界多国提供网络视频点播的公司)的一种新型网络钓鱼攻击,该攻击旨在窃取用户的信用卡数据和其他个人信息。 该新型攻击的精妙之处在于攻击者采用的逃避技术: 钓鱼网页托管在合法但被攻破的Web服务器上。 客户端HTML代码通过AES加密进行混淆,以逃避基于文本的检测。 如果用户IP地址的DNS解析到谷歌或PhishTank(反钓鱼网站)之类的公司,则不向该用户显示钓鱼网页。 攻击流 攻击者先发送电子邮件通知,要求用户更新其Netflix…
前言 找到一个特定类别漏洞两个关键组成部分:对漏洞的认识和找到漏洞的难易。 跨站脚本包含(XSSI)漏洞在事实上的公共标准即:OWASP TOP 10中并未被提及。 另外并没有公开的利用的工具来促进找到XSSI。它的影响范围从泄露个人存储信息,基于TOKEN的协议的规避到完成帐户的妥协(猜测意思是应该绕过登录)。 XSSI漏洞相当广泛, 由于检测手段的缺失增大了每一个XSSI漏洞的风险。 在这篇文章中我将演示如果找到XSSI,利用XSSI和如何防护XSSI漏洞。 背景知识 这一部分是来讲清楚源和同源策略(SOP)的…
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-02,绿盟科技漏洞库本周新增40条,其中高危25条。本次周报建议大家关注 Microsoft Edge远程权限提升漏洞 ,目前,微软公司已经发布了修复补丁程序。用户可通过Windows Update自动更新功能更新存在漏洞的旧版本程序,也可以到微软官网下载更新补丁升级。 焦点漏洞 Microsoft Edge远程权限提升漏洞 NSFOCUS ID 35738 CVE ID CVE-2017-0002 受影响版本 Microsoft Edge 漏洞点评 M…
警方逮捕了两名黑客,控告他们入侵政客、律师、企业家和共济会成员邮箱,同时控告他们长期从事网络间谍活动。在查获的服务器资料中,可以看到他们窃取的数据被细致地归档为120多类,其中BROS类包含某共济会会所的邮件,POBU类包含政客相关邮件,而用于进行鱼叉攻击的EyePyramid恶意软件在中国境内也有分布。 意大利警方逮捕的这两名黑客是一对姐弟,朱利奥(Giulio)和弗朗西斯卡·玛丽亚·奥基奥内罗(Francesca Maria Occhionero),他们被控长期从事网络间谍活动,其目标锁定意大利政客、律师、企业…
上次,安全加给大家介绍了 网络威胁情报信息怎么统一格式 用STIX结构化威胁信息表达 ,好多人在问STIX到底是什么?STIX其实就是结构化威胁信息表达的英文缩写,STIX是由多人群策群力共同定义和开发的描述网络威胁信息的结构化语言,用于描述各种潜在网络威胁信息,表达准确、灵活,具有可扩展性,可自动化,并易于理解。 STIX的用途 STIX 有以下用途 分析网络威胁 指定网络威胁的指标模式 管理网络威胁防护和响应活动 分享网络威胁信息 威胁情报所面临的挑战 现今,组织须具备“网络威胁情报”能力,作为抵御已识别的网络…
2016 年末,微软决定为 Windows 7 / 8.1 采用新的更新方式 ,从单独而零碎的补丁,换成三种不同的更新包 —— 分别是“月度质量安全更新”、“月度预览更新”、以及“仅安全更新”。从 2017 年 2 月份开始,微软将引入可以帮助该公司减少更新包尺寸、让大多数用户更容易部署的新变动 —— IE 补丁将不再被包含在“仅安全更新”(Security Only)的更新包中。 此举意味着用户需要单独为 IE 浏览器安装安全更新,但是对于那些希望一切都可以自动化完成的用户来说,操作反而变得更加繁琐了。微软解释到…
据外媒报道,上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统,导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS (英国国家医疗服务)信托机构,负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施,而此前关于勒索软件大爆发的消…
安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ,恶意软件已感染了拉丁美洲的 ATM 系统。 2013 年恶意软件 Ploutus 首次在墨西哥被发现,是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件,操作 ATM 系统窃取现金。 FireEye 实验室分析变种代码后发现,新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM…
XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1<<< 豌豆妹 咱们先聊聊XPath注入漏洞存在的原因呗? 恋峰 其实XPath注入漏洞的成因与其他注入类漏洞有相似之处,主要由于系统未对输入内容进…
智能电表中严重的安全漏洞将会继续让用户和电力基础设施暴露于恶意网络攻击的安全风险之中。但更加可怕的是,有些安全专家认为黑客甚至可以直接让这些智能电表爆炸。 智能电表可以让用户更加清楚地了解自家的用电量,而供电局也可以通过智能电表来对用户的用电情况进行远程监控,并随时连接或切断供电。目前,全球范围已经有数百万台这样的设备部署于家庭用户和政府机构中,而专家预计,在接下来的几年时间里,智能电表将会完全取代传统电表。 智能电表中存在严重的安全漏洞 2010年至2012年之间,一些安全专家曾经详细描述过用户在使用智能电表的过…
实际上,就已经结束的美国总统大选,美国政府认定俄罗斯就是在大选期间进行网络攻击、干涉美国大选,甚至让大选结果倾向于川普的幕后真凶——这是去年年末FBI和DHS联合发布的JAR报告所述。最近,这件事的发展可谓异彩纷呈。 FreeBuf的安全快讯对此做了多次追踪报道:本月早前ODNI(美国国家情报主任办公室)发布《针对近期美国大选中俄罗斯活动与意图的评估》报告,直指针对美国大选进行干涉的黑客行动就是普京“下令”发动的。 上周CNN报道称,美国一份机密报告再曝大量爆炸性消息:俄罗斯黑客手持有相关川普的敏感信息,包括川普的…
特朗普网络安全顾问 Rudy Giuliani 的网站Giulianisecurity.com(域名停止解析,但服务器IP地址可以直接访问209.238.99.227) 被发现安全性极差,安全研究人员认为“你或许也能黑进网站的服务器”。 Giuliani 的网站运行的是2012年发布的内容管理系统 Joomla! v3.0,没有更新,该版本已知存在15个安全漏洞,其中部分漏洞可被利用通过简单的 SQL注入入侵服务器。 服务器运行的是非常古老的FreeBSD版本,2007年发布的 OpenSSH 4.7。 如果此文章…
如今,微信扫码免费打印照片随处可见,但有不少市民反应,扫个二维码,就莫名其妙被“圈粉”,甚至账号被盗……“捆绑”链接暗藏巨大风险。二维码营销作为新生事物,法律边界在哪里?一旦受到侵害,消费者合法权益如何保障? 门诊问题:扫码免费打印照片遭遇陷阱,消费者如何维权? 门诊专家:北京大成(南京)律师事务所律师陈华,北京大学法学院博士生,徐俊 专家观点: ◇微信扫码免费打印照片暗藏着被恶意营销、个人隐私泄露、财产遭受损害的风险。 ◇二维码营销属于新生事物,具有自身的特点,司法实务中对违法二维码链接行为的监管和惩处难度较大。…
工具简介 这款名叫“Truffle Hog”的免费开源工具可以帮助开发人员检测自己在GitHub上发布的项目代码是否意外泄漏了密钥。 Truffle Hog是一款采用Python开发的工具,它可以检索GitHub代码库的所有代码提交记录以及分支,并搜索出可以表示密钥(例如AWS密钥)的高熵字符串。 运行机制 该工具的开发者Dylan Ayrey解释称: “Truffle Hog会检索代码库中每一个分支完整的代码提交记录,而且也会检查每一次提交的git diff信息,然后对每一个长度超过20个字符的base64字符集…
昨天一条朋友圈的文章被刷屏了,国内身份认证服务产品洋葱即将全部停止服务,在洋葱服务的官网上发布了来自CEO奶罩的公告,公告中最后奶罩的总结是: I never said it would be easy, I only said it would be worth it. 企业身份认证服务的大方向是没错的,可能是时间和产品形态目前这个阶段不对。 笔者作为洋葱服务CEO奶罩的前同事,对洋葱的关闭深表遗憾,奶罩作为国内最为成功DNS服务商DNSPOD的创始人,把DNS服务做到了极致,最后通过资本运作体现了其产品的价值,…
大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google Chrome 等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。以后遇见同样问题,它将自动填充。 然而,事实证明,攻击者可以利用这项功能将你的隐私信息泄露给攻击者或者恶意的第三方。 芬兰的 Web 开发者和白帽黑客 Viljami Kuosmanen 在 GitHub 发布了一个 Demo,展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。 尽管这个诡…
E安全1月16日讯 如果黑客能黑进无线电,并不能说明这件事情就轻而易举:解码0和1的信号之前,要将信号格式化需要执行多个步骤。 在ShmooCon黑客大会上,Paul Clark介绍了一款RF反向工程工具,名为“WaveConverter”,这也许算是无线电领域最有趣的工具之一。 如果欲入侵RF系统,读取胎压监测器、汽车钥匙、车库门开门器的数据,或家用安全系统传感器的信号,每次攻击都需要执行重复的动作。首先是捕获信号(可能通过软件定义的无线电);之后将这些数据导入GNU Radio,那么必须弄清楚调制、分帧和解码;…
E安全1月16日讯 美国海军陆战队(US Marines)司令罗伯特·纳勒(Robert Neller)上将想招募约3000名精通网络战和间谍的人才,以确保陆战队为21世纪的网络战做好充分准备。 上周四,罗伯特·纳勒在美国海军水面舰艇协会(Surface Navy Association,SNA)年会上表示,他希望下一年国防拨款法案将海军陆战队人员从182,000人扩编至185,000人,扩编的人员将加强网络和电子战能力。 美国海军陆战队网络司令部现有约1000名军事人员和文职人员。他表示,人员需求旺盛。这可能意味…
2016年是历史级黑客攻击事件频发的一年,数据泄露、DDoS攻击、黑客事件和威胁持续占据媒体头条。 随着越来越多的知名企业成为数据泄露的受害者(据网易科技报道2016年数据泄露事件达到近3000起——波及超过22亿份档案。),各家企业非常愿意支付可观年薪吸引各个层次的最好、最睿智的IT安全专业人才,企业用他们的预算散发出这一信息:上不封顶。 现在的高等教育已经开始设立网络安全专业,但实战型人才的养成,还需要更多社会机构的参与,提供更多实战场景训练作为补充和提升。 目前国家相关机构提供的认证培训可以极大程度地为申请人…
根据TorrentFreak网站报道,色情内容盗版者利用YouTube众所周知的漏洞上传并且分享色情视频,他们利用谷歌YouTube服务器存储色情视频,并且是完全免费。 本质上来说,色情内容盗版者利用YouTube上传内容不公开分享的漏洞,使得他们能够有效地在其网站上嵌入存储在Youtube上的视频,并绕过谷歌的Content-ID移除系统。这意味着尽管上传的色情内容未在Youtube上公开,但是仍然存储在YouTube上,并使用GoogleVideo.com域名直接进行服务。 色情内容生产行业已经注意到这个问题,…
一名俄罗斯官员最近表示,俄国每天会遭遇数百次甚至数千次的网络攻击,其中一部分来自美国。当美国方面声称俄国试图利用网络攻击干扰2016年总统大选时,俄罗斯联邦安全会议秘书长尼科▪帕特鲁舍夫则表示俄罗斯自身也是黑客攻击的一个主要目标。他还在一份公开声明中称美国对俄罗斯的指控还无根据,缺乏真实性。“奥巴马政府指控俄罗斯进行黑客攻击,却没有给出任何证据。 他们还故意无视这一事实,那就是世界上的所有主要互联网服务器都在建立在美国国内,并被美国作为保持其主导地位的工具所利用。” 另外,帕特鲁舍夫还称最近俄罗斯所遭遇的网络攻击数…
Windows 10 现在全球台式电脑市场份额已经达到 20% 以上,然而微软面临的挑战是要说服那些 Windows 7 用户升级到 Windows 10 。Windows 7 目前继续成为全世界首选的桌面操作系统,第三方数据显示,它的市场份额仍然接近接近 50%。 随着 Windows 7 官方技术支持即将在 3 年内结束,微软清楚地意识到,它很可能遇到 Windows XP 情况重演,即尽管有明显的安全隐患,Windows XP 大量用户拒绝升级。为此,微软已经开始新一轮攻势,微软德国分公司在一篇博客文章当中…
据外媒报道,底特律三大汽车制造商遭黑客入侵,雇员的姓名、社会安全号码等个人信息泄露。 当地媒体称,通用汽车( General Motors )已经告知员工数据泄露的详情。此前通用公司发现员工的姓名和社会安全号码泄露,并被用于进行失业救济欺诈申请。12 月 31 日,通用汽车公司意识到数据泄露并开始告知员工详情,但是,公司尚且没有调查清楚具体泄露数据的量级。 除了目前已知的通用汽车公司,媒体称另外两大底特律汽车制造商也可能遭黑客入侵。福特和克莱斯勒公司目前依旧“保持沉默”没有做出任何回应,但是,通用汽车告诉员工称:这…
近日欧洲理事会( European Commission )提议修改目前对 Cookies 访问加以限制的草案,试图在用户隐私和网络广告商利益之间取得最佳平衡。 欧洲各国政府普遍认为,个人隐私是法律赋予个人的权利,并采取了相应的法律手段对消费者网上隐私权加以保护。欧盟委员会副主席安德鲁斯称应减轻目前“过于严格( overload )”的 Cookies 限制法令,同时他希望用户能够获得更多对 Cookies 的自由控制,而不用每次都需要点击强制的同意使用确认条,来浏览网页。 据 BBC 报道,新的修改提案的主题思想…