据外媒报道,现在,数据隐私问题和安全问题俨然已经成为了美国政府和互联网公司争论的主要焦点之一。日前,谷歌再度用实际行动表明了自己的立场,获悉,该家公司再度在官方安全博客上谈到了其自2012年开始向用户发出发现疑似政府网络攻击的提示。 一年前,为了让用户能够更加清楚地了解到这点,谷歌对通知方式进行了调整,它取消了那种可能不大为用户注意到的警告小弹窗。 由于大部分用户都很少留意到这样的警告,于是谷歌此次再度谈了谈这种攻击,另外它还解释道:“这种通知并不是说账号已经被攻击或出现了一个大面积攻击。更准确地说,这种通知反映的…
2017.03.24 来源:阿里 安全事件 摘要: 3月24日-25日,阿里云先知白帽大会将在北京金隅喜来登酒店举行。 3月24日-25日,阿里云先知白帽大会将在北京金隅喜来登酒店举行。会上国家信息技术安全研究中心(以下简称“技术中心”)二处副处长曹岳将分享开放式安全测试平台的理念,总结平台两年的发展历程,并对未来进行展望。开放式安全测评平台致力于解决因攻防分裂导致的攻防不对称,通过开放攻击和防守的能力,提升互联网的安全对抗水平。 期间技术中心将与阿里云先知平台联合发布可信众测。阿里云先知平台具有多年…
“ 2017 中国网络安全国际峰会”于 2017 年 3 月 2 日至 3 日于北京海航大厦万豪酒店举行,本次论坛针对即将施行的中国网络安全法的重要意义,网络安全法对企业的挑战,以及其他诸多信息安全热点话题进行了热烈且深入的探讨。 在互联网+的国家战略驱动下,社会和企业都面临着前所未有的机遇,数字化转型、大数据、云计算、移动互联、物联网已经成为所有人关注的热点。然而机遇往往与挑战并存,社会的信息安全意识和企业的信息安全建设都还比较薄弱,随着信息技术的飞速发展,社会和企业将面临巨大的信息安全风险。中国政府于 2016…
上海柯力士信息安全技术有限公司致力于企业网络和信息化安全检测数据分析软件及平台的研发与应用的企业,服务于中国中小型企业的IT运营管理。并获得了上海市科技创业投资集团的连续两轮投资。 “安犬”漏洞管理平台是柯力士公司自主研发的安全系统平台,与上海国际技贸联合有限公司的海盾通用安全服务器战略合作,共同开发四维(4D)一体的超融合“海盾通用安全服务器”。 据悉“海盾通用安全服务器“的4D安全是信息系统全生命周期日常工作的一揽子解决方案。从信息系统开发前的架构设计、符合法规的咨询、源代码的漏洞审计、公安部源代码备案、信息安…
一、概述 我们想介绍一种新的用于代码注入和保持对机器持久化控制的0-day技术,叫做“DoubleAgent”。 DoubleAgent技术可以利用到: 1.任何Windows版本(从XP到WIN 10)。 2.任何Windows架构(X86和X64)。 3.任何Windows用户(系统/管理员等)的任何目标进程,包括特权进程(操作系统/杀毒软件等)。 DoubleAgent技术利用了在Windows中已经存在15年的一个未公开但合法的功能,因此还不能被修补。 代码注入: 利用DoubleAgent技术,攻击者有能…
传送门 【重大漏洞预警】Struts 2 远程代码执行漏洞(S2-045\S2-046) (含PoC) 【漏洞分析】Strust2 S2-046 远程代码执行漏洞两个触发点分析 作者:hezi@360GearTeam 背景介绍 Struts2又爆了一个等级为高危的漏洞---S2-046,仔细一看,S2-046和S2-045的漏洞触发点一样,利用方式不一样。不过也因为S2-046和S2-045触发点相同,所以之前通过升级或者打补丁方式修补S2-045漏洞的小伙伴们就不用紧张了,如果是仅针对Content-Type做策…
据外媒报道,当地时间 3 月 21 日,美国司法部( DOJ )公开了一项针对一名立陶宛网络诈骗者的起诉。获悉,该名诈骗者成功骗过美国两家科技公司让它们向其支付 1 亿美元。涉案者是现年 48 岁的 Evaldas Rimasauskas 。 Rimasauskas 伪装成为一名来自知名亚洲硬件制造商的代表成功骗取对方信任,然后要求后者向在拉脱维亚、塞浦路斯以及其他国家的银行账号汇款 1 亿美元。据了解,DOJ 去年 12 月份就已经对 Rimasauskas 提出指控,不过直到上周才抓到他。 不过在最新公布的这份…
据悉,一个名为“ doubleflag ”的供应商在过去六年内至少从 11 个虚拟货币论坛盗取用户数据信息并在暗网出售。 经 HackRead 报道,BitCoinTalk、MtGox、Bitcoinsec 和 BTC-E 论坛数据信息均被窃取,主要包括用户名、电子邮件地址、电话号码、出生日期、位置和密码等。Doubleflag 声称整套数据大约价值 415 美元(合 0.3817 比特币)。 黑市网站销售记录显示,doubleflag 已成交超过 100 份订单,98% 获得“好评”反馈。目前,此类数据仍在大规模…
美国“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登 21 日说,没有真凭实据证明俄罗斯干预了美国 2016 年总统选举。斯诺登在德国汉诺威消费电子、信息及通信博览会(简称汉诺威 IT 展)期间的一场视频连线采访中说,干预一说看似可信,但“很遗憾我们没能看到联邦调查局拿出真凭实据”。 美国联邦调查局局长詹姆斯·科米 20 日在美国会听证会上首次公开证实,联邦调查局正在调查关于俄罗斯政府干预美国 2016 年总统选举的指控。斯诺登说,即使指控成立也并不新奇,因为美国也曾在过去多次干预他国选举。“如果干预选举…
大数据已然是目前时装零售、设计领域的热门词,电商现在赚取的,不仅是顾客的真金白银,更包括能够窥视其消费行为、心理的数据——然而关键的前提是防火墙要足够牢固,因为一旦数据外泄,可就是闯了大祸了。 位于纽约的萨克斯第五大道精品百货(Saks Fifth Avenue)近来便被卷入了这样一起数据泄露案件。数以万计的注册用户资料以及愿望产品清单被公开至网络上——不光是顾客的邮箱地址和其感兴趣的产品代码,甚至包括部分私人手机号也被摊放到光天化日之下。 被泄露的邮箱地址达到8万个,其中受害者甚至包括效力于美国国家航空航天局(N…
“警匪‘合作’监控政治活动人士及记者邮箱!”据英国《卫报》21日报道,神秘人士匿名检举揭发,伦敦警察情报部门利用印度黑客非法监控数百人的电子邮件。 报道称,伦敦警察情报部门跟印度情报警察“合作”,通过后者找到印度黑客来获取被监控对象的电子邮件密码。检举信还透露,在面临可能遭调查的情况下,涉事警官大肆销毁有关文件,企图掩盖非法监控的事实。 《卫报》透露的检举材料显示,被监控对象中包括倡导环保运动的绿色和平组织成员以及可能参与社会运动报道的“激进”记者,其中就有两名《卫报》记者。匿名检举人提供了10个被监控者的电子邮件…
安全公司Cybellum发现了一个新的零日攻击,使得黑客可以使用存在于所有Windows版本中的漏洞来控制在Windows系统上运行的防病毒软件,这个零日漏洞从Windows XP开始存在,一直延续到最新的Windows 10。该公司今天发布的博客中解释说,大多数主要的防病毒解决方案都受到此漏洞的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo,ESET,F-Secure,卡巴斯基,McAfee,熊猫和诺顿。 这个零日漏洞被称为DoubleAgent,该漏洞利用了微软自己在W…
在微软的愿景中,Edge浏览器是更快、更可靠、更安全的IE继任者,并且在续航等方面具备和Chrome和Firefox等主流浏览器叫板的实力。事实证明Edge和这些浏览器之间还存在差距,至少在安全方面。在本月召开的Pwn2Own黑客大会上,五支不同的团队成功攻破了Edge浏览器。 来自腾讯安全团队Ether获得了8万美元的奖励,成功在广受赞誉的Chakra JavaScript引擎上入侵执行任意代码。来自腾讯安全的Team Lance 和Team Sniper在大会第二天在Chakra引擎中发现use-after-f…
苹果系统的封闭性导致iOS APP安全性比较高,但是实际上iOS应用本身被破解的难度并不高,一旦在越狱设备上,ipa被分析就会变得很容易,本文通过讲解iOS APP的破解分析过程来引出我们要如何的保护我们的应用。经过保护,iOS APP的安全性会获得很大的增强,大大提高了破解者破解的难度。对于iOS开发者来说,有必要了解这些措施,特别是针对一些金融、游戏类APP的开发。 一、iOS的安全问题 世所公认,iOS系统安全性非常高,很少出现漏洞,几乎不会中毒的情况。然而随着各种iOS安全隐患的频频出现,人们逐渐认识到,i…
JSShell 本文将给大家介绍一款基于Web的多用户交互式Shell,该工具采用Python语言编写,服务器端使用的是Flask框架,而客户端当然就是JavaScript和HTML组成的了。我当初在开发JSShell的时候只是想在测试和研究的过程中用它来远程调试浏览器的网络通信和信息处理等活动,但是我现在意识到了这款工具的作用远远不止于此,所以请各位不要将其用于恶意目的,作者Daniel Abeles对此一概不负责。 工具安装 话不多说,先上GitHub传送门【点我】。 我们建议使用虚拟环境来安装JSShell,…
在维基解密曝光的CIA-Vault7文档中,包含了一堆晦涩难懂的名词、行话,以及一些不完整的描述和注册链接,这些信息非常有趣,但很多术语却让人很难理解。所以,在遍历了所有Vault7文档之后,我根据真实意思和一些可以查询到的结果,尽可能多地对其中涉及的黑客工具作了解释,以供参考研究,欢迎大家指正交流。 以下内容中,有些是根据提及的测试设备、开发者注释等信息得出的比较贴合实际意思的解释;而一些商业性工具(如洛克希德马丁的DART软件)、文档中涉及的注册链接和运行代号,在此就不作罗列。让我们随着Freebuf一起来走近…
没有使用密码软件前,大家容易忘记密码;使用密码软件后,大家“无奈地”泄露了所有密码。LastPass,最受欢迎的密码管理软件之一,近日再次爆出安全漏洞。安全人员发现在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,可能会导致用户在使用该组件的过程中泄露密码。 这几个漏洞都是谷歌Project Zero团队的安全研究人员Tavis Ormandy发现的。其中一个漏洞影响到LastPass的Chrome扩展,另外两个则是针对Firefox的。Ormandy称该扩展程序上有可利…
近年来国内外信息泄漏事件频发,政府机关、银行、很多大型互联网公司,社交媒体平台、购物应用等等,都有不同程度的信息泄露等安全问题。人们的目光更多的是关注这些明显涉及资金链的领域,而涉及大量学生数据的校园却往往是最容易被忽略的地方。 2016年8月的发生在山东的“徐玉玉助学金欺诈事件”震惊全国。虽然在舆论高压下顺利破案,在这一案件中,个人信息的大面积、高精度泄露,无疑是骗子的“最佳助攻”。据统计,2016年年公安部门办理了1800多起涉网的侵犯公民个人信息的案件,涉及犯罪嫌疑人4200多人。 高校网站安全整体状况并不乐…
E安全3月23日讯 今年2月,谷歌宣布攻破SHA-1哈希算法,这一消息震惊加密界,也就意味着SHA-1哈希从此不再安全。加密学哈希算法 SHA-1 被誉为密码学的瑞士军刀。哈希算法在我们日常的网络安全、代码仓库安全、甚至是确认文件的完整性方面扮演着重要的角色。 虽然大多数人已经不再使用SHA-1,但GitHub这个开源“神经中枢”却将其作为核心加密算法。众所周知,GitHub上覆盖各种开源项目,包括比特币、政府拥有的选举软件等等。 所幸的是,GitHub本周一采用了一个系统,能自动检测SHA-1破解入侵,并加以阻止…
E安全3月23日讯 两个星期前,维基解密曝出大量CIA机密文件,各大媒体“炸开了锅”。这些CIA文件中提到的科技公司坐等维基解密共享其中的软件漏洞信息。 维基解密创始人朱利安·阿桑奇本月早些时候表示,维基解密会向受影响的科技公司提供执行代码和其它技术细节,即为受影响的公司提供一些隐藏资料,帮助这些公司有效开发修复程序。维基解密这次曝出的文件涉及15家以上的科技公司。 多数不知名的公司主动联系维基解密但未得到回应 维基解密首先联系了其中一些知名公司,包括微软、谷歌和苹果。但大量不太知名的公司尚未得到维基解密的主动联系…
E安全3月23日讯 这场名为“信息勇士17(Information Warrior 17)”的演习将涵盖人工智能(简称AI),同时对军舰及潜艇的网络攻击防范能力进行测试。 此次演习将在“联合勇士(Joint Warrior)”期间举行——联合勇士行动为3月26日到4月6日期间于苏格兰及其周边进行的重要北约军事演习。该演习每年进行两次,参与者包括数千名陆、海、空军人员。 英国皇家海军表示,信息勇士17将为未来的网络战争“设定基础”,这是因为“随着我们的敌人所掌握的技术愈发先进,我们必须有能力对抗此类威胁。” 此次演习…
外媒援引CNN发布的重磅消息称,FBI的证据表明特朗普助手可能与俄罗斯有过合作。报道中指出:“美国官员对CNN表示,联邦调查局(FBI)的信息显示总统唐纳德·特朗普的助手与疑似俄罗斯特工有过沟通,并可能发布了对希拉里·克林顿竞选团队不利的信息。”目前尚不知道所指的特朗普助手及俄罗斯特工身份。 据CNN报道,联邦调查局正在审查一些信息,其中“包括人事情报、旅行、商业和电话记录以及私下会面记录”等。美国有些官员警告称,现在还没有从这些信息中得出任何重大的结论。据报道,官员仍然告诉CNN,特朗普助手和俄罗斯官员之间潜在的…
网易科技讯 3月23日消息,据Macrumors报道,此前有黑客组织声称已经破解了超过6亿个苹果iCloud账户,并据此向苹果索要“赎金”。对此,苹果做出回应,称iCloud或Apple ID账号都很安全。 此外,苹果表示,如果黑客真的侵入iCloud账号,那也是第三方服务遭到黑客袭击所致。苹果发言人表示:“苹果系统没有受到任何袭击,包括iCloud或Apple ID账号。所谓的电子邮件地址和密码名单似乎是黑客通过第三方服务获得的。” 据MotherBoard报道,自称“土耳其罪犯家族”的黑客组织宣称已经破解数亿个…
E安全3月23日讯 Windows 10自发布以来就遭人诟病,最近又再现新问题:Windows会悄悄启用击键记录器,并且,记录的数据会被定期发送到微软的服务器。 用户击键记录只对想要破解密码或窃取敏感数据的网络犯罪分子才有价值,目前尚不确定微软为何要这样做。2015年Win10问世以来,微软曾给自己定下目标:在2017年让全球10亿用户安装Win10系统。但却恰恰应证了“理想很丰满,现实很骨感”这句话。截止2017年2月,全球仅有4亿左右用户安装Win10。 用户群体听到这个消息肯定坐不住了,难道要重回Win 7吗…
在最近的渗透测试项目中,为了进一步验证漏洞的可用性和危害性,我们遇到了这样一种情形:构造基于时间差反馈的系统注入命令(OS command injection time based ),从某逻辑隔离的服务器中实现数据获取。以下是测试过程中的相关思路整理,仅供借鉴参考(渗透测试最终利用工具请移步GitHub-TBDEx)。 漏洞说明 由于该逻辑隔离服务器仅能通过API服务提供的程序接口实现特定服务访问,而在对该API接口的测试过程中,我们发现了一个有趣的GET request请求,其中包含了两个参数,一个为字符串,另…