漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that ICU incorrectly handled certain memory operations when processing data. 漏洞危害 If an application using ICU processed crafted data, a remote attacker could possibly cause it to crash or potentially execute arbitrary c…

漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that LibreOffice incorrectly handled EMF image files. 漏洞危害 If a user were tricked into opening a specially crafted EMF image file, a remote attacker could cause LibreOffice to crash, and possibly execute arbitrary code.…

漏洞类别：Mail services 漏洞等级： 漏洞信息 ENGLISHMANSDENTIST is an exploit from the recent Shadow Brokers leak. This zero day exploit is remotely exploitable using SMTP. This information comes from the Shadow Brokers' "Equation Group" data dump. This Zero Day is actively …

漏洞类别：CGI 漏洞等级： 漏洞信息 Confluence is a team collaboration software. Written in Java and mainly used in corporate environments, it is developed and marketed by Atlassian. The vulnerability exists because the Confluence drafts diff REST resource incorrectly makes t…

E安全5月8日讯 当地时间5月5日，维基解密再爆一批时间介于2011年至2014年的CIA新文件，其详细阐述了CIA针对LAN网络的中间人（MitM）攻击工具“阿基米德”（Archimedes）。 根据文件内容，Archimedes最初的代号为Fulcrum，之后由开发团队更名为Archimedes。 CIA这款黑客工具允许操作人员通过攻击者控制的设备在目标LAN流量传输至网关前，对LAN流量进行重定向。 Archimedes工具文档写到，Archimedes是Fulcrum 0.6.1.的升级版。Archimed…

E安全5月8日讯 据网上泄露的一份草案文件显示，英国政府正赋予自身更多权力以监视即时通信。这份草案文件由开放权益组织（Open Rights Group）获取并泄露。 在这份技术能力通知草案中，英国政府要求通信公司在一个工作日内提供指定个人所有的通信内容的实时访问权，以及与此人相关的“第二数据”，即包括加密数据。 这意味着英国相关的机构组织不得对用户数据进行端对端加密，并且按照法律规定，还应在系统中插入后门，以便英国当局可以读取用户的所有通信。 英国当局将要求通信提供商部署实施拦截系统进行批量监控，而这样的拦截系统…

E安全5月9日讯 据报道，俄罗斯网络间谍组织Snake最近将Windows后门程序移植到了MacOS。 Snake网络间谍组织自2007年以来一直活跃。关于该组织，安全专家熟知的名字有Snake、Turla和Uroburos。据研究人员表示，Snake使用的恶意软件与目前为止几起最复杂的网络间谍攻击有关。这些恶意软件主要针对军事组织、政府实体、大使馆、情报机构、大型公司以及研究和学术机构展开攻击。 荷兰网络安全公司Fox-IT指出，与其它俄罗斯多产攻击者（例如APT28和APT29）相比, Snake的代码和基础设…

手机号码已经成为越来越重要的个人标识，也成为移动互联网用户最重要的安全堡垒。建立与之相对应的信用、安全体系，需要电信、金融、互联网行业共同推动码号资源信息、信用的共享机制。 2017年5月8日，工信部旗下中国信息通信研究院在京牵头发起码号服务推进组，并成立了码号资源共享平台。该平台计划通过推动移动互联网、金融、电信运营商等领域电话号码应用、资源的信息共享，以解决困扰各个行业和消费者很久的“二次号码”、“新号段推广”等难题。 工信部推码号资源共享平台 共治“二次放号”难题 二次号码是电信行业近年来频繁出现的问题，经常…

E安全5月9日文 网络为现代生活带来无可比拟的优势。世界从未像现在这样互联互通过，然而所有技术进步都是一把双刃剑，有利也有弊。网络时代正在变革战争。 网络威胁曾经是可见，且容易识别的，而如今的网络威胁却是不可见、匿名的。过去，战争有明确的规则和界限，而现代战争大多是无政府主义、无国界的。政府和公司目前最迫切的问题是设法识别威胁，仅仅是威胁识别的工作就如此具有难度，更不多说有效打击网络威胁了。 网络战无界限 近期发生的几起网络攻击事件足以概括未来任务涉及的范围： 法国总统马克龙在当选前曾遭遇网络间谍组织攻击。 去年底…

作者：滴滴出行DSRC 2017年初，在滴滴安全沙龙上，滴滴出行安全专家——付超红，针对App的攻与防进行了分享。会后大家对这个议题反响热烈，纷纷求详情求关注。现在，付超红详细整理了《Android代码入侵原理解析》，在滴滴安全应急响应中心的微信公众号开始连载。技术干货满满，敬请关注。 1.代码入侵原理 代码入侵，或者叫代码注入，指的是让目标应用/进程执行指定的代码。代码入侵，可以在应用进行运行过程中进行动态分析，也是对应用进行攻击的一种常见方式。我把代码入侵分为两种类型：静态和动态。静态代码入侵是直接修改相关代码…

法律风险下，挖漏洞就像好人提醒仓库管理员关门，最具“情商”的提醒办法是进去后不拿金银珠宝，只拿一把扫帚，证明仓库是有被入侵风险的即可。 同样的信息，黑产犯罪人员可以在卖给A买家后，再卖给B、C、D买家，收到信息的人也可以做“二房东”，接着卖，这意味着，100万条信息会被“榨干”到完全失去价值后才被放弃，累计收入可能达到上千万元。而白帽将这些信息作为漏洞提交可能只有3000元奖励。 相对黑产而言，白帽子是一群弱势群体。 在美国职业篮球（NBA）常规赛的竞技舞台上，每个月都会评出一个月最佳球员，如果某一球员拿到这一殊荣…

AppleScript介绍 AppleScript是从Mac OS 7(1991年)开始Mac OS就原生支持的脚步语言。Mac OS中很多系统软件，尤其是有UI界面的系统软件，都有AppleScript的身影，其他很多地方也有它的身影，自然而然，功能强大毫不含糊。 AppleScript在家庭类用户、专业类用户中很流行，它很好地衔接了OS本身的功能与第三方应用能提供的功能。为了AppleScript创建应用、系统服务更加快捷，Apple甚至从Mac OS 10.4就开始加入了支持拖拽开发的Automator（可快…

漏洞编号：CVE-2017-0290 漏洞发现者：Google Project Zero的 Natalie Silvanovich和Tavis Ormandy 漏洞等级：严重 漏洞危害：成功利用此漏洞的攻击者可在LocalSystem账户下执行任意代码，并控制系统。攻击者可以安装程序; 查看，更改或删除数据; 以及创建具有完整用户权限的新帐户。 漏洞简述： A remote code execution vulnerability exists when the Microsoft Malware Protecti…

作者：360代码卫士 翻译：360代码卫士 投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿 赢得大选的法国总统马克龙谴责黑客泄露其竞选团队的员工邮件。 上周五晚，马克龙9 GB的内部文档被泄露到Magnet文件共享网络，而当时距选民在周日的投票时间不到两天。这些资料是在政府官员和候选人被禁止在缄默期公开讨论竞选宣布之后泄露的。被泄文件包含战略文档、金融数据和马克龙竞选活动人员的个人通信。马克龙此时遥遥领先其竞争对手勒庞。 目前尚不清楚有多少被泄数据是合法且真实的，不过马克龙团地认为黑客确实已经…

E安全5月7日讯 国外安全公司之前对网络犯罪分子常使用的即时通讯工具做了一番调查调研。作为网民大国，中国自然也引起了他们的兴趣。网络安全公司Flashpoint表示，99%的中国网络犯罪分子通过大众即时通讯工具沟通，例如QQ和微信。Flashpoint认为，腾讯与政府审查和监控机构有广泛的合作关系。 对于外界而言，网络犯罪分子选择这样的通讯环境看起来相当冒险，但即使这样，也没能阻止黑客使用这两大热门即时通讯工具。 Flashpoint东亚研究与分析总监乔恩·康德拉表示，人们一般认为非法分子至少会使用不被明确监视的平…

2017-05-07 23:04 5月7日，由河南省公安厅、河南省工业和信息化委员会、河南省教育厅联合指导，河南省计算机学会、CCF郑州、CCF YOCSEF 郑州共同主办，中原工学院承办，安恒信息协办的“安恒杯”河南省第二届信息安全与攻防技术大赛，在河南省中原工学院圆满闭幕。在为期2天的解题赛和对抗赛中，来自河南省22家单位（18所院校和4家企业）的42支队伍共计125名选手参与了角逐，最终中原工学院的“凌晨三点半”团队斩获冠军。大赛期间，还举办了学术报告会、CTF讲座与体验、网络安全人才培养经验分享等主题论坛。…

E安全5月8日讯 据网上泄露的一份草案文件显示，英国政府正赋予自身更多权力以监视即时通信。这份草案文件由开放权益组织（Open Rights Group）获取并泄露。 在这份技术能力通知草案中，英国政府要求通信公司在一个工作日内提供指定个人所有的通信内容的实时访问权，以及与此人相关的“第二数据”，即包括加密数据。 这意味着英国相关的机构组织不得对用户数据进行端对端加密，并且按照法律规定，还应在系统中插入后门，以便英国当局可以读取用户的所有通信。 英国当局将要求通信提供商部署实施拦截系统进行批量监控，而这样的拦截系统…

中国信息产业网 / 国际 / 2017-05-08 12:14 澳大利亚总理特恩布尔日前宣布发布政府首次年度修订版《国家网络安全战略》。该战略于2016年4月推出，涵盖33个网络安全计划，投入资金达2.311亿澳元（约合12亿人民币）。 当时网络犯罪每年给澳大利亚带来10亿多澳元(50多亿元人民币)的直接损失。该战略的发布旨在在政府、研究者和企业之间建立一个国家“网络合作网”，并构建一个能够更加有效地监测、阻止和应对网络威胁、可预测风险的强有力的“网络防御网”，最大限度减小经济损失。 根据修订版战略，下一步澳大利亚…

青年报见习记者明玉君 来到上海柯力士信息安全技术有限公司，“安犬”二字赫然在目。董事长兼创始人颜明华说，“安犬”谐音“安全”，旨在通过像犬一样的灵敏嗅觉，随时保护客户的信息安全。他强调：“随着《网络安全法》的颁布，我们更要全力以赴，做好信息安全的‘守门人’”。 初尝创业，无奈时机不对 出生在新疆，成长于上海的颜明华，从小就是一个有主见，喜欢“折腾”的人。“小时候经常把家里的闹钟拆了，再装起来，反反复复，这是我很喜欢做的事情”，颜明华说。 中专毕业后，因不安于包分配的墨守陈规的工作，颜明华辞职做起了出租车司机。天生喜…

时间:2017-04-28 来源:网络综合     【提要】《柯力士信息安全-企业网络信息时代的“贴身保镖”-《华东科技》杂志对柯力士进行专访-柯力士信息安全》由66test友情收集整理的，谨供需要企业生活知识的朋友参考。内容如下： 前不久，第三届世界互联网大会上，习主席向世界传达了我们中国的互联网信息方针，并提出构建互联网共荣空间的说法，企业信息安全是决定国家网络空间稳定与否的重要因素。 那么，企业该如何在网络信息时代保护自身，共建互联网信息安全圈呢？为此知名科技创业期刊杂志《华东科技》对柯力士信息安全进行了专访…

前言 几个月前，我挖到了一个Twitter的XSS漏洞，同时绕过了站点的内容安全策略（CSP）成功执行了JavaScript代码。在本篇文章中将主要向大家分享该XSS漏洞挖掘的思路及具体细节，同时在文章中附带了PoC演示视频。 漏洞分析 存在漏洞的站点为https://apps.twitter.com，当开发人员创建应用时可以设置服务网站（Website）信息，用于提供对应用程序更加详细的描述，及应用下载等功能。 经过测试后发现，Twitter的开发人员对该处输入的内容在服务端的正则校验可能是这样：([https?…

前言 上一篇文章已经为大家推出了MySQL注入攻击与防御，这里再写一下MSSQL注入攻击与防御，同样对与错误的地方希望大家指出共同进步 本文所用数据库涉及SQL Server 2k5,2k8,2k12,其次对于绕过姿势和前文并无太大差别,就不做过多的讲解,主要放在后面的提权上 系统库 注释 实例： 1 2 SELECT * FROM Users WHERE username = '' OR 1=1 --' AND password = ''; SELECT * FROM Users WHERE id = '' UN…

写在前面的话 PowerShell是网络安全专家、IT管理员以及黑客们最喜欢的工具之一，这一点是毋庸置疑的。PowerShell的可扩展性和其强大的功能让微软操作系统的可控制程度上升到了一个前所未有的等级。简单说来，Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境，而它可以算是颠覆了传统的命令行提示符-cmd.exe。 在Binary Defense（一家专业从事网络安全业务的公司）中有着大量PowerShell的拥护者，无论是进行自动化测试也好，还是进行复杂的程序分析…

根据 IBM X-Force 安全团队新近展开的一项分析，银行木马 TrickBot 已推动新一轮网络攻击，主要瞄准英国、澳大利亚与德国的私人银行、私人财富管理企业、投资银行、养老保险与年金管理机构。 报告显示，该银行木马黑客不断在攻击列表中添加重定向攻击。专家在检查每个网址后发现，攻击者一直在做大量 “ 功课 ”。调查表明，现有配置文件充斥私人银行、私人财富管理企业、投资银行，甚至养老保险与年金管理机构，位于英国的全球历史最悠久的银行之一也成为潜在攻击对象。 TrickBot 最初于 2016 年 9 月由安全公…

据外媒本月 2 日报道，备受用户欢迎的加密货币交易平台 Btc-e 发布网络钓鱼邮件数量激增预警，推测当前趋势或为新一轮垃圾邮件或恶意软件传播活动来临前兆，提醒比特币社区用户加强安全意识。 调查表明，该垃圾邮件包含密码与 Microsoft Word 文档各一，发件人名称各不相同，包括 Pierce Cynthia 与 Parsons Dillon 等。 攻击者引诱受害者 “ 查阅附件 Btc-e 代码 ”，并声称账户信息赎回时限仅有数小时。知情人士表示，攻击者声称该 Word 文档处于加密状态（实为一份图像文件）…