受最新WordPress的漏洞影响超过67000个网站被攻击 如果你的网站使用的是WordPress，并且没有及时更新官方上周发布的补丁，升级到v4.7.2版本，那么你的网站很有可能受到这4个黑客组织的攻击。 据国外Web安全公司Sucuri表示，自上周一该漏洞细节公开后，攻击范围不断扩大，最近每天趋于3000次。 随着时间的推移利用REST API漏洞尝试次数（来源：Sucuri） 攻击者正在利用WordPress的REST API的漏洞，该漏洞由WordPress团队两个星期前修复并更新补丁，他们于上周一公开了…

安全研究人员警告，世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件，几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果，表明一个或多个黑客群体针对至少140家银行和组织进行了这种攻击，旨在盗取凭证和金钱。 这种恶意软件特别狡猾，因为它属于一类“无文件”软件攻击程序，它完全存在于设备的内存中，几乎没有任何痕迹。这种类型的恶意软件不是全新的，但它的日益普及让安全研究人员和网络管理员非常担心，这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告，攻击者使用恶意软件监视受感染机器，…

N-day漏洞收购计划问世 成立于2010年的Zimperium是一家致力于开发和设计全球顶尖移动安全技术的以色列信息安全公司，就在几天之前，该公司正式宣布他们将开始收购Android平台和iOS平台的移动端漏洞，而且这些漏洞必须是已经得到修复了的漏洞。就此看来，0-day漏洞并不是他们所感兴趣的内容，他们真正关心的是那些N-day漏洞的利用代码。 Zimperium在当地时间2月1日所举办的新闻发布会上表示，公司将在2017年提供150万美元的总预算来收购Google和苹果移动系统的N-day漏洞利用代码及利用方…

安全众测平台HackerOne本周三宣布获得4000万美元C轮融资，HackerOne表示他们会把资金用于技术研发、业务扩展、壮大白帽子社区，计划白帽子数量将超过10万人。 HackerOne简介 HackerOne是一家创业于美国旧金山的漏洞众测公司，它提供了一个软件即服务的平台，是最早接受并利用黑客开展商业模式的公司之一。HackerOne平台能够给企业、机构提供技术和自动化支持，帮助他们运营、管理漏洞赏金项目。 公司由Alex Rice担任公司CTO，Merijn Terheggen任CEO，Jobert A…

英国有两所学校正在测试随身相机的用途，让老师在教室里戴着中随身相机，来消除学生在课堂中的不好行为。这个试验将持续三个月，参与这项试验的刑事司法研究者Tom Ellis称：“这种相机不是一直开着的，它只会在合法、合适以及必要时才会打开。它不是一种监控学生的设备，而是只有当存在可感知的威胁时在会使用它。”目前这两所学校的名称还未向外公布，目的是为了保证试验不受干扰。但当学校的老师准备使用这种相机拍摄时，学生会被告知。 所有的录像资料会被加密，并储存到一个类似于英国警方所使用的随身相机的云系统内。英国信息委员会称，只要学…

E安全2月9日讯 RSA安全大会备受瞩目，历来被视为网络安全专家的交流平台，新兴安全技术和产品的展示舞台。RSA 2017安全大会将在下周拉开帷幕，管理团队预计今年的参会人员经将超过5万人。RSA 2017安全大会将聚焦下一代端点安全、套件、EDR和服务。 随着各种网络威胁的不断出现，加上数字改革和扩展性需求，网络安全技术也需要创新和变革。RSA 2017还将继续关注端点安全。 需要明确的是，端点安全不应再被定义为反病毒软件。这样讲并非不尊重反病毒软件，但端点安全目前贯穿了高级防护技术、端点安全控制和先进的检测/响…

E安全2月9日讯 美国总务管理局（U.S. General Services Administration，GSA）跟随联邦政府机构的大潮流，招募白帽子黑客寻找漏洞，以此提高系统安全性。 今年早些时候，GSA的技术改革服务部（Technology Transformation Service，TTS）在开源GitHub项目上发布草案征集，期望潜在的资深厂商帮助GSA建立自己的漏洞悬赏计划。TTS要求有关各方1月30日之前提供反馈意见。 漏洞悬赏的概念非常简单：雇用或未发现漏洞的白帽子黑客给予奖励。这是众包网络安全概…

综合CA及代理商消息，证书颁发机构理事会（Certificate Authority Security Council）近期发布了首个关于代码签名的标准化准则。Microsoft 作为第一个采用并实施该最低要求准则，设置合规截止日期为2017年2月1日。 根据这一准则要求，代码签名证书（私钥）必须存储在硬件令牌（USBKEY）或HSM中，在2017年2月1日后签发的所有代码签名数字证书都必须使用USBKEY硬件存储保护证书私钥，以降低私钥被窃的可能性。（当前全球CA签发的EV代码签名数字证书已全部实现硬件令牌） 目…

E安全2月8日讯 国外安全研究人员发现一款名为MacDownloader的Mac OS恶意软件代理（Malware Agent），其已经被实际应用于国防工业领域，另有报道称有人利用其攻击某位人权倡导者。有趣的是，MacDownloader会伪装为Adobe Flash安装工具以及Bitdefender恶意软件清除工具，并借此提取系统信息以及Mac OS X系统中的钥匙串数据库副本。根据对基础设施及代码状态的观察，安全研究人员认为这些事件代表着攻击者对该代理的首次部署尝试，且其尚不具备持久性等其它特性。相反，MacD…

0x00 前言 在两周前，来自Windows攻击安全研究团队（OSR）发布的关于加固Windows 10对抗内核利用：https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit-mitigations/https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit…

引言 从版本4.4开始,GNU bash在路径补全功能就存在两个bugs,这会触发一个代码执行漏洞。通过创建拥有特制名字的文件或目录可以触发这个漏洞。用户可以通过按Tab键使用GNU bash的内置路径完成功能（如使用rm命令来删除它）,这将触发漏洞但不执行命令本身。在2015五月, devel-branch介绍了该漏洞。 描述 如果创建一个有双引号（”）的文件,这个漏洞就会发生的,这个双引号遵循GNU bash的内置命令替换功能( ‘<command>‘ 或 $(<command>))。双…

从2017年1月（Chrome56）开始， Google Chrome56将强制http标识为不安全 ，知乎上@车小胖 同学用一个汽车拉苹果的例子，很形象的说清楚了https与http的区别。虽然https很安全，但也不是绝对可靠。 https和http有什么区别 记得小时候，敞篷卡车从果园拉着一车车的苹果，运到码头上，然后再装载到万吨货轮上运往上海。但运往码头的最后一公里，道路坑坑洼洼，卡车会放慢速度，这时就会有一些青少年爬上货车，从袋子里拿苹果吃，每次都会有一袋或几袋被开包，为此运输公司非常苦恼。 后来为了减少…

洲际酒店集团（ IHG ）上周证实，旗下在北美和加勒比的 12 家酒店的支付卡系统遭入侵、客户信用卡信息泄露。 1 月 1 日本站就曾报道，安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息，并暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息，并进行了消费提现。洲际酒店立刻进行了调查。 据洲际酒店公布的消息，在 2016 年 8 月至 12 月期间在这 12 家酒店使用信用卡支付的客户都遭到数据泄露，泄露信息包括数据包括持卡人姓名、卡号…

英特尔 Atom C2000 芯片家族存在缺陷会导致使用该芯片的产品停止工作。芯片巨人没有披露受影响的产品和存在缺陷的芯片数量，但已经预留了一笔资金处理该问题。 在这之前，思科发出警告称， 2016 年 11 月 16 日前出售的路由、光网络和交换机产品包含了一个有缺陷的时钟元件，会导致设备在运行 18 个月后加速发生故障。思科没有披露元件供应商的名字，但根据芯片巨人自己公布的 Atom C2000家族 修订版文档，英特尔就是思科的供应商。英特尔在文档中称，缺陷可能会导致 Atom C2000 Low Pin Co…

据外媒报道，美国众议院当地时间 6 日投票表决，未来执法当局在搜查科技公司的旧电子邮件前，须先取得搜查令。报道称，对担心特朗普政府可能着手扩大政府监视权限的人士来说，这是他们维护个人隐私努力所取得的一项胜利。 据悉，众议院是以口头表决通过了这项措施。但预计该立法在参议院会遭遇阻力。去年，该法案在众议院获得一致通过后，却因遭少数共和党议员反对，而在参议院触礁。 微软等科技公司已游说国会多年，希望通过电邮隐私法案，更新一项已有数十年历史的法律，强制当局须先取得搜查令，才能拿到时间至少已有 180 天的电邮或其他数码通讯…

上周，本站曾报道过 WordPress 修复了 REST API 引起的零日漏洞。据 Sucuri 最新报道，漏洞被披露后，黑客开始尝试扫描、利用漏洞，并成功入侵了众多 WordPress 4.7.0 和 4.7.1 版本网站。 安全公司 Sucuri 监测到的 WAF 网络被攻击趋势 该漏洞于 1 月 26 日修复并于 2 月 3 号披露详情，漏洞可导致远程权限提升和内容注入，WordPress 所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。漏洞被披露后不到 48 小时，众多漏洞情报平台…

美国媒体2月6日报道，总部位于美国的电视生产商Vizio因涉嫌非法搜集用户收视数据，同意支付220万美元就相关指控达成和解。 美国联邦贸易委员会指认，Vizio公司的智能电视技术捕捉收视数据，把它传回公司服务器。 联邦贸易委员会说，这些数据被出售给第三方。 Vizio则说，这些传回的数据并未与用户信息一对一匹配。Vizio在声明中写道：“公司从未把收视数据与个人可识别信息配对，例如姓名和联系方式。” 联邦贸易委员会说，Vizio自2014年2月起搜集用户收视数据，影响面波及大约1100万台电视机。 联邦贸易委员会在…

摘要：一项由RiskBased Security所做的调查显示，微软于2016年全年修补的安全漏洞总数比2015年的有所增加，而在历史漏洞数排名表格中，Internet Explorer和Windows 10分别位居第一和第二。这个结果令人有点吃惊Windows 10系统于2015年7月才推出，而它的历史安全漏洞数已经排在第二，共有705个。Windows 7系统则排在第四，共有647个。 具体地来说，2015年微软修补的安全漏洞总数为703，2016年这一数字增加到729。而在2014年时，这一数字只有383，也…

勒索软件折磨我们已经有些年头了，但是在这最近的两年里，勒索软件已经迅速发展成为了政府机构、商务企业和用户所面临的最严重的安全威胁之一，而这种发展趋势在2017年也丝毫不会减弱。勒索软件的开发者是非常富有创造力的，他们会在自己的勒索软件中加入最新的网络攻击方法，并且采用极其复杂的自我保护技术来避免安全防护软件的检测。 Koolova新奇的之处 勒索软件是恶意软件的一种，它会使用非常健壮的加密算法来对你设备中的文件进行加密，然后要求你以比特币的形式支付数据赎金。在支付了赎金之后，你才能获取到解密文件的密钥，否则你可能永…

本已处于休眠状态的MySpace最近因为黑客又火了一把，据统计，在2016年该社交媒体共有4亿2千7百万账号被窃取。据Forrester报告所说，这项纪录遥遥领先于其他被入侵的网站，MySpace在5次事件中统共被窃取了75%的用户数据。仅次于MySpace位于第二位的就是中国电商阿里巴巴，本次事故牵扯到9900万用户名和密码。 Forrester的报告中提到，在去年的12个月里，共有超过十亿数据被窃取，其中的95%属于科技公司，政府和零售行业。Forrester的研究小组还解释说，雅虎数据泄露并未在这次报告的统计…

E安全2月8日讯 周一，《华盛顿邮报》报道了一起安全事件，一名前NSA承包商雇员窃取超过50 TB的高度敏感数据。有消息称，这些数据包含“获取特定情报行动办公室”（Tailored Access Operations， TAO）超过75%的黑客工具。TAO负责开发并部署软件，用来渗透外国目标的计算机网络，从而实现间谍目标。TAO是NSA的精英黑客部门，每周7天、全天24小时轮班工作，大约19年前，该部门就已经成功渗透进中国的电脑和电信系统，获取了一些有关中国内部动向的最佳、最可靠的情报。 这名前NSA承包商名为哈罗…

E安全2月8日文 美国人嘲笑特朗普是文盲，不能接受现实，还开不起玩笑。 作为一个美国总统，这些确实令人担忧、困惑。但令网络安全专家不得其解的是：特朗普为什么推迟签署新的网络安全行政命令？ 一份泄露的草案显示，这项行政命令将使美国政府部门负责人对计算机安全问题比以往任何时候更负责。先前有报道称，这项行政命令将要求政府高层领导人实施美国国家标准技术局（简称：NIST）制定的网络安全防御框架。 自上台以来，特朗普签署多条其它领域的行政命令——如移民禁令，并任命首席战略顾问斯蒂夫·班农（“白人至上主义者”）为美国国家安全委…

安全研究人员警告，世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件，几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果，表明一个或多个黑客群体针对至少140家银行和组织进行了这种攻击，旨在盗取凭证和金钱。 这种恶意软件特别狡猾，因为它属于一类“无文件”软件攻击程序，它完全存在于设备的内存中，几乎没有任何痕迹。这种类型的恶意软件不是全新的，但它的日益普及让安全研究人员和网络管理员非常担心，这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告，攻击者使用恶意软件监视受感染机器，…

霍尼韦尔（ Honeywell ）的一款基于 web 的 SCADA 系统存在一系列可远程利用的漏洞，攻击者可访问特定的 URL 获取密码。 据美国国土安全部的工业控制系统网络紧急响应小组( ICS CERT )报道显示，霍尼韦尔 XL Web II 控制器的某些版本存在五个漏洞，其中最可怕的是控制器的密码以明文存储。此外，攻击者可以通过访问特定的 URL 来打开和更改参数、建立新的用户会话、执行路径遍历攻击获取认证密码。 受影响的版本 XL1000C500 XLWebExe-2-01-00 及之前版本 XLWeb…

视频游戏反篡改保护公司 Denuvo 近日发生多起意外，先是其加密的《生化危机 7》上市不到一周就被国外知名破解组 CPY 攻破。昨天又被曝出网站配置错误，致使多个敏感目录文件可公开访问。 Denuvo 是奥地利一家软件解决方案股份有限公司。这家公司了发开发了一个名叫 Denuvo Anti-Tamper（ Denuvo 反篡改）的技术可在 Windows 平台上能阻止对可执行文件进行调试、反向工程和修改。该技术可用来保护游戏的 DRM 不被绕过，像《古墓丽影：崛起》、《杀出重围：人类分裂》、《正当防卫 3》、《毁…