前言 最近,一些经常劫持并删除数据的网络罪犯盯上了不安全的Hadoop和CouchDB应用。安全研究人员在上周表示,在针对未设防的开源数据管理平台的新一波攻击中,共有28000项MongoDB及Elasticsearch应用遭到入侵。 Hadoop和Couchdb成为新一波数据库攻击的目标 本周五,负责监视MongoDB和Hadoop数据库受攻击情况的安全研究人员Victor Gevers表示,截至目前为止,126 个Hadoop应用和452个CouchDB应用已被入侵。和攻击MongoDB 及Elasticsea…
问题背景 Android程序代码混淆是Android开发者经常用来防止app被反编译之后迅速被分析的常见手法。在没有混淆的代码中,被反编译的Android程序极其容易被分析与逆向,分析利器JEB就是一个很好的工具。但是加了混淆之后,函数、变量的名称将被毫无意义的字母替代,这将大大提高分析的难度。有的甚至会增加一些冗余代码,比如下面的例子: 1 2 3 4 5 6 7 8 9 10 11 12 13 public void doBadStuff() { int x; int y; x = In…
据外媒报道,日前隶属于 BBC 的一个 Twitter 账号被盗并发布了一条令人震惊的消息:“突发新闻:特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除,BBC 方面表示这一假新闻出自黑客之手。 “我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久,美国黑客组织 OurMine 控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据 BBC 方面披露,OurMine 并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应:“第一次攻击并不是由我们发起。由于我们在这个账…
安全公司 Doctor Web 警告称,Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内,Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来,犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后,木马会尝试诱骗用户授予其管理权限,并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制(C&C)服务器,并可以执行以下操作: 发送短信; 拦…
摘要:据外媒报道,日前,隶属于BBC的一个Twitter账号被盗并且还公布了一条令人震惊的消息--“突发新闻:特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除,BBC方面表示这一假新闻出自黑客之手。“我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久,美国黑客组织OurMine控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据BBC方面披露,OurMine并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应:“第一次攻击并不是由我们发起。由于我们在这个账号上发现…
Adobe在上周放出了新版Acrobat Reader DC软件,作为当前一款非常流行的PDF文档阅读器,立刻吸引到众多网友纷纷下载使用。不过,来自Google信息安全团队Project Zero的研究人员发现,在下载新版Acrobat Reader DC软件的同时,其会在未清楚告知使用者情况下,自动在Chrome浏览器上安装Acrobat的扩展插件。 Acrobat Chrome浏览器插件曝出XSS漏洞 原本是提供用户浏览PDF等文件使用的阅读器Acrobat Reader DC,过去都是独立存在的,但在此前推出…
早在去年11月底,FreeBuf曾报道过,美国国防部和HackerOne共同发布的一项漏洞赏金计划,名为Hack the Army,针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个,先前还有Hack the Pentagon(针对五角大楼的)。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人,来入侵美国陆军计算机系统。昨天,Hack the Army众测竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给…
根据Tor官方的统计,阿联酋Tor连接用户数在短短数天内从1万左右增加到了30万以上。这一增长规模难以置信,因此一种可能的解释是阿联酋政府部署了基于DPI的屏蔽技术,导致连接失败率大幅增长,从而产生了统计异常。类似的现象以前也发生过,在土耳其屏蔽VPN和Tor之后,土耳其的Tor用户数也在统计中出现了大幅增长。Tor中国用户数保持平稳,不到一千。 如果此文章侵权,请留言,我们进行删除。0day
2011 年微软进行的一项调查显示,有 94% 的用户认为基于地理位置的服务具有价值。但是调查中也显示,52% 的人也关注与使用地理位置数据有关的隐私问题。我们在生活中使用 GPS、IP 地址及 Wi-Fi 获取基于位置的服务,实现实时导航、本地天气、地理定位的功能,但在无形之中,它也泄露了我们的隐私。 此前数据科学家 Anthony Tockar 在西北大学读研究生时,就采用可公开获取的位置数据,通过交叉参考公共新闻与照片,跟踪位于纽约市的名人。 隐私问题已经成为了研究界所关注的焦点,南洋理工大学的萧小奎表示,「…
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析。 众所周知的https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况。 打开https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。 每个漏洞都占有一行,…
工具简介 Exitmap是一个基于Python的Tor出口中继节点扫描器,具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点(的子集)上运行的任务。如果你有函数式编程的知识背景,可以把Exitmap看作是Tor出口中继节点的map()接口。 这些模块可以执行任何基于TCP的网络任务,例如获取网页、上传文件、连接到SSH服务器或加入IRC频道(Internet Relay Chat,互联网中继聊天,它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议)。 Exitmap的实际…
E安全1月22日讯 即将于今年2月召开的RSA 2017信息安全大会将带来众多热门议题,其中包括机器学习、物联网安全、云安全以及其它众多核心议题将成为本届创新沙盒大赛的重要竞逐单元。而每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标。目前共有87家企业申请参与此次创新沙盒大赛。 我们就此通过Wordcloud生成器查询了RSA大会官方新闻公告当中提供的企业描述信息,而生成的图形结果显示这些初创企业需要保护的核心要素正是“数据”这一宝贵的资产。最令我们意…
路透社今日援引欧盟官员和其他知情人士的消息称,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。去年2月,孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃8100万美元。 孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。该事件发生后,全球监管部门都加强了对银行的安全需求。 虽然如此,复杂的网络攻击仍层出不穷。去年11月,英国零售…
人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像DuckDuckGo这样的注重个人隐私的匿名浏览器抓住了机会,自8年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo的搜索量更是呈爆炸性增长。 DuckDuckGo浏览器方面称,至今一共提供了超过100亿次的搜索服务,其中仅去年一年就有40亿次搜索,增长速度是历年来最高的。在2017年1月10日这一天,该浏览器的搜索次数达到了1400万次。2016年,D…
0x00 前言 今天一个名为Spora的新勒索软件家族浮出水面,其在俄语中是孢子的意思。这款勒索软件最值得注意的是强健的加密机制,离线工作能力和一个非常完善的赎金支付网站。而这个赎金支付网站是我们目前看到的最复杂成熟的一个。 Spora勒索软件首次发现是在Bleeping Computer和卡巴斯基论坛。接下来的分析由Bleeping Computer的Lawrence Abrams提供,以及MalwareHunterTeam和Emsisoft的Fabian Wosar。 0x01 Spora通过钓鱼邮件传播 目前…
JSONP注入是一种鲜为人知却又相当普遍和危险的漏洞。JSONP是随着最近几年JSON、Web API的迅速崛起和对跨域通信的迫切需要而应运而生的。 什么是JSONP? 这里我们假设大家都已经了解JSON了,所以下面直接开始讨论JSONP。JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。 让我们举个例子。 我们的网上银行应用程序,http://verysecurebank.ro,已实现一个API调用,可以用来返回当前用户的交易数据。 这样,通过…
前言 SOP(同源策略)可以说是Web安全的最核心的安全机制,一旦被绕过,就可能导致重大的安全漏洞。 SOP原理 正如我们所知道的,所有的浏览器在试图访问来自不同来源的资源时都会施加一些限制。 当然,我们可以播放音乐和渲染图像来自不同的域,但是由于同源策略的限制,我们将无法读取这些资源的内容。 例如,我们可以在canvas上绘制图像,但除非同源,否则我们无法使用getimagedata读取图片像素信息。同样的规则适用于脚本。我们可以自由加载外部脚本在不同的域,但如果有一个错误,我们将无法获得任何细节,因为错误本身可…
去年安全加报道过, 黑进陆军 美国军方启动了一个漏洞奖励计划 请求白帽子帮忙扫清漏洞 ,这项计划向注册的、受邀的参与者公布开放,攻击目标包括一系列陆军网站和数据库。对于在计划内,能够在军方面向公众的网站上发现漏洞的黑客,美国陆军将提供现金奖励。昨天,Hack the Army竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给白帽子的奖励金币 Hack the Army计划 317人参与 收到416份漏洞报告 Hack the Army计划就是要让美国陆军“把钱放进我们嘴里”,“向美军红队和DDS团队及其…
无独有偶, 绿盟科技金融事业部的2017年1月刊中 也弄了2016年金融安全大事件盘点,这篇文章通过分析整理2016年金融行业安全事件和热点事件,从8个方面来总结金融行业面临的行业现状、监管要求、安全风险等,也给金融行业的2017年信息安全建设给出可落地的参考建议。 监管文件抢头条 移动终端是热点 信息泄露成常态 钓鱼欺诈手段多 内网问题隐藏深 里应外合要警惕 外网防线待加强 应急机制需落地 2016年金融行业的信息科技继续蓬勃发展,技术创新层出不穷,大数据、云计算、区块链和移动互联等方方面面的技术摸索和尝…
安全加邀请绿盟科技政府行业安全专家盘点2016年政府行业十大安全事件。回看2016年,政府行业有不少重大的安全事件发生,绿盟科技政府事业部摘选了其中十大安全事件,从中可以看到从法律层层落地的过程。 《中华人民共和国网络安全法》颁布 事件内容: 2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,《网络安全法》将于2017年6月1日起施行。《网络安全法》共有七章七十九条,内容十分丰富,具有六大突出亮点。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三…
据外媒报道,一份新的 Kroll 报道显示,科技公司、媒体和电信公司沦为诈骗或网络攻击受害者已经变得非常常见。 不过这份报告最有意思的还是以下这点:公司受到的最大安全威胁来自内部。据悉,其中有 60% 的攻击来自现任职员、前任职员以及第三方职员。至于欺诈案件,占比达到了 39% ,而年轻职工成为了当中的关键肇事者。 《2016/17 Kroll Annual Global Fraud and Risk Report》报告显示,近 4/5( 79% )的公司在去年都遭到诈骗,其中有 35% 的公司资产或股票受到损害。…
据外媒报道,本周四美国陆军宣布漏洞赏金计划“ Hack the Army ”结果,该计划为期三周并于去年 12 月 21 日结束。 2016 年 11 月 11 日,在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。…
就在 1 月 20 日美国总统特朗普宣誓就职同一天,加密电子邮件服务 Lavabit 重新上线,其 CEO Ladar Levison 宣布了新的隐私增强功能。 Lavabit 曾是“棱镜门” 泄密者爱德华·斯诺登长期使用的加密电子邮件服务,2013 年因拒绝配合美国政府对斯诺登的调查而陷入法律纠纷和巨额罚款当中,并于当年 8 月宣布关闭服务并毁坏服务器。然而 Levison 与美国政府的较量仍在继续,他于 2015 年 12 月提出一项动议,促使法院命令发布与 Lavabit 案有关的文件。 图:与 Lavabi…
据外媒报道,从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期,然而据非官方统计,目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布,从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示,HTTPS 将应用于新注册的 .GOV 网站所有子域当中,并强调即使在局域网中也应该坚持使用。就目…
随着被称为 BT Call Protest (BT呼叫防护)的新服务发布,BT终于开始处理骚扰电话问题了,自此,每周最高可阻止1500万个骚扰电话。 BT宣称,该服务之所以能推出,是因为在大规模处理能力上的改进。有了强大的处理能力,其系统就可以在电话被接通前识别出是否是大量拨号的流氓号码,从而主动转移呼叫。 而且,该服务还允许客户向公司数据库提交骚扰号码,防止不想要的呼叫接入。只需在接到骚扰电话后拨打1527,或者登录网站录入该号码即可。有记录的号码就不会再被接通,而如果大量用户都报告同一号码,那么该号码就会被添加…