漏洞类别：Local 漏洞等级： 漏洞信息 HPE Operations Orchestration is a leading IT process automation solution designed to increase automation adoption in a traditional data center. A potential security vulnerability has been identified in HPE Operations Orchestration. The vu…

漏洞类别：Local 漏洞等级： 漏洞信息 Zend-Mail is a code library used to send emails safely and easily via PHP code from a web server. A critical vulnerability exists in Zend-Mail that could be exploited by unauthenticated remote attackers to execute arbitrary code on the ta…

漏洞类别：Local 漏洞等级： 漏洞信息 Swift Mailer is a component-based library for sending e-mails from PHP applications. An attacker can exploit this issue to execute arbitrary code within the context of the application. Failed exploit attempts will result in a denial-of-se…

漏洞类别：AIX 漏洞等级： 漏洞信息 There are two vulnerabilities in BIND that impact AIX. 1. SC BIND is vulnerable to a denial of service, caused by the improper handling of responses containing a DNAME answer in db.c or resolver.c. By sending a recursive response, a remote …

漏洞类别：AIX 漏洞等级： 漏洞信息 There are multiple vulnerabilities in IBM SDK Java Technology Edition Versions 6, 7, 7.1, 8 that are used by AIX. These issues were disclosed as part of the IBM Java SDK updates in October 2016. The following vulnerabilities exists in IBM A…

漏洞类别：AIX 漏洞等级： 漏洞信息 IBM AIX is prone to a privilege escalation vulnerability. IBM AIX could allow a local user to gain root privileges using a specially crafted command within the bellmail client. Affected Versions:- AIX 6.1, 7.1, 7.2 漏洞危害 IBM AIX could allow …

去年研究人员 警告 广告公司正在研发利用人耳听不见的声音实现跨设备跟踪的技术，利用嵌入在广告代码或 JavaScript 中的超声波信号联络附近的平板和手机，这些声音耳朵听不见，但智能设备能探测到。利用这一方法，跟踪代码可以将单一用户与多台设备配对起来，跟踪用户在不同设备上看到的广告。 在上周举行的 33C3 黑客会议上，研究人员认为这项技术可被用于识别使用  Tor 浏览器用户的身份。攻击依赖于诱骗  Tor 浏览器用户访问一个含有产生超声信号的广告网页，或者访问一个隐藏了 JavaScript 代码利用 HTM…

美国联邦贸易委员会（ FTC ）近日发起了一场比赛，寻找那些能提出创新方法来充分确保物联网设备安全的安全研究人员，获奖者将能得到高达 25000 美元的奖金。 去年 10 月底，美国遭遇了史上最严重的 DDoS 攻击，美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击，导致 Twitter、Spotify、Netflix、AirBnb及华尔街日报等数百家网站无法访问。Dyn 最后透露，攻击来源主要是一个被 Mirai 僵尸网络感染的物联网设备。 FTC 要求安全研究人员能提出一些方法，来识别出那些仍在…

当地时间周五美国候任总统唐纳德·特朗普的过渡团队发布了一份声明， 特朗普表示他与情报机构官员进行了“建设性”会晤和对话，同时他还听取了情报部门的简报。不过特朗普并未在声明中承认俄罗斯发起的网络攻击对 2016 年美国总统大选结果造成影响。 特朗普周五首次在声明中“盛赞”美国情报工作者：“我对这些为国家作出工作和服务的的人们怀有巨大的尊敬和感激。”特朗普表示，俄罗斯等国持续试图侵入包括民主党全国委员会在内的美国政府机构、企业和网络基础设施，但网络攻击对美国大选结果没有造成明显影响，美国的投票机没有遭到破坏。 特朗普强…

多年来，我国医疗机构大都各自为政，即便是一个医院内部也很难做到信息共享，如今，国家力推健康医疗大数据的共享和应用，但这又将是一个信息共享和个人隐私的博弈。 “建立国家级人口与健康科学数据共享平台有重大意义。首先，我国优质医疗资源不平衡，如何去了解全国的医疗服务分布，如何在跨省医疗时得到更精准的信息，这类数据对此类宏观政策的制定有着很好的帮助和借鉴；其次，数据更加规范。根据国家的标准去制定、采集和储存数据，使得数据更具准确性和权威性。”1月4日，中国医学科学院北京协和医学院院校长曹雪涛接受《华夏时报》记者采访时表示，…

美国《华盛顿时报》4日报道称，根据美国“亚洲研究特遣队”一份对内公开的报告，位于北京海淀区的两家饭店可能是解放军网络间谍行动的总部。针对这一说法，中国国防部新闻局6日回应《环球时报》问询时表示，有关指责毫无根据，是拙劣的抹黑行为。 “亚洲研究特遣队”隶属于美国陆军情报与安全司令部，位于日本东京附近，是美国陆军在亚太地区的公开情报搜集中心，所得情报提供给美国所有军事部门和一些非军事单位。 该报告称，该情报机构从网上的用户点评中捕捉到中国军方与酒店之间的关联。一条对金唐酒店的评价说：“房间很大，服务也很好，因为是总参四…

美国国家能源部（DOE）周五发出警告，国家电网可能正面临“迫在眉睫”的被黑客攻击的危险。在一份长达494页的报告中，DOE指出电力系统维持着美国数百万生命线，关键基础防御设施和经济命脉，目前电力系统的网络防御安全性非常堪忧，危险“迫在眉睫”。 如果一旦被黑客发动的攻击突破电力系统，导致电网瘫痪将影响数百万美国国民的人身和健康安全。此外，天然气管道也在国家的电力系统中扮演重要角色。天然气管道同样有在网络攻击下出现工作失常的可能，这将引起相关基础设施的严重问题，危及国家电网系统的可靠性。 DOE要求国会推动联邦电力法案…

美国当选总统特朗普当地时间6日在纽约与美国政府情报机构领导人会晤，他在会晤后发表的声明中表示，网络攻击对美国大选结果没有造成影响。但情报机构同日发布的分析报告认为，俄罗斯总统普京下达了旨在影响美国总统大选的行动，试图帮助扩大特朗普的胜选机会。美国总统奥巴马和情报机构领导人近期多次指责俄罗斯对美国机构进行网络攻击，干预总统大选，但迄今特朗普拒绝接受这一结论。 特朗普当天在声明中说，他与情报机构领导人进行了建设性会晤和对话，他对情报机构的工作抱有极大的敬意。虽然俄罗斯等国持续试图侵入包括民主党全国委员会在内美国政府机构…

1月5日，美国情报机构高级官员在国会参院听证会上共同签署的一份声明内容，该声明指出，俄罗斯黑客在美国大选期间对美发动了黑客攻击，攻击目标包括民主党全国委员会在内的美国政府组织、重要基础设施和其它企业。但声明也认为，俄罗斯黑客活动并没有改变美国票数统计或干预投票过程。 三位情报机构官员联合表态 美国国家情报总监克拉珀（James Clapper）、国家安全局长罗杰斯（Michael Rogers）以及主管情报的国防部次长莱特（Marcel Lettre）一致表示，经过评估，针对美国大选的相关网络攻击行动是经俄罗斯最高…

Kodachi Linux 是一款基于 Debian 8.6 的操作系统。它是专为保护用户隐私而设计的，因此具有高度的安全及匿名性，并具备反调查取证的特点。 Kodachi 的使用也非常方便简单，你可以通过 USB 驱动来在你的 PC 上启动它。当你完全启动 Kodachi 操作系统后，你将会建立一个 VPN+Tor+DNScry 服务器的运行环境。你不需要特别了解或学习 Linux 的知识，Kodachi 都为你准备好了你所需要的！整个操作系统都活动在你的临时内存 RAM 下。因此，你一旦你关机，任何的操作痕迹都…

清单 硬件部分 Raspberry Pi 2 Model B PIR运动传感器(通用) Microsoft LifeCam 3000 HD摄像头 伺服马达FS5103R 5V电源 电阻器 1k欧姆 软件应用程序及在线服务 Microsoft Windows 10 IoT Core Microsoft Visual Studio 2015 Microsoft Project Oxford Microsoft Azure Microsoft Azure云存储服务 动手实践 关于项目： 该设备使用Microsoft Pr…

来自荷兰的电影系学生安东尼·范德梅尔（Anthony van der Meer）曾有过手机被盗经历，他的iPhone被偷后，就算用苹果手机中的Find my iPhone服务也没用，小偷早就把iPhone中的SIM卡换掉并下线。即使报警也是石沉大海，无法失而复得。由此，面对这个大多数人都可能会碰到的遭遇，安东尼非常好奇：到底什么样的人会偷手机?这些手机最终会到哪儿?带着这些疑问，他精心设计了一场追踪手机盗贼的戏，并把其拍摄成了记录片《寻找我的手机》。 准备 安东尼利用一部HTC One智能手机，安装了手机监控软件C…

E安全1月8日讯 美国民主党参议员谢尔顿·怀特豪斯（Sheldon Whitehouse）提议设立独立的监察长办公室，负责测试美国联邦和民事机构的网络安全。 民主党参议员谢尔顿·怀特豪斯 该办公室会配备“红队”操作人员，渗透或“公开测试”机构的计算机网络，从而为联邦高官提供现有漏洞相关的信息。 怀特豪斯解释道，“目前有73个不同的监察长肩负网络职责，期待所有监察长具备足够的专业知识和能力，这不合理。事实上，许多监察长所做的无非就是检查是否符合最低标准。一个专门的独立办公室可以为美国政府吸纳世界级人才，并激励联邦机构…

E安全1月7日讯 美国国家情报总监办公室已经发布一份“评估俄罗斯在近期美国总统大选中的活动与意图”报告的解密版本，这份报告由FBI、CIA与NSA共同编写。目前现任总统巴拉克·奥巴马与新任总统唐纳德·特朗普都已经收到该份报告的机密版本。这份报告对我国的网络空间安全、网络空间信息管理和舆论监管有一定的参考价值！ 美国东部时间1月6日下午，美国国家情报总监克拉柏（James Clapper Jr）、中央情报局（CIA）局长布雷南（John Brennan）、国家安全局局长罗杰斯（Michael Rogers）和联邦调查…

作者：phithon 在C语言里有一类特别有趣的漏洞，格式化字符串漏洞。轻则破坏内存，重则读写任意地址内容，二进制的内容我就不说了，说也不懂，分享个链接 https://github.com/shiyanlou/seedlab/blob/master/formatstring.md Python中的格式化字符串 Python中也有格式化字符串的方法，在Python2老版本中使用如下方法格式化字符串： 1 2 "My name is %s" % ('phithon', ) "My name is %(name)%" …

毫不夸张的说，自特朗普竞选以来，特别是在他成功赢得大选之后，特朗普的推特@realDonaldTrump一直都是不断炮轰各个公司，打到谁的身上谁就股价大跌。对特朗普Twitter知乎上有网友评论 一般来说公众人物的社交媒体会有专门的团队来维护管理，希拉里就是一个例子。 但是。。。特朗普的推特是什么鬼? 他的推特风格十分魔性。 总结一下有三个特点： 更新频率快，和小学生刷空间有一拼。 文风简单粗暴，基本以叹号结尾，有的单词拼不对，小学生写作水平 内容莫名其妙，却频频应验，让人心里发毛 虽然特朗普的全球推特粉丝已经有1…

由于今年的春运客流量依旧很大，火车票预售期又缩短了一半，不少热门线路车票仍然紧张。近两年，随着互联网购票的普及，黄牛越来越少，一些互联网的有偿抢票服务却开始兴起。 多个互联网平台推出有偿抢票服务 据初步统计，目前市面上有近 60 家第三方平台公布了抢票软件。当地记者在手机上随机下载了五款不同的购票 APP，进入购票环节后发现，这些抢票功能基本都会带上不同的加价套餐，价钱越贵抢票速度越快，如果使用免费抢票，则会提示成功率较低。 事实上，用户无法确定加价和成功率的线性关系。抢票软件的客服人员只表示，加价只是增加成功几率…

MalwareHunterTeam 的安全研究人员发现，勒索软件变种 FireCrypt 自带了某些新功能，允许攻击者发动小规模的 DDoS 攻击。 勒索功能 一旦，恶意 EXE 文件被触发，FireCrypt 将杀死计算机的任务管理器（ taskmgr.exe ）并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名。加密完成后会索要 500 美元赎金。FireCrypt 和勒索软件 Deadly 源代码很相似，都使用源代码的电子邮件和比特币地址，很有可能…

安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞，PHP代码审计大家比较熟悉了，Java代码如何进行安全审计呢？本期邀请到孙爱萍小伙伴为大家分享Java代码审计。 关于分享者： 孙爱萍是京东高级安全工程师，有着多年的Java代码审计经验，参与京东代码安全审计平台建设。   >>>1<<< 豌豆妹 Java的漏洞出现的原因是什么？ 小丸子  1、程序员编码不当，编码时未考虑安全性。例…

估计当今世界上不会有第二家公司，比曾经大名鼎鼎的互联网巨头雅虎更懂得“后悔药”的滋味：2008年，当时的雅虎在最“时髦”的业务———搜索引擎领域稳居第二；在传统的电子邮箱业务上也保持领先。此外，手里还握着个当时被认为是“摇钱树”、前途无量的USdisplay，“除了缺流动资金别的问题不大”，就连当时红遍天下的新当选总统奥巴马，也不敢对雅虎这个“IT界老江湖”有半点不恭之意。然而就在这一年，雅虎的创始人、时任C EO杨致远却轻蔑地拒绝了微软470亿美元的打包收购要约，理由是“小瞧了我们雅虎”，当时雅虎最高峰市值125…