前言 今天我们将一起来围观下Microsoft Edge存在的一些设计上的问题——当这些问题组合在一起时就会形成通用跨站脚本攻击(UXSS)。如果你想弄明白这个漏洞,但你又恰好不是安全研究员的话,你可以尝试这么理解:当你访问一个恶意站点时,攻击者可以获取你的cookie、更改你所看见的页面内容以及窃取你的个人信息等。除此之外,因为Microsoft Edge使用受保护的内部资源来实现某些特殊功能,攻击者也有获取这些资源和更改Edge配置的潜在可能。 此处提供两个演示视频:导出bing的cookies和篡改natur…
前言 2016年,安卓手机系统漏洞可以用“肆虐”来形容,经过我们盘点,每个月都会爆出至少一个重大安全漏洞,几乎影响所有的安卓系统手机。这里面有来自Google的预警公告,也有白帽子通过360SRC平台提交的漏洞。在这里一并感谢大家对360手机安全所做出的贡献。接下来,360 Vulpecker Team对这些漏洞为我们做了独家解读,以便于大家理解。同时也提示大家,别忘了查查你自己的手机噢,如果你用的是安卓手机的话。 2016安卓手机漏洞年终盘点 本文由 安全客 原创发布,如需转载请注明来源及本文地址。…
欧洲刑警组织(Europol)周一宣称,在其分布式拒绝服务(DDoS)网络攻击工具用户追查行动中拘捕了34人。这场行动于2016年12月5至9日展开,得到了世界各地执法机构的配合,包括澳大利亚、比利时、法国、匈牙利、立陶宛、荷兰、挪威、葡萄牙、罗马尼亚、西班牙、瑞典、英国以及美国。Europol表示,除拘捕了34人以外,还有101位嫌疑人被约见及警告。 欧洲刑警组织(Europol)称大多数犯罪嫌疑人都使用了DDoS工具及恶意软件 Europol确信被捕者均购买了Stresser和Booter工具,以恶意部署软件,…
肯德基公司发出警告,其设在英国的上校俱乐部120万成员个人信息可能被盗,请大家尽快修改账户密码,泄露的个人信息包括姓名、 地址、 电子邮件地址。 上校俱乐部忠诚计划是KFC肯德基独家向英国和爱尔兰推出的,由上校俱乐部移动应用程序和奖励卡组成。百胜餐饮集团没有回应问题,以求当它发生和违反的程度等违反的细节。肯德基公司的发言人透露,这次攻击来自自动化软件的密码猜测攻击。 肯德基的网站没有防范密码猜测 Brad Scheiner, head of IT at KFC U.K. and Ireland said in a …
本周绿盟科技发布政府行业资讯周报,该周报为绿盟科技政府行业专家结合多年政府行业工作经验打造,着重关注政府行业重要安全事件。如下为报告全文: 工业和信息化部印发关于开展互联网基础管理专项行动的通知 为落实中央网信办与我部《关于印发<“加强网站管理 落实属地责任”工作方案>的通知》(中网办秘字〔2016〕627号),加强网站备案、IP地址、域名等互联网基础管理,严格落实实名制,我部将组织开展互联网基础管理专项行动。现将《互联网基础管理专项行动工作方案》印发给你们,请认真贯彻执行。 http://toutia…
据外媒报道,国外社交网站 Facebook 出现了一个新的“欺诈”骗局。如果你在 Facebook 上看到某某明星流出的成人视频,请不要点击,骗子正试图诱骗 Facebook 用户点击该视频链接、随后会下载安装恶意软件。一旦安装,恶意软件会不断在浏览器中显示广告页面,如伪造的彩票网站。研究团队 Cyren 还发现了一种恶意 Chrome 扩展插件通过这种 Facebook 骗局传播。 这些消息中包含一个 PDF 文件,其中含播放按钮图像的明星裸体图片,诱骗用户认为这个 PDF 包含一个视频链接,点击后链接重定向至 …
国家电网面向 4 亿用户推出的掌上电力 App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向 21 世纪经济报道爆料:“掌上电力、电 e 宝 App 正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入黑产,危害持续扩大。” 掌上电力系国内首批电力便民服务类 App,注册用户可以通过该 App 进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。2016 年 11 月开始,国家电网在全国 27 个省(市、区)开始全面推广掌上电力,目前已拥有接近 9000 万用户。 知情人士透露,…
现在许多汽车车主都会选择使用 ETC 信用卡,此类信用卡最大的优点是让车主在通过高速路收费站时能走 ETC 快速通道,自动扣取路费无需人工操作,省时省力。一般银行都默认为 ETC 信用卡开通 200 – 300 元的免密支付功能,而日前网上曝光的一段小视频显示,似乎有人利用这一普遍现象从中获取非法利益。 视频中一人用一台移动 POS 机在进行刷卡收费金额确认的操作后,将 POS 机贴在 ETC 信用卡附近的汽车挡风玻璃上,便成功刷走卡里的 100 元。操作者展示了上述流程结束后产生的签购单,底部显示“交易金额未超 …
据外媒报道,英国政府公布了 2015 年制定的国家安全战略与战略防务与安全审查 (SDSR) 计划的实施情况,并汇总成:2016 国家安全战略实施年度 PDF 报告( National Security Strategy and Strategic Defence and Security Review 2015 First Annual Report 2016)。 国家安全战略与战略防务与安全审查(SDSR)计划于 2015 年 11 月发布执行,并于 2016 年 12 月发布了第一份年度报告,报告阐述了英国政…
据外媒报道,周一早上 9 点左右澳大利亚税务局( ATO )网站突然“离线”不可用。官网显示“由于原因不明的‘硬件问题’,导致网站暂时停用,技术人员正调查、解决问题,敬请期待更新。” 后经调查,此次硬件问题导致澳大利亚税务局丢失了 1 PB 数据。 1 PB 数据大约是 1000 万亿字节,换成双层蓝光光盘存储需要 2 万张,相当于 50 万小时的高清串流数据,换算成流量你可你观看美国电影《 鲨卷风 3 》 33 万 3 千次。 澳大利亚税务局证实,这次事故是由于 HPE 公司提供的硬件存储设备出现问题。据称,税务…
自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。 2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:攻击者首先向受害者的手机发送含恶意应用下载链接的短信;攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接,下载安装恶意程序,最终获取受害者手机的root权限;恶…
作者:中关村在线 发布时间:2016-12-14 根据外媒最新报道,美国卡耐基梅隆大学的计算机应急响应小组(CMU CERT)在上周末发布公告称,他们发现目前市面上在售的Netgear(美国网件)无线路由器存在一个严重并易于被攻击的安全漏洞。因此建议网件用户在该漏洞修复前停止使用相关路由器产品,以防中招。 据悉,目前已被确认受该漏洞影响的网件路由器型号,包括R6400、R7000以及R8000。同时,在上述路由器上运行1.0.7.2_1.1.93及更早固件版本的网件路由器也被指出容易遭受攻击。而且研究人员表示,网件…
作者:cnbeta.com 发布时间:2016-12-14 据外媒报道,近日黑客Kapustkiy入侵了俄罗斯驻荷兰大使馆领事馆网站(ambru.nl) ,并获取了包括姓名、电子邮件地址、电话号码和护照号码在内的个人信息。目前该网站已经恢复正常运行。尽管外媒试图联系该网站管理官,但并未得到任何回应。 Kapustkiy表示,他获得了约3万名用户的个人信息,但为了留给网站管理官更多的时间来处理漏洞,他决定只泄露一部分细节。 向往常一样, Kapustkiy声称他入侵这个网站并不是为了公开这些个人信息,而只是为了帮助网…
作者:21世纪经济报道(广州) 发布时间:2016-12-14 国家电网面向4亿用户推出的掌上电力App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向21世纪经济报道记者爆料:“掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入‘黑产’,危害持续扩大。” 掌上电力系国内首批电力便民服务类App,注册用户可以通过该App进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。该App在2014年推出后,在北京等地区曾经推出首批试点。2016年初,该App在北京、…
作者:cnbeta.com 发布时间:2016-12-14 尽管微软声称自家 Edge 是“最安全的浏览器”,但新发现的一个缺陷,却让骗子可以借助虚假的 SmartScreen 报错界面来忽悠人。在一份新报告中,阿根廷安全研究人员 Manuel Caballero 提到了他的新发现,欺诈者竟然可以强制 Edge 浏览器显示虚假的 SmartScreen 错误警告,然后提取用户的个人信息。 SmartScreen 是一项用于保护 Edge 浏览器用户原理危险站点的功能,正常状态下的它如上所示。 Caballero 披…
作者:凤凰科技 发布时间:2016-12-14 环球银行金融电信协会(SWIFT)近期向世界各地的银行警告称,自今年2月黑客盗走孟加拉国中央银行的8100万美元存款以来,多起瞄准全球银行转账系统的黑客攻击已经成功盗走多笔资金。SWIFT表示,如今黑客的手段已变得更加成熟,各家银行需对此提高警惕。SWIFT在上月初向银行致信,就日益严峻的黑客攻击活动向后者发出警告。路透社日前获得了该信件的内容。这些攻击和新的黑客策略凸显出,SWIFT的消息网络正面临着持续的威胁,这一网络每天处理的资金量高达数万亿美元。 SWIFT在…
自 LG 最新的旗舰手机 LG V20 发布以来,已经有一个多月了。作为 LG 全新推出的旗舰机,尽管有些 小小的不足,但仍然在亚马逊上的手机关注排行榜上,引起了诸多的关注。但就像我们使用其它大多数 Android 手机一样,如果我们想要更好的使用它,那么我们就必须取得它的 Root 权限! 但不幸的是,这款 LG 手机并不像之前的 LG 版本,可以通过 LGPU 的 KDZ 或者 TOT 来进行刷机,从而获取到 root 权限。这也就意味着,我们必须使用其它的方法,来完成 root 的操作!这里简单介绍下 KDZ…
根据国外媒体的最新报道,来自MalwareHunterTeam的恶意软件研究专家在暗网中发现了一种名为PopcornTime的新型勒索软件。这款勒索软件目前仍处于开发阶段,而且研究人员还在暗网中发现了这款勒索软件的源代码。 需要注意的是,这款勒索软件有一个非常与众不同的特性,它给受感染的用户提供了两种选择:支付赎金来解锁数据,或者使用推荐链接感染再感染两名其他的用户。这样一来,当另外两名潜在的感染用户支付了数据赎金之后,之前最初受感染的那位用户就可以收到一个免费的解密密钥,并使用这个密钥来解锁自己被勒索软件加密的文…
安全测评综述 针对手机系统的安全性测试,我们从近期的Android和chrome安全公告中,选取了25个漏洞作为评判手机安全性的依据。这25个漏洞的基本信息如表1所示,包括漏洞对外公布的时间、漏洞的严重级别、漏洞类型和漏洞简述。漏洞的严重级别有严重、高、中三个级别。漏洞的类型我们分了三类,包括远程攻击漏洞、权限提升漏洞和信息泄露漏洞。 漏洞编号 公布时间 严重级别 漏洞类型 漏洞简述 CVE-2015-1805 2016.03.18 严重 权限提升…
一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄漏,其中包括了各种丑闻记录,这些记录让希拉里形象一落千丈。间接地导致了竞选的失利。 那么问题来了,原本处于绝密状态的邮件为啥会被公之于众? 没错,钓鱼邮件。这也多亏希拉里的一班猪队友,波斯得塔在错误的时间点开了错误的邮件。这封邮件大意就是说…
今年早些时候,为了解企业网络安全和程序合规性面临的挑战,Tripwire曾委托Dimensional Research咨询公司,对全球500家企业的信息安全专家开展了问卷调查。而在2016年Tripwire完成的安全威胁调查活动中,很多行业都从不同层面反映了对信息安全人才的重视和需求,当然,这也侧面说明了信息安全专业人才存在的巨大缺口。 在Dimensional Research发起的调查中,很多IT专家都对其企业的信息安全状况和能力表示担忧,持悲观态度。有75%的受访专家表示,由于人才短板或缺乏技术经验,导致企业…
你在用Netgear网件的路由器吗?最近需要格外小心了。CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这Netgear R7000和R6400两款路由器——缘于其高危漏洞。Netgear方面已经确认,受到影响的不止这两个型号。 12.14 Update:网件推临时beta固件 Netgear今天给FreeBuf发来一份有关漏洞的说明,一方面明确了漏洞(#582384 命令注入安全漏洞)的存在性,并且提到: 美国网件正在研发一个固件,这个固件用来修复命令注入的漏洞,并会尽快发…
PirateBox 是一个由著名黑客组织 Anonymous 所开发的,用于保护用户的隐私和提供更可靠匿名性的,线下交流系统。它可用于文件共享,聊天交流,还提供留言板和流媒体的服务。你可以把它看成是一个便携式离线互联网盒子! 当用户加入到 PirateBox 无线网络,并打开 Web 浏览器时。他们会被自动重定向到 PirateBox 的欢迎界面。此时,用户便可以进行匿名聊天,在公告牌上张贴图片或评论,观看或收听流媒体,或在其网络浏览器中上传或下载文件了。 PirateBox 设计的初衷,就是以保护用户隐私和安全性…
安全公司Forcepoint发现,一个名叫Surface Defense(表面防御)的DDoS平台鼓励其他黑客参与一场“游戏”,游戏的内容就是通过攻击政治网站得分。 网站会给参与这场“游戏”的用户们提供一款名为Balyoz(土耳其语,意为“大锤”)的工具,这款工具能够用来针对若干网站进行DDoS攻击。 用户攻击一个网站每十分钟,就会加一分,累计积分最终可获取奖品。而奖品包括一款更加强大的DDoS工具、一个僵尸网络还有一个恶作剧程序。 该DDoS平台在土耳其的黑客论坛上进行了推广,这个平台提供的攻击工具限制只能攻击2…
澳大利亚税务局官网本周“撞上”数字冰山,丢失了PB级数据,大约是1000万亿字节,需要2万张双层蓝光光盘记录,或者相当于约50万小时的高清串流数据量,或者相当于在能Netflix上观看“Sharknado 3”超过33万3千次。 幸运的是,澳大利亚税务局还有备份系统。不幸的是,备份系统也遭遇了原有网络存储系统面临的相同问题。在一份声明中澳大利亚税务局CIO史蒂夫·汉密尔顿表示,在原系统遭遇数据丢失之后,我们的主要备份系统,应该立即投入运营,但是它也有遇到了相同的问题,据我们了解,这种问题还没有在世界上任何地方遇到过…