人们对自己的隐私权利越来越看重，对谷歌等浏览器的信任度不像以前那般强，因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会，自 8 年前这款浏览器推出之日起，其搜索量就一直保持惊人的速度增长，2013 年斯诺登首次向公众披露美国政府对民众的监听计划后，DuckDuckGo 的搜索量更是呈爆炸性增长。 DuckDuckGo 浏览器方面称，至今一共提供了超过 100 亿次的搜索服务，其中仅去年一年就有 40 亿次搜索，增长速度是历年来最高的。在 2017 年 1 月 10 日这一天，该浏览器的搜索次数…

23 日，Google Project Zero 安全专家 Tavis Ormandy 对外表示，Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞，或可诱发大规模攻击事件。 专家发现攻击者可使用包含 magic （魔术）字符串的任意 URL 触发漏洞，从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题，但并未达到效果。研究员强调，由于 magic 模式内嵌于 <…

据路透社消息，由于越来越多的银行机构遭遇黑客入侵，欧盟正考虑对银行的网络防御能力展开压力测试。最近几年，针对银行机构的网络攻击愈演愈烈，且入侵手段越来越高明。 去年 2 月，孟加拉国央行在美国纽约联邦储备银行开设的账户遭黑客攻击，失窃 8100 万美元。孟加拉国央行怀疑，黑客事先给央行的一台打印机植入木马病毒，造成看似平常的“故障”，导致央行没能及时察觉这起震惊全球金融界的窃案。事件发生后，全球监管部门都加强了对银行的安全需求。虽然如此，复杂的网络攻击仍层出不穷。去年 11 月，英国零售巨擘特易购（Tesco）旗下…

安天安全研究与应急处理中心（Antiy CERT） 报告初稿完成时间：2017年1月13日 16时00分 首次发布时间：2017年1月16日 10时00分 本版本更新时间：2017年1月17日 8时30分 1  背景   对于“方程式组织”，在过去的两年中，安天已经连续发布了三篇分析报告：在《修改硬盘固件的木马——探索方程式（EQUATION）组织的攻击组件》[1] 中，安天对多个模块进行了分析，并对其写入硬盘固件的机理进行了分析验证；在《方程式（EQUATION）部分组件中的加密技巧分析》[2]报告中，…

苹果今天凌晨放出了 macOS Sierra 10.12.3 的正式版，这是 macOS Sierra 自发布以来的第三次升级，macOS 10.12.3 距离上个版本 10.12.2 发布过去了一个多月的时间。 macOS Sierra 10.12.3 目前已经推送给大部分用户，设备符合条件的朋友可以在 Mac App Store 中下载本次更新。在此前的测试版本当中，用户没有在这个版本中发现新功能的加入，苹果只是表示该版本主要是改进稳定性、兼容性和 Mac 的安全性，那么在正式版中又有什么内容呢？ 苹果的官方更…

Android恶意程序HummingWhale利用奇虎手机助手团队开发的插件DroidPlugin实现虚拟机功能悄悄在用户设备上安装应用。HummingWhale的传播方法不是通过第三方应用商店，而是隐身于官方应用商店 Google Play，它的大约20款恶意应用被200万到1200万毫无防备的用户下载。这一事件显示，即使官方商店的应用也不能完全信任。Google在接到安全研究人员的通知后已经将恶意应用移除。HummingWhale主要通过两种方法产生收入：展示广告和自动安装应用。它将应用安装在虚拟机里，创建假的…

工具简介 Exitmap是一个基于Python的Tor出口中继节点扫描器，具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点（的子集）上运行的任务。如果你有函数式编程的知识背景，可以把Exitmap看作是Tor出口中继节点的map（）接口。 这些模块可以执行任何基于TCP的网络任务，例如获取网页、上传文件、连接到SSH服务器或加入IRC频道（Internet Relay Chat，互联网中继聊天，它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议）。 Exitmap的实际…

Pwn2Own黑客大赛10周年版，奖金超过100万美元，目标范围涵盖虚拟机、服务器、企业应用和Web浏览器。 过去十年，零日计划(ZDI)年度Pwn2Own竞赛，成为了信息安全日历上开年重大活动之一，2017年也不例外。作为Pwn2Own竞赛十周年纪念，如今由趋势科技操办的ZDI，将比之前任何一次都走得更远，目标更多，奖金更高，只要成功执行零日漏洞利用即可获得不菲奖金。 2016年，HPE将其包含有ZDI的TippingPoint部门，以3亿美元的价格，出售给了趋势科技公司。该年的Pwn2own竞赛是两家公司联合举…

三星SmartCam是一系列基于云端服务的安全监控摄像头，最初由Samsung Techwin研发。三星于2014年将旗下的这一部门出售给了韩华集团，并随后更名为Hanwha Techwin，但目前该司的SmartCam系列产品依旧以“三星”冠名。该系监控摄像头在智能家居产品中颇受欢迎，用户可通过网络摄像头和手机应用远程监控家庭安全，亦可作为婴儿监视器使用。 由于过去几年间该款产品的多种型号都被爆出过安全漏洞，Hanwha Techwin曾采取措施禁用了Web接口和SSH，只允许用户通过手机APP和My Smart…

Check Point公司最近发表了有关2016年12月最活跃恶意软件的报告，报告表明Locky垃圾邮件的数量在12月下降了81%。而就在10月份，Locky还占据着全球恶意软件排行榜的首位，到了12月却跌出了前十。如果你以为Locky会就此谢幕，那你就错了。 大家可能知道，Locky勒索软件的主要传播途径是Necurs僵尸网络，Locky能如此肆虐主要得益于Necurs。而圣诞节前到一月中旬的这段时间是网络罪犯们享受圣诞和新年双节的时间，在此期间，Necurs命令和控制服务器处于脱机状态，所以Locky也就只能小…

安全专家指出，如果大家希望保护Android手机安全，那么设置更为简单的解锁图形可能是更好的选择。 黑客能够通过观察您的手部动作正确猜出您的解锁图形 E安全1月25日讯 目前正为无数Android用户服务的图形锁定系统看似效果出色，但根据安全专家们发布的最新结论，黑客已经能够通过观察用户手部动作而在五次尝试之内将其破解。 由中国与英国多所高校联合开展的一项研究发现，这套锁定系统并非万无一失——攻击者可以秘密拍摄用户对其手机的解锁过程，并将内容发送至计算机视觉识别程序以将手指动作同设备上的位置进行匹配。 在对120名…

Cisco的WebEx extension（jlhmfgmfgeifomenelglieieghnjghma）拥有约2,000万活跃用户，并且它也是思科Webex视频会议系统重要的组成部分。 该扩展适用于包含magic模式“cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”的任何URL，可以从扩展清单中提取。 请注意，该模式内嵌在iframe中，因此不需要用户有更多的交互，只需要访问网站就可以了。 该扩展使用nativeMessagin…

安全客2016年刊-上册（下载请点击） 安全客2016年刊-下册（下载请点击） 安全客2016年刊 还记得那些年我们看过的《黑客档案》、《黑客防线》、《黑客手册》这些杂志吗？还记得那些从杂志里认识的ID吗？多少安全人是从这一本一本的杂志中得到了启蒙，汲取养分才成长为如今的你我。时代变迁，杂志早已不是我们获取信息的第一渠道，《黑客档案》已于2013年停刊，《黑客防线》也早已更改为电子版，但不可否认的是，它们培养了一代安全人，是中国黑客历史上的瑰宝。 杂志可以停刊，但知识的传播仍要继续。作为一家有思想的安全新媒体，安全…

腾讯、清华大学和清华大学深圳研究生院的研究人员在预印本 arXiv 上发表了一篇论文，分析了 Android/iOS 市场上的一款 WiFi 管家应用（ WiFi Manager ）收集的 4 个城市 500 万移动用户 700 万 WiFi 接入点的 4 亿 WiFi 会话，发现高达 45% 的连接尝试失败。而在成功连接尝试中间，15% 所花费时间超过 5 秒。超过半数的连接设置时间成本超过 15 秒，其中 47% 的时间是浪费在扫描阶段。 他们发现，除了信号强度影响连接设置程序外，WiFi 接入点的设备型号和移…

知情人士透露称，美国监管机构正在调查雅虎，之前雅虎曾发生两次严重的数据泄露事故，监管机构认为雅虎应该及时向投资者汇报。 美国 SEC（证券交易委员会）已经开始调查雅虎，去年 12 月，它曾要求雅虎提供相关文档，SEC 试图搞清雅虎是否遵循民事证券法披露网络攻击一事。如果企业遭到网络攻击，一旦确定攻击会影响到投资者， SEC 要求企业及早披露。 2015 年雅虎遭到黑客攻击，5 亿用户的数据泄露，SEC的调查主要与本次攻击有关。2016 年 9 月，雅虎披露了 2014 年的攻击事故，公司认为本次攻击是国家支持的黑客…

继昨日报道的 BBC 新闻 Twitter 账号被盗并发布假新闻之后，《纽约时报》也遭遇相同的事情。 当地时间周日早上 9:40 ， 《纽约时报》Twitter 账户（ New York Times video @ nytvideo ）遭黑客入侵，并发布假新闻称：据俄罗斯总统普京泄露的消息，俄罗斯将对美国进行导弹攻击。 这一假新闻被迅速删除，但此后黑客组织 OurMine 再次入侵、接管了社交账号并发送消息。 OurMine：我们检测到帐户有异常活动，于是我们入侵账户，以证实该帐户是否被黑客攻击。很不幸，账户确实被…

据 Shodan 22 日一份数据报告显示，目前全球仍有超过 199,500 网站仍未修复 “心脏出血” OpenSSL 漏洞，或是源于许多组织没有正确修复漏洞所致。 2014 年 4 月 7 日，开源安全组件 OpenSSL 爆出高危漏洞（CVE-2014-0160），漏洞成因是 OpenSSLHeartbeat 模块存在一个 Bug，使攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据，而这段数据中可能包含用户的用户名、密码、密钥等敏感信息，因此该漏洞获得了一个名副其实的名字“心脏出…

据香港《文汇报》 23 日报道，澳大利亚当地移民及边境保护局计划今年试用“免人手处理”的新入境系统，于机场设立电子扫描站，利用生物识别技术辨认入境游客的面孔、眼睛虹膜及指纹，取代传统出示护照的入境程序。 消息称，澳大利亚政府预计系统普及后，可于 2020 年前自动处理高达 9 成的游客入境检查。澳政府发言人表示，自动化入境程序便利旅客，并有助边境部门应对旅客数目增加带来的挑战，集中资源辨识具威胁的入境人士。此次计划是澳政府前年公布“无缝游客入境计划”的重要阶段，预计未来 5 年耗资 9400 万澳元推动。在新计划下…

近期， 某社交应用正式推出了LBS+AR天降红包，用户需要在指定地理位置开启摄像头，就能抢到对应的红包，这种线上结合线下抢红包的模式称为O2O（online to offline）抢红包。 近两年O2O火爆整个互联网圈，各类O2O产品服务层出不穷，比如O2O美甲、O2O剃须、O2O理发，甚至你想洗脚，都有人上门给你服务！ 不料，病毒开发者也来蹭O2O的热点，将线上攻击与线下攻击结合，为感染用户提供“上门服务”…… 近期，安天AVL移动安全团队和小米MIUI捕获了一类恶意程序EvilPea，该恶意程序图标和名称与某知…

Oracle今年发布了第一批安全补丁，修复了270个漏洞，主要用于关键业务应用程序。许多缺陷可以远程利用而无需身份验证。 大多数修复是针对Oracle电子商务套件，Oracle融合中间件，Oracle PeopleSoft，Oracle零售应用，Oracle JD Edwards，Oracle供应链产品和Oracle数据库服务器等业务产品中的缺陷。 电子商务套件被公司用于存储关键数据和管理广泛的业务流程,占40％的补丁漏洞,其中118个可远程利用，最高评级的在常见漏洞评分系统中得分为9.2（至关重要）。 另外37个…

根据Google安全博客早些时候宣布的计划，从本月发布的Chrome 56起，将要求输入密码或信用卡号码的HTTP页面标记为不安全，这是Google准备将所有HTTP页面都标记为不安全的长期计划的第一步。Google警告说，当用户通过HTTP连接访问一个页面，你的行为会被人监视，你访问的内容甚至可能遭到纂改。它督促网站从HTTP迁移到HTTPS。Chrome 56目前还在Beta渠道（版本号 56.0.2924.67）。0day

过去一年，无论国内外大宗数据泄露事件均屡见不鲜。最大一宗当属雅虎数据泄露事故，先是于8月份被爆2014年年底有5亿数据泄露，又于12月被爆有10亿数据泄露。 不断叠高的数字让企业对这类事故似乎变得有些麻木，实际上这是非常危险的。在新一年，由IoT攻击带来的数据泄露事故或成为最大的安全问题。 据之前安全公司Radware《2016-2017年全球应用及网络安全报告》发现，勒索赎金是网络攻击的最主要动机，恶意软件是最常用的攻击类型，IoT僵尸网络则是一个大问题。 报告显示，49%的企业都认为网络勒索是2016年的主题。…

媒援引知情人士的消息称，美国政府监管机构正在调查雅虎的数据泄密事件，并认为此事应该尽早让投资者知晓，而不是隐瞒两年之久。 据悉，美国证券交易委员会（SEC）已经开始调查并且在去年12月份发出了文件请求，调查这家科技公司有关受黑客攻击的披露是否符合民事证券法。SEC要求，公司认为对投资者有影响时必须立即披露电子安全风险。 外界认为，此举可能意味着企业在遭遇受黑客攻击时何时对外公布情况的一个重要试点。 2014年的泄密事件导致至少5亿用户数据泄露，不过截至目前，雅虎并未解释迟到两年时间才对外披露2014年数据泄露事件的…

前言 最近，一些经常劫持并删除数据的网络罪犯盯上了不安全的Hadoop和CouchDB应用。安全研究人员在上周表示，在针对未设防的开源数据管理平台的新一波攻击中，共有28000项MongoDB及Elasticsearch应用遭到入侵。 Hadoop和Couchdb成为新一波数据库攻击的目标 本周五，负责监视MongoDB和Hadoop数据库受攻击情况的安全研究人员Victor Gevers表示，截至目前为止，126 个Hadoop应用和452个CouchDB应用已被入侵。和攻击MongoDB 及Elasticsea…

相信大多数人都对ImageMagick RCE漏洞有所知晓，该漏洞于去年4月底被发现，由于其软件本身被很多知名网站使用，且存在很多流行拓展插件，漏洞最终造成了很大影响。ImageMagick的首次漏洞发现，是白帽子stewie通过HackerOne平台的Mail.Ru网站测试发现的，该漏洞为文件读取漏洞；随后，Mail.Ru安全团队把这一漏洞报送给了ImageMagick官方进行修复。但仅在几天后， Mail.Ru安全团队研究人员Nikolay Ermishkin深入分析，又发现了ImageMagick存在的远程代…

引言 SIEM（安全信息与事件管理）在SOC操作中心中扮演着十分重要的角色，可以说它是SOC的心脏，能够收集事件并按照配置好的规则进行事件分析，同时向安全分析师发出系统入侵等异常行为的告警，并执行SOC程序。 本文旨在帮助企业评估并采购合适的SIEM产品，搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC（概念证明，可理解为产品测试，证实产品的各项优异性能）产生一定帮助。 文章主要介绍购买SIEM产品的基本思路，帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务（SaaS）的安全公司也…

最近在海外异常火爆的中国国民修图手机软件“美图秀秀”遇到了点麻烦。有外媒称，“美图秀秀”存在可疑代码，可能窃取用户隐私，并将相关数据回传到中国。依靠收集的数据，美图还可能对用户的通讯情况进行监听。对此，美图公司22日对《环球时报》记者回应说，美图一直严格遵守各大平台安全条款，严格保护用户隐私，没有窃取用户信息用于任何非法用途。 美图前后效果差别很大 美国有线电视新闻网(CNN)20日称，美图APP正在收集用户信息用作商业目的。在苹果手机中，美图APP可以跟踪监测用户的位置、机上携带信息及IP地址，并生成一个独一无二…

Android用户想要减少中招几率，常规建议是只通过Google Play商城下载和安装应用程序，尽量减少或者不使用其他第三方下载途径。去年爆发的HummingBad，让我们知道Play商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生30万美元的营收，感染用户数量已经超过8500万台，在Check Point公布的“全球最流行恶意软件”排行中位居第四。现在，这款恶意软件卷土重来，在Google Play商城上已经找到新变种--HummingWhale。 援引Check Point报道，目前已经有多款应用被Hu…

E安全1月24日讯 位于美国弗吉尼亚州阿灵顿的网络安全公司Endgame发布了一款新的软件产品，将为安全操作人员提供私人虚拟助手。 这款工具名为“Artemis”，将会用于Endgame大型端点检测和响应平台EDR。美国空军目前就在使用该平台。访问EDR平台的任何人将可以使用Artemis。 Artemis将为分析师提供安全通知、情境入侵警报和其它可操作的功能反入侵。Artemis助手持续扫描Endgame端点代理收集的综合数据集。Endgame端点代理用于评估客户端计算机网络上实时发生的数百万个事件的信息。 该产…

我们才刚刚踏入2017年不久，就已经有一些工业控制系统（ICS）相关的安全事件被曝光。媒体通常报道这些事件，并大肆宣传以引起全世界更加重视网络攻击对工业和关键物理基础设施带来的威胁。2017年，ICS安全将成为主流媒体的话题，原因如下： 1. ICS恶意软件的威胁不断增加 针对ICS技术的新恶意软件将在不久的将来出现，并将针对专有工程协议改变PLC和其它工业控制器的工作方式。如果发布这类恶意软件而不受控制，可能会影响各种工业和关键基础设施，因为这些基础设施使用的设备均来自为数不多的几个供应商。目前已具备创建这类恶意…

0x00 前言 针对Windows的所有的与位置无关代码（PIC）的核心功能的基础就是实时解析API函数的地址。它是一个非常重要的任务。在这里我介绍两种流行的方法，使用导入地址表（IAT）和导出地址表（EAT）是目前为止最稳定的方法。 自从2007年Windows Vista发布以来，地址空间布局随机化（ASLR）在可执行文件和动态链接库中启用，这些开启ASLR的库用来缓解漏洞利用。 但是在ASLR出现之前，20年前的病毒开发者同样遇到一个相似的问题，kernel32.dll基址的无意的“随机化”。 第一个Wind…

前言 最近，一些经常劫持并删除数据的网络罪犯盯上了不安全的Hadoop和CouchDB应用。安全研究人员在上周表示，在针对未设防的开源数据管理平台的新一波攻击中，共有28000项MongoDB及Elasticsearch应用遭到入侵。 Hadoop和Couchdb成为新一波数据库攻击的目标 本周五，负责监视MongoDB和Hadoop数据库受攻击情况的安全研究人员Victor Gevers表示，截至目前为止，126 个Hadoop应用和452个CouchDB应用已被入侵。和攻击MongoDB 及Elasticsea…

问题背景 Android程序代码混淆是Android开发者经常用来防止app被反编译之后迅速被分析的常见手法。在没有混淆的代码中，被反编译的Android程序极其容易被分析与逆向，分析利器JEB就是一个很好的工具。但是加了混淆之后，函数、变量的名称将被毫无意义的字母替代，这将大大提高分析的难度。有的甚至会增加一些冗余代码，比如下面的例子： 1 2 3 4 5 6 7 8 9 10 11 12 13 public void doBadStuff() {     int x;     int y;     x = In…

据外媒报道，日前隶属于 BBC 的一个 Twitter 账号被盗并发布了一条令人震惊的消息：“突发新闻：特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除，BBC 方面表示这一假新闻出自黑客之手。 “我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久，美国黑客组织 OurMine 控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据 BBC 方面披露，OurMine 并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应：“第一次攻击并不是由我们发起。由于我们在这个账…

安全公司 Doctor Web 警告称，Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内，Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来，犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后，木马会尝试诱骗用户授予其管理权限，并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制（C＆C）服务器，并可以执行以下操作： 发送短信； 拦…

摘要：据外媒报道，日前，隶属于BBC的一个Twitter账号被盗并且还公布了一条令人震惊的消息--“突发新闻：特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除，BBC方面表示这一假新闻出自黑客之手。“我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久，美国黑客组织OurMine控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据BBC方面披露，OurMine并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应：“第一次攻击并不是由我们发起。由于我们在这个账号上发现…

Adobe在上周放出了新版Acrobat Reader DC软件，作为当前一款非常流行的PDF文档阅读器，立刻吸引到众多网友纷纷下载使用。不过，来自Google信息安全团队Project Zero的研究人员发现，在下载新版Acrobat Reader DC软件的同时，其会在未清楚告知使用者情况下，自动在Chrome浏览器上安装Acrobat的扩展插件。 Acrobat Chrome浏览器插件曝出XSS漏洞 原本是提供用户浏览PDF等文件使用的阅读器Acrobat Reader DC，过去都是独立存在的，但在此前推出…

早在去年11月底，FreeBuf曾报道过，美国国防部和HackerOne共同发布的一项漏洞赏金计划，名为Hack the Army，针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个，先前还有Hack the Pentagon（针对五角大楼的）。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人，来入侵美国陆军计算机系统。昨天，Hack the Army众测竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给…

根据Tor官方的统计，阿联酋Tor连接用户数在短短数天内从1万左右增加到了30万以上。这一增长规模难以置信，因此一种可能的解释是阿联酋政府部署了基于DPI的屏蔽技术，导致连接失败率大幅增长，从而产生了统计异常。类似的现象以前也发生过，在土耳其屏蔽VPN和Tor之后，土耳其的Tor用户数也在统计中出现了大幅增长。Tor中国用户数保持平稳，不到一千。 如果此文章侵权，请留言，我们进行删除。0day

2011 年微软进行的一项调查显示，有 94% 的用户认为基于地理位置的服务具有价值。但是调查中也显示，52% 的人也关注与使用地理位置数据有关的隐私问题。我们在生活中使用 GPS、IP 地址及 Wi-Fi 获取基于位置的服务，实现实时导航、本地天气、地理定位的功能，但在无形之中，它也泄露了我们的隐私。 此前数据科学家 Anthony Tockar 在西北大学读研究生时，就采用可公开获取的位置数据，通过交叉参考公共新闻与照片，跟踪位于纽约市的名人。 隐私问题已经成为了研究界所关注的焦点，南洋理工大学的萧小奎表示，「…

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词，很多个厂家、行业都在热火朝天的做着“大数据”，随着2016年的过去，新的一年到来，让我们也针对web漏洞进行一次“大数据”分析。 众所周知的https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台，那么我们分析下2016年度web漏洞情况。 打开https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。 每个漏洞都占有一行，…

工具简介 Exitmap是一个基于Python的Tor出口中继节点扫描器，具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点（的子集）上运行的任务。如果你有函数式编程的知识背景，可以把Exitmap看作是Tor出口中继节点的map（）接口。 这些模块可以执行任何基于TCP的网络任务，例如获取网页、上传文件、连接到SSH服务器或加入IRC频道（Internet Relay Chat，互联网中继聊天，它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议）。 Exitmap的实际…

E安全1月22日讯 即将于今年2月召开的RSA 2017信息安全大会将带来众多热门议题，其中包括机器学习、物联网安全、云安全以及其它众多核心议题将成为本届创新沙盒大赛的重要竞逐单元。而每年的入选企业会成为本年度安全创新技术风向标，往往在下一轮的收购热潮中，这些入选企业也会成为大企业争相抢购的目标。目前共有87家企业申请参与此次创新沙盒大赛。 我们就此通过Wordcloud生成器查询了RSA大会官方新闻公告当中提供的企业描述信息，而生成的图形结果显示这些初创企业需要保护的核心要素正是“数据”这一宝贵的资产。最令我们意…

路透社今日援引欧盟官员和其他知情人士的消息称，由于越来越多的银行机构遭遇黑客入侵，欧盟正考虑对银行的网络防御能力展开压力测试。最近几年，针对银行机构的网络攻击愈演愈烈，且入侵手段越来越高明。去年2月，孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击，失窃8100万美元。 孟加拉国央行怀疑，黑客事先给央行的一台打印机植入木马病毒，造成看似平常的“故障”，导致央行没能及时察觉这起震惊全球金融界的窃案。该事件发生后，全球监管部门都加强了对银行的安全需求。 虽然如此，复杂的网络攻击仍层出不穷。去年11月，英国零售…

人们对自己的隐私权利越来越看重，对谷歌等浏览器的信任度不像以前那般强，因此像DuckDuckGo这样的注重个人隐私的匿名浏览器抓住了机会，自8年前这款浏览器推出之日起，其搜索量就一直保持惊人的速度增长，2013年斯诺登首次向公众披露美国政府对民众的监听计划后，DuckDuckGo的搜索量更是呈爆炸性增长。 DuckDuckGo浏览器方面称，至今一共提供了超过100亿次的搜索服务，其中仅去年一年就有40亿次搜索，增长速度是历年来最高的。在2017年1月10日这一天，该浏览器的搜索次数达到了1400万次。2016年，D…

0x00 前言 今天一个名为Spora的新勒索软件家族浮出水面，其在俄语中是孢子的意思。这款勒索软件最值得注意的是强健的加密机制，离线工作能力和一个非常完善的赎金支付网站。而这个赎金支付网站是我们目前看到的最复杂成熟的一个。 Spora勒索软件首次发现是在Bleeping Computer和卡巴斯基论坛。接下来的分析由Bleeping Computer的Lawrence Abrams提供，以及MalwareHunterTeam和Emsisoft的Fabian Wosar。 0x01 Spora通过钓鱼邮件传播 目前…

JSONP注入是一种鲜为人知却又相当普遍和危险的漏洞。JSONP是随着最近几年JSON、Web API的迅速崛起和对跨域通信的迫切需要而应运而生的。 什么是JSONP？ 这里我们假设大家都已经了解JSON了，所以下面直接开始讨论JSONP。JSONP(JSON with Padding)是JSON的一种“使用模式”，可用于解决主流浏览器的跨域数据访问的问题。 让我们举个例子。 我们的网上银行应用程序，http://verysecurebank.ro，已实现一个API调用，可以用来返回当前用户的交易数据。 这样，通过…

前言 SOP（同源策略）可以说是Web安全的最核心的安全机制，一旦被绕过，就可能导致重大的安全漏洞。 SOP原理 正如我们所知道的，所有的浏览器在试图访问来自不同来源的资源时都会施加一些限制。 当然，我们可以播放音乐和渲染图像来自不同的域，但是由于同源策略的限制，我们将无法读取这些资源的内容。 例如，我们可以在canvas上绘制图像，但除非同源，否则我们无法使用getimagedata读取图片像素信息。同样的规则适用于脚本。我们可以自由加载外部脚本在不同的域，但如果有一个错误，我们将无法获得任何细节，因为错误本身可…

去年安全加报道过， 黑进陆军 美国军方启动了一个漏洞奖励计划 请求白帽子帮忙扫清漏洞 ，这项计划向注册的、受邀的参与者公布开放，攻击目标包括一系列陆军网站和数据库。对于在计划内，能够在军方面向公众的网站上发现漏洞的黑客，美国陆军将提供现金奖励。昨天，Hack the Army竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给白帽子的奖励金币 Hack the Army计划 317人参与 收到416份漏洞报告 Hack the Army计划就是要让美国陆军“把钱放进我们嘴里”，“向美军红队和DDS团队及其…

无独有偶， 绿盟科技金融事业部的2017年1月刊中 也弄了2016年金融安全大事件盘点，这篇文章通过分析整理2016年金融行业安全事件和热点事件，从8个方面来总结金融行业面临的行业现状、监管要求、安全风险等，也给金融行业的2017年信息安全建设给出可落地的参考建议。 监管文件抢头条  移动终端是热点 信息泄露成常态  钓鱼欺诈手段多 内网问题隐藏深  里应外合要警惕 外网防线待加强  应急机制需落地 2016年金融行业的信息科技继续蓬勃发展，技术创新层出不穷，大数据、云计算、区块链和移动互联等方方面面的技术摸索和尝…