-
Snapchat指责第三方应用存在安全漏洞导致用户照片泄漏
据路透社报道,照片分享服务Snapchat指责由于第三方应用存在安全漏洞,导致其用户的私人照片面临被黑客在网上公开的风险。据报道,黑客窃取了至少10万张Snapchat的照片,并将其制作成一份文件准备发布在网上。Snapchat允许用户发送对方接受后几秒钟内消失的照片和视频,即所谓的“阅后...
-
从雅虎频繁曝出SQL漏洞看SQL注入威胁
漏洞发现过程漏洞是由安全研究员BehrouzSadeghipour发现的。通过盲注,Behrouz发现了雅虎贡献者网站存在一个SQL漏洞,该漏洞可能会使黑客利用来窃取用户和作者的个人信息。接到Behrouz的报告之后,雅虎积极响应,不到一个月的时间便对该漏洞进行了修复,但是修复之后...
-
“大破坏”来袭:利用破壳漏洞的恶意软件
一个名为“大破坏”(Mayhem)的恶意软件,正在利用Bash中的漏洞(Shellshock,国内称为破壳)悄悄地在Linux和Unix服务器上蔓延。本周二,一家反恶意软件组织在网上公布了对“大破坏”的详细分析。目前尚未得知有多少服务器被感染,但在破壳漏洞爆发前该恶意软件已经感染了1400...
-
张金瑞:从三个方面入手杜绝“安全漏洞”
近年来,我国信息化迅速发展,同时面临的信息安全形势也异常严峻,来自外部的信息窃取和攻击接连不断,自主可控和保障能力不足,安全威胁严重凸显。政府采购管理部门一定要把国家信息安全放在首要位置,更好发挥政府采购的政策功能,通过政府采购杜绝预留“安全漏洞”和“后门程序”的国外信息产品,促进自主创新,促进...
-
揭秘:Google是如何发现“心脏出血”漏洞的
“心脏出血”漏洞(Heartbleed)已经过去6个月时间,这个一度被视为互联网上最严重的网络安全漏洞(现在被“破壳”取代),在目前仍不可小视。这个漏洞由Codenomicon、Google两家公司分别发现。作为最初漏洞发现者,Codenomicon公司的三名成员很早就对外公布了他们的发现经过,...
-
美国如何堵住财政监督信息系统漏洞
对于财政监督信息化,美国是如何在实践中不断完善的?美国政府问责办公室(GAO)在对美国财政部国库司下属财政服务局负责管理的联邦债务计划展开审计调查后发现,涉及安全管理、数据存取监控与软件配置管理相关的财政监督信息系统普遍存在问题。近日,GAO在公布的一份调查报告中对如何提高财政监督信息化管...
-
谷歌工程师揭秘:如何发现“心血”漏洞
早在4月9日,一个代号“Heartbleed”(“心脏出血”)的重大安全漏洞被曝光,能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。尽管该漏洞已经过去6个月,但发现该漏洞的Google安全工程师一直没有透露过相关内容。笔者带着一些好奇感,从澳大利亚Risky....
-
美国网络安全体制暴露立法问题 多部法律补漏洞
近十多年来,由于网络攻击日益频繁以及网络攻击技术越来越复杂多样,网络攻击产生的经济负担和社会影响越来越广泛,美国政府对信息系统的安全性(通常也称为网络安全)越来越重视。同时,“斯诺登事件”也促使美国政府各个部门采取行动,以平衡国家安全、网络安全和公民隐私权利保护。美国对信息系统的依赖程度非常高,...
-
Google工程师Neel Mehta如何发现Heartbleed漏洞
Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下。他没有预计到主流媒体会对该bug产生如此大的热情,认为另一个同时发现该漏洞的安全公司的营销手段让Heartbleed吸引了主流媒体的关注。安全公司Codenomicon为这个漏洞制作了一个logo,...
-
Linux僵尸网络Mayhem通过Shellshock漏洞传播
Shellshock的影响还在继续:攻击者正在利用最近Bash命令行解释器发现的漏洞,通过复杂的恶意软件程序Mayhem来感染Linux服务器。Mayhem在今年早些时候被发现,由俄罗斯互联网公司Yandex进行了彻底的分析。该恶意软件通过PHP脚本进行安装,该脚本是由攻击者通过感染FTP...
-
"冰雪皇后"公司软件村安全漏洞 46个州的客户银行卡遭泄漏
据美国侨报网消息,全美著名的冰淇淋和快餐连锁餐厅“冰雪皇后”(DairyQueen已确认该公司的软件系统存在安全漏洞,其在全美46个州的数百个营销点的客户银行卡信息可能业已遭到泄露。据路透社报道,该公司9日晚表示,该公司及其一家加盟商的电脑系统遭到了名为“倒扣”(Backoff恶意...
-
变换姿势:从DHCP再挖破壳漏洞利用
破壳漏洞(Shellshock影响深远,利用起来似乎没那么容易,所以对于破壳漏洞研究利用的新方法会间歇性地出现。众所周知,利用破壳漏洞攻击Web应用程序一直是热门研究对象,并且通过其他层面挖掘破壳的利用同样是有可能的!破壳漏洞的挖掘其实也可以从其他一些应用层协议实现的,包括邮件传输协议S...
-
高中生黑客为求女神照片狂挖漏洞 一举摘得九月漏洞报告“
为求得“女神”照片,高中生黑客Mango也是蛮拼的。他为了证明自己实力,在学业之余努力挖掘手机APP和网站的安全漏洞,一举摘得360安全应急响应中心的九月漏洞报告“双冠王”。在赢得360提供的万元奖金的同时,Mango也收获了“女神”承诺给他的照片。据了解,Mango是九零后安全爱好者“网...
-
从DHCP再挖破壳漏洞利用
破壳漏洞(Shellshock影响深远,利用起来似乎没那么容易,所以对于破壳漏洞研究利用的新方法会间歇性地出现。众所周知,利用破壳漏洞攻击Web应用程序一直是热门研究对象,并且通过其他层面挖掘破壳的利用同样是有可能的!破壳漏洞的挖掘其实也可以从其他一些应用层协议实现的,包括邮件传输协议S...
-
Google发布SSLv3漏洞简要分析报告
今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0,便可以成功获取到传输数据(例如cookies。截止到发文前,还没有任何补丁...
-
美国零售业的大数据烦恼:安全漏洞百出 盈利没法入账
在说到“大数据”时,一般人首先想到的就是各类社交媒体、电信通讯商等科技企业;然而另一个涉及密集用户数据的行业是零售业。在这个颇为传统的行业中,“大数据”同时交杂着风险之惧和盈利之机。零售业巨头们动辄手握百万甚至千万消费者的购买数据、信用卡数据,但在数据安全管理上漏洞百出,售卖数据之后获得的...
-
心血漏洞再度来袭 SSL v3再曝新漏洞
风波刚刚过去,我们的厂商还没来得及松口气,今天又收到了另外一则可怕的消息:“Heartbleed”又来了!不过这次,是SSL3.0版本。根据路边社消息,99.6433%的前1000000站点均支持SSLv3。这下,真的有意思了。来看一下来自Twitter上的热火朝天的讨论吧:...
-
俄黑客利用Windows漏洞展开间谍活动
达拉斯信息安全公司iSightPartners周二发布的一份报告显示,俄罗斯黑客利用微软Windows系统中的漏洞对欧美国家政府、北约,以及乌克兰政府展开间谍活动。报告称,俄罗斯黑客攻击的目标还包括欧洲的能源和电信行业公司,以及美国一些未披露的学术机构。目前尚不清楚黑客攻击导致了...
-
Windows再曝0day漏洞 360国内首家查杀攻击样本
国外安全机构iSIGHT警告称,一个名为“沙虫”的俄罗斯黑客组织攻击了北约、乌克兰政府组织以及美国学术机构等目标,“沙虫”使用的WindowsOLE远程代码执行漏洞(CVE-2014-4114样本已在网上出现,360已在国内首家查杀此漏洞攻击样本。“沙虫”被曝是来自俄罗斯的网络间谍活...
-
Windows操作系统再次曝出0day漏洞
国外安全机构iSIGHT警告称,一个名为“沙虫”的俄罗斯黑客组织攻击了北约、乌克兰政府组织以及美国学术机构等目标,“沙虫”使用的WindowsOLE远程代码执行漏洞(CVE-2014-4114样本已在网上出现,360已在国内首家查杀此漏洞攻击样本。“沙虫”被曝是来自俄罗斯的网络间谍活...
搜索 "漏洞"
滇ICP备19002590号-1