-
算不算漏洞?PayPal帐号锁定被绕过引发争议
安全研究人员&白帽子KunzMejri近日发现了一个关于Paypal移动支付API的漏洞,攻击者可以利用该漏洞绕过Paypal的防盗号锁定设计。利用移动支付API绕过帐号锁定设计PayPal的防盗号锁定设计是这样的:如果有人多次输入不正确的密码,其PayPal帐户就会被暂时...
-
“破壳”漏洞系列分析之一
2014年9月24日Bash被公布存在远程代码执行漏洞,随后安天实验室安全研究与应急处理中心在第一时间根据信息研判,确认该漏洞可以产生严重的后果,且分布广泛,于北京时间9月24日早晨5时30分启动了A级风险应急响应。安天CERT针对该漏洞进行了严格地分析验证,确认该漏洞会影响目前主流的Li...
-
科普:为何Softnext守内安的系统无破壳漏洞?
又到了安全信息防护科普的时刻了。近来不少友商都遭遇了Bash“破壳”漏洞之苦,纷纷被披露漏洞搞得苦不堪言,名誉扫地。当然,也有不少客户疑虑着:Softnext的产品是否也有此漏洞?为何Softnext守内安的产品免遭此难了呢?早在今年4月9日,一个代号为“heartbleed”(“...
-
SSL 3.0曝严重漏洞:行业大佬集体封杀
本月早些时候,Google的一名研究人员发现了SSL3.0中的一个安全漏洞,称之为“POODLE”(PaddingOracleOnDowngradedLegacyEncryption。攻击者可以向TSL发送虚假错误提示,然后将安全连接强行降级到古老的SSL3.0,然后就可以利用其...
-
基于漏洞的安全攻防再思考:天下武功唯快不破
2014年新的漏洞不断的披露,心脏滴血漏洞、破壳漏洞、SSLv3协议的漏洞,在这些新的漏洞面前,我们投资重金打造的传统防御体系无法应对,每个漏洞的暴露都对应着安全及运维人员的辛苦不眠之夜。这些漏洞在“地下”隐藏了多长时间,被利用了多少次,才被暴露出来,暴露的时间点是否做了精确选择,这些都是一系列...
-
安卓系统爆严重漏洞, 双因素认证也不能幸免
在欧洲黑帽大会上,CheckPoint的安全研究人员Artenstein和IdanRevivo展示了了安卓系统的消息处理机制的一个严重漏洞,这可能会导致所有的安卓设备遭到潜在的攻击。这一漏洞能够使得黑客绕过应用内的安全机制,使得一些重要的应用如移动银行等遭到攻击。而且此漏洞还...
-
北京地铁收费惊现漏洞:免费充个值?
北京地铁,先别忙着涨价了,检查一下系统安全吧。国内知名安全平台乌云网发布报告称,北京地铁收费系统存在基础安全算法方面的漏洞。据悉,该漏洞属于“设计缺陷/逻辑错误”,危害等级很高,具体来说是违反国家标准《CJ/T-166》,使用了私自开发的签名算法,而且未经测试便设入工程应用,现在发现强度不...
-
干货!UPnP漏洞防御有何秘诀?
在当前的互联网领域,随着各种网络安全事件的频繁发生,如何做好安全防御,成为很多用户关注的焦点。通过暴力手段淹没目标网络的DDoS(分布式拒绝服务)攻击,是能够让受害者无法正常处理网络请求的一种高破坏力、高攻击效率的大危害网络攻击形式。在多种表现形式中,通常我们看到的是流量拥塞和带宽消耗。由...
-
微软通告 修复OLE远程执行代码漏洞
在上月的“补丁星期二”中微软更新的补丁对OLE允许远程代码执行进行了修复。我们原本以为该漏洞已经被修复,不过事实上可能比我们想象中的更加复杂。微软今天再次围绕着该漏洞发布了安全通告3010060,并提供了一键“修复”解决方案。根据微软公告显示该漏洞主要对包括WindowsServer2...
-
“破壳”漏洞系列分析之二
安天实验室安全研究与应急处理中心(以下简称:安天CERT于9月25日凌晨开始响应“破壳”漏洞,针对该漏洞的背景、原理等进行了快速地分析,摸索完善了验证方法和网络检测方法。并于9月25日10时发布了《“破壳”漏洞(CVE-2014-6271综合分析》(对应网址:http://www.antiy...
-
“破壳” 漏洞系列分析之一
2014年9月24日Bash被公布存在远程代码执行漏洞,随后安天实验室安全研究与应急处理中心在第一时间根据信息研判,确认该漏洞可以产生严重的后果,且分布广泛,于北京时间9月24日早晨5时30分启动了A级风险应急响应。安天CERT针对该漏洞进行了严格地分析验证,确认该漏洞会影响目前主流的Li...
-
微软补丁再次修复OLE远程执行代码漏洞
微软再次发布了一份安全公告3010060,仍然是关于OLE允许远程代码执行的漏洞,提供了一件解决方案。微软在安全通告3010060中称提供了一键“修复”的解决方案,用以解决OLE允许远程代码执行的漏洞,根据微软公告显示该漏洞主要对包括WindowsServer2003在内的所有微软Wi...
-
ssl3.0曝严重漏洞 苹果apns将不支持ssl3.0
由于ssl3.0网络协议最近曝出严重安全漏洞,很多相关厂商都开始采取应对措施,苹果也通知开发者,其推送通知服务(apns将删除对ssl3.0的支持,直接在providercommunication接口中将其禁用。苹果表示,推送通知今后会改用更安全的tls安全传输层协议,开发者需要注意支持...
-
360报告:30%广告插件暗藏安全漏洞
10月24日消息,360互联网安全中心发布《2014年APP广告插件安全研究报告》(以下简称报告。报告中指出,在测试的10款广告插件中,有3款存在安全漏洞,占比达到30%。360手机安全专家表示,所谓的安全漏洞本身可能是插件厂商预留,目的是可以远程控制插件,但由于缺乏有效的验证机制,这些后门很...
-
Windows曝严重零日漏洞 微软紧急打补丁
10月24日,微软日前发布了一款临时补丁,修复了Windows系统中存在的一处“零日漏洞”。该漏洞影响除WindowsServer2003外的所有Windows版本。微软表示,目前已经有黑客利用PowerPoint文件对该漏洞发动攻击。微软在安全公告中称,该漏洞存在于操作OLE(对象连...
-
安全管家完美封堵FakeID漏洞
近日,安全管家发布了一则令安全界以及安卓用户都比较兴奋的消息,一直被恶意开发者利用的安卓FakeID漏洞,已经被安全管家完美封堵,通过安全管家客户端软件以及安管云开放平台都可以查杀到相关的手机病毒。安卓FakeID漏洞是今年在黑帽大会BH2014上首次公布,此安全漏洞于2010年就存在于a...
-
安卓FakeID漏洞已经被安全管家完美封堵
近日,安全管家发布了一则令安全界以及安卓用户都比较兴奋的消息,一直被恶意开发者利用的安卓FakeID漏洞,已经被安全管家完美封堵,通过安全管家客户端软件以及安管云开放平台都可以查杀到相关的手机病毒。安卓FakeID漏洞是今年在黑帽大会BH2014上首次公布,此安全漏洞于2010年就存在于a...
-
微软Office Powerpoint遭遇0day漏洞攻击
在近日的一场黑客比赛中,特斯拉ModelS系统被黑客攻破,使得特斯拉可被远程操控实现“无人驾驶”,这加重了人们对互联网汽车网络安全性的担忧。此前的10月20日,阿里巴巴集团推出旗下最新版移动操作系统——YunOS3.0。上汽集团与阿里正合作研发的“互联网汽车”将搭载这款操作系统,预计该...
-
特斯拉全球首次被攻破 小心智能时代的安全漏洞
上周五,堪称全球最大规模的智能设备破解挑战赛在北京举行。在这次中国顶级黑客的“华山论剑”中,特斯拉无人驾驶被KeenTeam全球首次攻破。此外,一次性攻破70款主流智能手机、攻破网络银行等展示也让现场的小伙伴们惊呆了。各大安全路由器、智能家居、电视盒子、手环等主流智能硬件产品也都没逃脱被攻破的...
-
连HTTPS都有漏洞,互联网这么不安全?
嗯…说是嘉年华,其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学,也就只能当一场Show看了。对于真正的安全极客们来说,GeekPwn(极棒是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解掉手中的智能设备。...
搜索 "漏洞"
滇ICP备19002590号-1