-
给漏洞打分 介绍一下CVSS与Tripwire的差异
明白漏洞评分可能是一项艰巨的任务,但是一个好的开始是首先了解风险,并能够区分风险和漏洞。多年来,人们都在交替使用这两种方法。漏洞是指由于系统功能,配置或结构的某些方面的问题,使这些资源成为了潜在被滥用,利用或拒绝服务的目标。风险则是威胁成为一个特定漏洞的可能性。有很多方法可用于对漏洞进行排序...
-
Facebook TLS1.3开源项目Fizz库存在DoS漏洞 可被用来发起大型DDoS攻击
Facebook的传输层安全(TLS)1.3协议的开源项目Fizz中的关键拒绝服务(DoS)漏洞可能导致执行代码进入无限循环的状态,从而不能正常提供服务,最终导致依赖它的任何Web服务停止运行。我们建议使用该项目的用户应立即升级,以免受到影响。Semmle的研究员KevinBackhouse发...
-
Wordpress两大插件爆0day漏洞 均在野外被利用 请尽快升级至最新版本
最近,研究人员在wordpress的两个常用插件中发现了两个0day漏洞,这两个插件分别是SocialWarfare社会化分享插件和EasyWPSMTP插件,两个插件均被上万个网站使用,已知两个0day漏洞均在野外被利用,请受影响的网站尽快升级至最新版本。SocialWarfare社会化...
-
模糊测试4G移动网络 发现36个新安全漏洞
韩国科技研究院的研究人员在4GLTE移动网络标准中发现36个安全漏洞。研究人员在论文中声称,攻击者可利用漏洞窃听及访问用户数据流量,分发伪造短信,干扰基站与手机之间的通信,封阻通话,以及致使用户断网。尽管过去也曝出过很多LTE安全漏洞,但这次的漏洞发现规模之大令人震惊,研究人员所用的方法...
-
2018年十大最常被利用的漏洞:微软排第一 “双杀”首位
据RecordedFuture发布的一份新报告显示,2018年十大最常被利用的漏洞中,绝大多数都与微软有关,但这并不是报告中有关威胁形势的唯一关键发现。虽然人们普遍认为,网络安全威胁形势每年都在发生变化,但事实证明,有些事情并没有改变。在RecordedFuture在3月19日发布的一份报...
-
研究员对金融APP逆向测试 被测样本中83%存在泄露敏感数据漏洞
白帽黑客利用逆向工程对金融应用程序进行测试,并找到了许多安全问题,其中83%的应用程序存在不安全的存储问题。并发现隐藏在应用程序底层代码中的敏感数据。研究人员表示,利用这些信息,黑客可以恢复应用程序编程接口(API)密钥并使用它们来攻击供应商的后端服务器。AiteGroup的高级网络安全分析师...
-
英特尔芯片新漏洞暴露计算机上所有数据
安全研究人员报告称,透过流经某些计算机系统主板的信号,黑客可利用英特尔VISA芯片漏洞窥探主机数据。英特尔所谓“内部信号可视化架构”(VISA既可以理解为一项功能,也可以看做一个漏洞。该架构存在于英特尔计算机系统的平台控制单元(PCH,受英特尔管理引擎(IME控制。VISA技术旨在为调...
-
90%的OT组织是网络攻击的受害者 OT设备仍存在大量漏洞
90%的OT组织表示他们的环境在过去两年中至少遭到过一次网络攻击,其中62%遭受过两次或更多次攻击。这是Tenable报告中“操作技术中的网络安全:您需要了解的7个见解”的结果,是PonemonInstitute的一项独立研究。该研究的主要亮点包括:•对攻击面的可见性不足:80%的受访者表...
-
WPA3协议中的安全漏洞使攻击者能够破解Wi-Fi密码
新一代Wi-Fi安全标准WPA3发布的一年时间以来,研究人员发现了WPA3无线安全协议中的几个严重漏洞,可以让攻击者恢复Wi-Fi网络的密码。WPA3协议是为了彻底解决WPA2协议的技术缺陷而推出的,虽然WPA3依赖于一种更安全的握手方式,称为dragonfly,旨在保护Wi-Fi网络免受离线字典攻...
-
WPA3标准被曝“超大”WiFi安全漏洞
研究人员曝光一系列边信道和降级攻击方法,可侵入受WPA3保护的WiFi网络,密码、个人信息可被攻击者在协议握手时推测出来。分别来自纽约大学阿布扎比分校和特拉维夫大学的两名研究人员揭示了5种不同攻击方法,可破解或中断运用最新版无线网络安全标准的路由器。两名研究人员已私下向WiFi联盟和计算机应急响...
-
Outlook邮件系统爆严重漏洞 用户的邮件内容可被黑客访问
据报道,最近披露的微软outlook电子邮件平台漏洞比最初想象的要严重的多,目前已经影响了大量的Outlook、MSN和Hotmail电子邮件帐户,黑客能够通过该漏洞访问用户电子邮件内容。周五,一大批Outlook用户报告收到了微软的通知。通知称,1月1日至3月28日期间数据泄露影响了帐户,但表示...
-
Google如何利用内容安全策略缓解Web漏洞
跨站脚本攻击(CrossSiteScript,简称CSS),通常又被称为XSS,是当今网络上最常见的漏洞类型之一。通过XSS漏洞,恶意攻击者可以在未经授权的情况下往Web页面里插入恶意html代码,当用户浏览该页面时,嵌入Web里面的html代码会被执行,从而达到恶意用户的特殊目的,如窃取各...
-
关注!攻击者正积极利用Atlassian Confluence和Oracle WebLogic漏洞
攻击者正在积极利用OracleWebLogic和AtlassianConfluence中的WidgetConnector的漏洞,来传递勒索软件、挖掘加密货币,并让受攻击的机器参与DDoS攻击。一、OracleWebLogic攻击CVE-2019-2725是一个反序列化远程命令执行漏洞,...
-
汤青松:PHP反序列化漏洞分析实践
汤青松中公教育高级安全工程师摘要:PHP的反序列化漏洞也叫PHP对象注入,如果达到此漏洞利用的条件,一般都会产生很严重的后果;主要原因没有对前端传入的参数进行检测,导致攻击者通过控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等不可控后果;本文就PHP反序列化进行分析讲解,议题内...
-
戴尔 PC Doctor 漏洞影响1亿台 PC
PC-Doctor是计算机诊断系统主流供应商,其产品安装在1亿台电脑上。本周被网络安全初创公司SafeBreachLabs爆出其软件中的严重漏洞后,PC-Doctor有意淡化该漏洞严重性。SafeBreach向戴尔报告了该漏洞,后者于5月28日推出了漏洞补丁,并于6月20日发布了安...
-
胰岛素泵漏洞威胁生命 医疗设备制造商召回产品
因曝出可致无线劫持的安全漏洞,医疗植入物制造商MedTronic正在召回其胰岛素泵产品。召回产品包括:MiniMed508及Paradigm胰岛素泵、CareLinkUSB控制中心和协同使用的一些血糖监测设备。美国食品药品监督管理局(FDA也于本周发布警告称,该公司此次曝出...
-
基于风险的漏洞管理是合规的必备
漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。但鉴于不同监管机构标准不同,既有效且合规的漏洞管理对不同组织机构而言可能意味着不同的东西。但有一个例外:风险!所有标准都强调了风险!具体有:PCIDSS要求6.1声明:公司企业必...
-
腾讯年度安全峰会举办在即 全球首发前沿议题探寻漏洞攻防之道
7月30日,第五届互联网安全领袖峰会(CSS2019)将在北京开幕。作为CSS2019开设的七大特色专场论坛之一,腾讯安全探索论坛(TSec)迎来第三届,将以“前沿科技、尖端对抗”为主题,现场将全球首发众多前沿技术议题,覆盖领域不仅横跨工业界和学术界,演绎产学融合之魅;还通过独特的研究视角聚焦多...
-
未经授权可任意复制文件? FTP服务器proftpd被曝存严重漏洞
一位德国安全研究人员公开披露了一个最流行的FTP服务器应用程序中存在严重漏洞的详细信息,该应用程序目前正被全球100多万台服务器使用。所讨论的易受攻击的软件是proftpd,这是一个开源的ftp服务器,被许多企业和网站使用,包括sourceforge、samba和slackware,并预装了许多...
-
31个硬件/固件漏洞威胁指南
熔断(Meltdown和幽灵(Spectre漏洞拉响了流行硬件及固件可利用漏洞的警报。本文即对其中代表重大威胁的那些做个盘点。2018年1月,名为熔断和幽灵的两个新型处理器漏洞令整个计算机行业严阵以待——这两个漏洞可使攻击者跨越操作系统隔离内核和用户空间内存的基本安全防线。现代...
搜索 "漏洞"
滇ICP备19002590号-1