2022年04月06日
本文转载自微信公众号“数世咨询”(dwconcn)。零日漏洞是间谍工具和网络武器的原材料。由于国家资源的支持,漏洞交易利润巨大,这也是中间人从未公开讨论的原因。▶ 危险之旅20132000年,关于我开始了解零日漏洞的谣言突然传开。零日漏洞的交易者和漏洞交易者,包括使用代码编写漏洞的人,都开始警惕我。我被拒绝参加黑客论坛,有些人甚至花钱雇人入侵我的电子邮件或手机。但我无意中知道的信息是我继续旅行的动力。世界基础设施竞争已经转移到在线,数据也不例外。访问这些系统和
2022年04月06日
Chrome 浏览器阻止浏览器对 TCP 访问554 端口,防止使用 NAT Slipstreaming 2.0 攻击漏洞。去年,安全研究人员披露了新版本的 NAT Slipstreaming 漏洞允许恶意脚本绕过网站访问者 NAT 防火墙,访问者内部网络上的任何 TCP/UDP 端口。因为这个漏洞只针对路由器的应用层网关(ALG)由于包括 Chrome、Safari 和 Mozilla 浏览器开发人员已经阻止了不会收到大量流量的易受攻击的端口。当漏洞首次披露时,Chrome 87 开始阻止
2022年04月06日
3 每月 12日新闻 HotHardWare微软封堵了 报道IE 浏览器漏洞多次被黑客用来夺取服务器控制权。今年1月,谷歌警告安全研究人员使用 IE 攻击漏洞。起初,谷歌威胁分析小组 (TAG)其他研究人员发现,黑客通过在博客网站上挂病毒来招募所有访问该网站的电脑。现在,微软已经在 Internet Explorer 和 Microsoft Edge 修复了这个关键漏洞。当 TAG 今年早些时候宣布使用 IE 发动漏洞攻击时,几名安全人员表示,黑客假装研究人员联系他们“合作&
2022年04月06日
当代的CPU设计很复杂,发现漏洞很正常,现在又多了一个新的漏洞,影响很大,AMD、Intel、苹果甚至三星的处理器都被招募了。据报道,美国康奈尔大学最近就在苹果M1他们的目标之一是限制或禁用处理器JavaScrit在脚本的情况下,主要使用可攻击系统的方法CSS、HTML代码实现侧信道攻击。由于JS脚本是可执行的,所以通过JS入侵很容易预防,而且CSS、HTML如果代码也能证明攻击,就有可能“微架构网站指纹攻击“打开大门。最后,他们真的发现了这种可能性,M1在处理器上发现了
2022年04月06日
在苹果蓝牙位置跟踪系统中,网络安全研究人员发现了两个不同的设计和实现漏洞。攻击者可以利用这些漏洞找到位置相关的攻击,并实现过去7天位置历史信息的非授权访问。研究结果是德国达姆斯塔特理工大学Open Wireless Link (OWL)该项目主要研究苹果无线生态的安全和隐私。Find My原理Apple 设备中有一个叫做Find My其特点是更好地定位其他苹果设备,包括iPhone、 iPad、 iPod touch、 Apple Watch、 Mac、 AirPods等。在iOS 14.5
2022年04月06日
在某种程度上,互联网上的每个网站都容易受到安全攻击。从人为错误到网络犯罪团伙的复杂攻击都在威胁范围内。网络攻击者的主要动机是赚钱。无论您是运营电子商务项目还是简单的小型商业网站,潜在攻击的风险都在那里。知己知彼,百战不殆。在当今网络时代,知道自己面临的威胁比以往任何时候都更重要。每一次恶意攻击都有自己的特点。不同类型的攻击太多了,似乎不太可能全面抵御所有攻击,没有死角。但我们仍然可以做很多工作来保护网站,减轻恶意黑客对网站的风险。从仔细审视互联网上最常见的10种网络攻击开始,看看你能采取什么方法
2022年04月06日
本文转载自微信公众号“前端先锋”(jingchengyideng)。Web 安全已经是 了Web 开发中一个重要的组成部分,而许多程序猿往往希望专注于程序的实现,而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题,等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全,甚至努力成为白帽黑客。常见 Web 信息安全一般来说 Web 安全需要三个安全要素: &n
2022年04月06日
2020年是特殊的一年。受全球疫情影响,世界已经转变为数字化优先模式,这也要求安全团队跟上潮流,快速调整。同时,不断变化的攻击面和复杂的数字生态系统也给安全团队带来了新的挑战。在过去的一年里,白帽子尽了最大努力帮助医疗服务业,从支持企业完成紧急数字化转型到投入大量时间。全球知名漏洞众测平台HackerOne2020年白帽黑客提供调查报告。报告显示,在疫情流行的背景下,白帽与安全团队形成了友好的共生伙伴关系,专业知识多样强大。报告显示,2020年HackerOne共有100多万白帽黑客发放了400
2022年04月06日
近几周来,微软检测到多个利用0 day利用漏洞攻击微软Exchange 服务器攻击活动。其中,使用微软Exchange服务器中的ProxyLogon漏洞,CVE编号为CVE-2021-26855,攻击者可以绕过认证,冒充其他用户。在攻击活动中,攻击者利用漏洞攻击Exchange 服务器,访问电子邮件账户,安装其他恶意软件,实现对受害者环境的长期访问。ProxyLogon漏洞概述3月2日,Volexity 公开宣布检测多种用途ProxyLogon漏洞来攻击Exchange 服务器的案例可以追
2022年04月06日
本文转载自微信公众号“数世咨询”(dwconcn)。高漏洞赏金引人注目,但并未缓解应用安全缺陷。Zoom最近,众包安全项目发放的漏洞赏金单价提高到最高5万美元。高赏金已成为媒体头条新闻,吸引安全人才投资挖洞和欣赏,但也提出了一个问题:漏洞值多少钱?前渗透测试员和Bugcrowd Top10研究员,CDL现任首席信息安全官Alex Haynes与您分享他对漏洞价值几何的看法。几年前,Zoom当众包安全项目刚刚成立时,我在Zoom在产品中发现了几个漏洞。其之前发现了三个漏