2022年4月 第6页
-
DEFCON23:利用互联网漏洞轻松“终结”任意一个人的生命
大多数人都会有过杀了某人的幻想。如今,随着政府要求上网人士提供更多的个人信息,将幻想转化为现实简直容易,至少,在纸面上——在某些明晃晃的漏洞的恩赐下。 信息安全界人士克里斯·洛克就在拉斯维加斯本周举行的DEFCON黑客大会上展示了他的这一发现。 安全公司Kustodian的这位澳大利亚籍主管展示了“杀人”有多么简单——弄个假的出生证明,设置新身份——所有一切都在互联网巨大能量的帮助下。 “我将之称为‘生命终结漏洞’,”他说,“这是个全球性的灾难,而我还未与任何厂商联系过修复问题。” 他解释道:随着政府部门迁移到线...
-
Web安全技术之浏览器的跨域访问
一、浏览器介绍 对于Web应用来说,浏览器是最重要的客户端。 目前浏览器五花八门多得不得了,除了Chrome、IE、Firefox、Safari、Opera这些国外的浏览器外,百度、腾讯、360、淘宝、搜狗、傲游之类的,反正能做的都做了。 浏览器虽然这么多,但浏览器内核主要就以下4种: Trident:IE使用的内核。 Gecko:Firefox使用的内核。 WebKit:Safair和Chrome使用的内核。WebKit由苹果发明,Chrome也用了,但是Google又开发了V8引擎替换掉了WebKit中的Jav...
-
谭晓生:对比中外黑客, 国外黑客自由度更大
在本次黑帽和Defcon上,奇虎360可谓表现不俗,多人在BlackHat和Defcon做了演讲。展现了中国黑客们的风采。会后,记者对此次带队来参加黑帽和Defcon的奇虎360副总裁谭晓生进行了简短的专访。 记者: 谭总, 首先祝贺奇虎360 在这次黑帽和Defcon上的精彩表现。 这次黑帽和Defcon, 你也接触了不少国外的安全从业人员, 听了不少演讲, 您感觉我们中国的黑客和国外黑客对比的话, 有哪些不同, 谭晓生:我感觉***的不同, 在于国外黑客的自由度更大, 比如这次表演Hack 吉普切诺基的Ch...
-
搜房网发现黑客后门可能导致750万用户明文密码泄露
企业存储用户明文密码到底有没有错?乌云君觉得如果能保管好这些密码安全倒也无妨,可试问国内有几家公司能拍胸脯承诺做的到?所以还请企业不要尝试存储这些明文密码数据,小心别成全了黑客,也给其他行业带来灾难! 在无数的企业这两年都经历了“拖裤”的惨痛教训后,现在依然有很多企业不信邪,还是义无反顾的在记录用户的明文密码,而且还无能力保护住密码,成为黑客惦记的目标,比如:搜房网的某线上系统。 这个漏洞真的很不应该,因为漏洞源自2013年乌云疯狂预警的Struts2命令执行漏洞,没错都2015年了,搜房网还存在这个漏洞。 乌...
-
报告休斯顿地面,我们遇到bug:历数航空历史上最知名的九大软件漏洞
软件bug可以说无处不在,但在太空当中引发的麻烦(以及经济损失)却可能超出我们的想象。 无论何时,遇到软件bug总会令人头痛不已;然而在某些情况下,软件bug造成的麻烦会比其它场景更严重——例如在太空当中执行任务。无论宇宙飞船规模多大、吨位多惊人,都需要依赖软件完成自身的既定目标。然而在编写代码时,即使最简单的人为错误也可能让一次耗资甚巨的太空之旅就此宣告失败。未能对代码进行认真检查往往决定着外空间探索的成功或者失败,更不用提可能由此带来的数亿美元损失、多年工作付之东流、既定任务无法完成甚至对宇航人员的生命造成威...
-
当当网用户个人信息遭泄露 被骗十万
7月28日,有当当网用户向记者爆料称,在当当网下单买书后仅一天,个人信息就被骗子掌握,骗子利用详细的订单信息博取自己的信任,引导自己进入假网站,输入银行信息后,被转走约十万元。当当网对此回应称,可能是用户邮箱被盗导致信息泄露。 买书信息成诱饵,用户掉进假网站陷阱 7月25日上午,深圳的郭先生在当当网下单买了4本书。第二天下午2点40分左右,接到了一个自称当当网客服人员的电话,告诉郭先生昨日的订单因系统问题付款未成功,需转成货到付款,且要进入退款系统申请,把之前付的钱退回。 “他知道我前一天全部的购买信息。买了哪四...
-
Blue Coat收购云加密公司Perspecsys
颇具争议且被疑云笼罩的网络安全商家Blue Coat Systems已完成收购Perspecsys,目的是加大旗下云安全产品组合的力度。 最近被私募股权公司Bain买下的Blue Coat认为该收购(未披露条款)可令自己成为“云接入安全代理细分市场的***”。 云加密商家Perspecsys为诸如甲骨文和Salesforce等公司提供服务。GDPR的阴霾笼罩着IT行业,力求将客户数据置放的地点多元化似乎是该公司的重点。 各地豪强的老友Blue Coat承认,之所以收购Perspecsys是要希望解除财阀们对数据合...
-
美国民警卫队又陷“数据泄漏门”
继上月美政府数据泄漏事故之后,美国民警卫队又报数据泄漏事故,此次事故中,约有868000名现任和先前的国民警卫队员工受影响。 根据国民警卫队对外所称,此次泄漏数据文件包含个人姓名、社会安全号码、家庭住址以及出生日期。自2004年以来的警卫队成员皆受到牵连。 与OPM泄漏事故无关 在本次事故中,含有个人身份信息的文件被传输至未经批准的国防部环境,这引起国民警卫队的注意,着手调查并通知国防部长办公室。而调查此前OPM泄漏数据事件的国防部表示,本次事件并非同样的恶意软件活动所为,与OPM泄漏事故无关。 员工失误风险大...
-
云后端技术管理体系架构的十项修炼
在云计算产品迭代的时候,提供给用户的操作界面是可以参考当前的主流思想进行对比和设计的,但是作为不暴露给用户的云管理端技术体系该如何构建,这是一个比较复杂的问题。 360安全云产品和技术团队结合公司私有云体系的相关经验,已经着手设计并形成了完整的云后端技术管理体系架构,在本文中将与大家分享。 在云计算技术体系架构中,后端技术管理提供IaaS、PaaS、SaaS三层资源的全生命周期管理工作,不但需要实现物理资源和虚拟资源的统一管 理,更为重要的是,还需要提供资源管理、统计、监控调度、服务监控等端到端的综合管控能力。...
-
400G算什么?MongoDB数据库600T数据暴露
物联网搜索引擎Shodan的创始人约翰·马瑟利声称,由于流行数据库软件MongoDB的不安全配置和一些未打补丁的版本,导致系统管理员暴露了595.2T的数据。 1T=1024G eBay、Foursquare,以及《纽约时报》均为开源数据库MongoDB的大用户,MongoDB是一款非关系型(NoSQL)数据库。马瑟利表示,将近3万个数据库由于使用未绑定本地主机的旧版本而暴露。 总共达595.2TB的数据暴露在互联网上,可无需任何验证地公开访问。 MongoDB最近于4月28日发布了一个维护性的版本2.4.14,...