记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CNVD漏洞周报2020年第31期

2020年07月27日-2020年08月02日 本周漏洞态势研判情况 本周信息安全漏洞威胁整体评价级别为中。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞292个,其中高危漏洞82个、中危漏洞152个、低危漏洞58个。漏洞平均分值为5.95。本周收录的漏洞中,涉及0day漏洞86个(占29%),其中互联网上出现“eGroupWare ‘spellchecker.php’远程代码执行漏洞、Frigate Professional ‘Pack File’缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2739个,与上周(3433个)环比减少20%。 图1 CNVD收录漏洞近10周平均分值
发布时间:2020-08-04 00:10 | 阅读:3228 | 评论:0 | 标签:业界快讯 CNVD漏洞平台 漏洞

量子通信技术助力“新基建”信息安全

文│ 科大国盾量子技术股份有限公司总裁  赵勇 数字基础设施是“新基建”的重心和基础,而信息安全是当前建设数字基础设施的重要前提。以量子通信和量子计算为代表的量子信息技术是当前国际热门的战略性科技方向,我国在这一领域处于国际前列,特别是量子通信技术在信息安全领域已有较明确的应用模式,在国内外都受到了广泛关注和大力推进。本文从信息安全的基础——密码技术发展的角度来看待量子通信这一新兴技术的定位,也将从量子通信自身发展的角度来介绍其在“新基建”下信息安全领域的作用。 一、从密码学发展的角度看待量子通信技术 现代密码学认为:一切秘密寓于密钥之中,密码算法是可以公开的,密钥则必须绝对保密,这样才能确保密码安全。密钥对密码技术来说是如此的重要,正是因为密钥,量子通信走进了密码学,
发布时间:2020-08-04 00:10 | 阅读:1225 | 评论:0 | 标签:业界快讯 文案分享 信息安全 量子通信技术

工信部组织开展2020年网络安全技术应用试点示范工作

点击上方“中国信息安全” 可订阅 工业和信息化部办公厅关于开展2020年网络安全技术应用试点示范工作的通知 工信厅网安函〔2020〕190号 各省、自治区、直辖市及计划单列市工业和信息化主管部门,各省、自治区、直辖市通信管理局,部属有关单位,有关中央企业,相关单位: 为深入贯彻习近平总书记关于发展网络安全产业的重要指示精神,落实党中央、国务院关于加快新型基础设施建设的重大决策部署,挖掘新一代信息技术与网络安全技术融合创新的典型应用场景,提炼推广网络安全最佳实践和解决方案,促进网络安全教育、技术、产业融合发展,提升网络安全产业发展水平,强化新型信息基础设施安全保障能力,现开展2020年网络安全技术应用试点示范工作。有关事项通知如下: 一、重点方向 (一)新型信息基础设
发布时间:2020-08-04 00:10 | 阅读:1872 | 评论:0 | 标签:业界快讯 工信部 网络安全技术

OpenStack远程代码执行0day

 概要信息:  OpenStack RCE 0Day    漏洞危害: 高,攻击者利用此漏洞,可实现远程代码执行。  应急等级: 黄色   版本: 1.0 01 漏洞概述  关于 OpenStack  OpenStack 是一个利用虚拟资源池构建和管理私有云和公共云的平台。在虚拟化环境中,例如存储、CPU 和 RAM 等资源都是从诸多供应商特定的项目中提取出来,然后由虚拟机监控程序进行拆分并按需进行分配。 OpenStack 使用一组一致的应用编程接口(API),进一步将这些虚拟资源提取为离散池,用于辅助标准云计算工具,供管理员和用户直接交互使用。 02 漏洞描述
发布时间:2020-07-26 01:24 | 阅读:5742 | 评论:0 | 标签:Middleware 业界快讯 OpenStack 0day

7个香港免费VPN被爆泄露用户隐私,1.2TB上千万条用户个人信息在线公开

有时候需要访问一些不存在的网站和下载东西的时候会用到VPN服务,除了收费的以外,还不乏有一些免费的VPN服务,但免费的同样意味着危险,这不,有安全专家就在网上曝出了7个香港免费VPN,将使用用户的个人信息,访问记录、真实IP等暴露在一个公开的服务器上。 发现问题的是一个国外的安全公司「Comparitech」,他们在一款「UFO VPN」中发现,这个VPN服务公司将用户的Log和API访问记录等信息在网络上公开,而且不需要输入密码和任何身份信息验证就能查阅这些内容。 经了解该公司总部在香港,UFO VPN在Play商店安装下载量超过1000万。安全公司表示,每天有超过2000万个条目被添加到Log中,而UFO VPN恰巧在其网站上拥有2000万用户,数据量高达894GB。 这些被暴露公开的用
发布时间:2020-07-26 01:24 | 阅读:5335 | 评论:0 | 标签:业界快讯 VPN信息泄露 泄露

315晚会曝光SDK窃取个人隐私信息:涉及多款金融App

7月16日,2020年315晚会再次提到手机超限违规收集个人信息情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。 SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,可以将某项功能交给第三方来开发以缩短周期。   据移动支付网了解,具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,成为整个手机软件供应链中不可或缺的一部分。   上海市消费者协会权益保护委员会检测了50多款App,这些App中带有两家公司的SDK:上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中
发布时间:2020-07-20 17:27 | 阅读:7534 | 评论:0 | 标签:业界快讯 案例分析 app

3行代码窃取4000万元!有文化的黑客太可怕了!

最新消息,渡鸦币出现安全漏洞问题,攻击者使用漏洞成功窃取4000 万元人民币!不仅如此,此次漏洞中,黑客仅用3行代码便轻易得逞,不得不惊叹:这样的骚操作到底是如何进行的?   首先,我先介绍一下渡鸦币(Ravencoin,RVN),渡鸦币是比较典型的代币 (AltCoin,山寨币) ,使用 KAWPOW 挖掘算法略微小众但也倒是吸引部分矿工。该币种发行总量为 210 亿枚,按其社区说法该币种基于比特币代码分叉,但改进后支持在区块链上创建发布令牌。     事情还要从GitHub免费修漏洞说起   渡鸦币和其他代币一样相关代码都是开源并托管在 GitHub 上的,正常情况下来说社区可以审查代码并参与改进。 2020年1月16日,有个名为 @WindowsCryptoDev 的账号向渡鸦币
发布时间:2020-07-20 17:27 | 阅读:3426 | 评论:0 | 标签:业界快讯 案例分析 渡鸦币

推特史诗级漏洞!奥巴马盖茨马斯克账号全被黑,齐发诈骗消息

美国前总统奥巴马推特上的诈骗推文。法轮大法好 7月15日,美国社交网站推特(Twitter)上关注度最高的名人账号集体遭到黑客攻击。包括奥巴马、贝索斯、苹果等认证账号,均发布了拙劣的诈骗推文,让人们给同一个比特币账户打钱。 这也成为了有史以来一家社交媒体网站上影响最大的“史诗级”安全漏洞事件。 乔·拜登的推特。法轮大法好 美国前总统巴拉克·奥巴马(Barack Obama),正在与特朗普竞争的下一任美国总统候选人乔·拜登(Joe Biden),微软创始人比尔·盖茨(Bill Gates),亚马逊创始人杰夫·贝索斯(Jeff Bezos),特斯拉CEO埃隆·马斯克(Elon Musk),歌手坎爷(Kanye West)和妻子金·卡戴珊(Kim Kardashian)、股神沃伦·巴菲特(Warren Bu
发布时间:2020-07-16 12:57 | 阅读:5970 | 评论:0 | 标签:业界快讯 VulSee.com 推特史诗级漏洞 漏洞

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告 注意事项:1.本报告由追影小组原创,未经许可禁止转载2.本文一共3245字,36张图,预计阅读时间8分钟3.本文涉及的敏感内容皆以打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队无关 0x00.前言: 响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。 在今年年初的时候,Gcow安全团队的追影小组发布了关于SiderWinder APT组织的报告——《游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的活动以
发布时间:2020-07-12 22:09 | 阅读:6101 | 评论:0 | 标签:业界快讯 案例分析 APT Gcow Gcow安全团队 SideWinder 响尾蛇 追影小组 apt

F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)[附PoC]

2020年7月3日,阿里云应急响应中心监测到 CVE-2020-5902 F5 BIG-IP TMUI  远程代码执行漏洞。 漏洞描述 F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,构造恶意请求,在未授权的情况下获得目标服务器的权限,实现远程代码执行。阿里云应急响应中心提醒F5 BIG-IP TMUI 用户尽快采取安全措施阻止漏洞攻击。   影响版本 F5 BIG-IP < 15.1.0.4 F5 BIG-IP < 14.1.2.6 F5 BIG-IP < 13.1.3.4 F5
发布时间:2020-07-06 10:49 | 阅读:11908 | 评论:0 | 标签:Middleware 业界快讯 CVE-2020-5902 F5 BIG-IP F5 BIG-IP 漏洞 tmshCmd

edu邮箱注册图文教程

来源:未秃头的程序员 这个edu邮箱是社区大学的邮箱,总体步骤如下: 申请学校系统的账户->利用这个账户申请他们学校的某个专业->申请成功->获得edu邮箱 好了,一步一步来吧 1.申请账号链接 https://rrcc.elluciancrmrecruit.com/admissions/pages/welcome.aspx 2.创建账号(需要用软件上网,大家都懂的软件) 3.自动生成用户信息 https://www.fakeaddressgenerator.com/ 最好将生成的信息保存下来,登录的时候需要用到出生日期,根据生成的信息填写各项信息。 4.注册账号完成后,开始申请(在点击Create Account后跳转到一个新的界面,往下拉会看到下图所示的Start an A
发布时间:2020-07-03 18:50 | 阅读:10434 | 评论:0 | 标签:业界快讯

美国禁止中国高校使用 MATLAB,实体清单开始攻击学术圈了

技术编辑:芒果果丨发自 思否编辑部SegmentFault 思否报道丨公众号:SegmentFault 美国实体清单又发威了,这次波及高校,哈工大、哈工程不能继续使用 MATLAB。 中美摩擦逐渐升级,科技企业被列入实体清单后,高校也中招了。 今年 5 月 23 日,美国又列出了一份清单,将中国的 33 个机构、公司甚至大学列入其中。 名单中哈尔滨工业大学和哈尔滨工程大学赫然在列,原本的贸易摩擦竟然牵扯到了高校。就在我们还沉浸在错愕中时,一则“ 哈工大、哈工程的老师和学生无法继续使用 MATLAB ”的消息瞬间炸开了锅。 您好!欢迎联络 MathWorks。 非常抱歉,刚刚接到通知,根据美国政府最新的进出口管制名单,无法为您继续服务了,后续请关注学校的通知。 据了解,近日
发布时间:2020-06-11 21:23 | 阅读:11278 | 评论:0 | 标签:业界快讯 MATLAB 国家安全 微慑网 攻击

用友NC疑似反序列化远程命令执行“0-Day”漏洞

2020年6月4日,阿里云应急响应中心监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经阿里云安全工程师分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大。 漏洞描述 用友NC是一款企业级的管理软件,实现建模、开发、继承、运行、管理一体化的IT解决方案的信息化平台,其代码实现逻辑上存在多处反序列化漏洞,黑客通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,漏洞暂无安全补丁发布,属0Day级,阿里云应急响应中心提醒用友NC用户尽快采取安全措施阻止漏洞攻击。 影响版本 全版本 安全建议 用友NC为商业软件,可直接联系官方取得安全升级方案;在官方安全补丁发布之前,临时关闭网站对外访问。  
发布时间:2020-06-05 14:36 | 阅读:29447 | 评论:0 | 标签:Application 业界快讯 0-Day 反序列化 用友NC 远程命令执行 漏洞

一张壁纸使Android手机集体变砖,目前尚无解决方法

作者 | 李俊辰 近日,一名网友在 Twitter 上传了一张壁纸并表示该壁纸会使他的三星手机崩溃。此前已经有日历 Bug 导致三星手机集体崩溃的事情发生,而这一次三星手机再次中招。只因为使用了一张风景壁纸就能导致手机崩溃?经该网友测试,不止是三星,包括谷歌亲儿子 Google Pixel 在内的众多手机品牌纷纷中招。 事件回顾 5 月 31 日,一位名为“Ice universe”的网友在 Twitter 中上传了一张壁纸并表示:“警告!切勿将此图片设置为壁纸,尤其是三星手机用户!它会导致你的手机崩溃!千万不要尝试!” 图为“肇事”的壁纸,大家不要轻易尝试! 而后,该用户又发布了一条推文表示,不止是三星的手机,他的 Google Pixel 在更换为该壁纸之后也中招了。在他上传的视频中可以看到,将
发布时间:2020-06-02 18:03 | 阅读:19347 | 评论:0 | 标签:Android 业界快讯 Android手机变砖 Android更换壁纸变砖 VulSee.com vulsee。com

Apache Tomcat 反序列化代码执行漏洞(CVE-2020-9484)

漏洞概述 北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。 成功利用此漏洞需要同时满足以下4个条件: 1.攻击者能够控制服务器上文件的内容和文件名称 2.服务器PersistenceManager配置中使用了FileStore 3.PersistenceMa
发布时间:2020-05-27 20:25 | 阅读:21733 | 评论:0 | 标签:Middleware 业界快讯 CVE-2020-9484 Session tomcat 反序列化 通过持久化 漏洞 C

中兴工程师泄露5G核心技术文档

按语   该案为国内首宗涉5G技术侵犯知识产权犯罪案。——吴沈括,北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。   2020年4月24日报道,2002年至2017年1月,黄某瑜就职于中兴通讯公司,担任过射频工程师、无线架构师等职务。2008年4月至2016年10月,王某就职于中兴通讯公司西安研究所,担任过RRU部门研发工程师等职务。2014年,黄某瑜接受了某研究所5G有源天线原型机的技术外包项目。 黄某瑜将项目挂靠在深圳森博兴业科技有限公司,与上述研究所先后签订了4份合同,合同总金额为235万元。黄某瑜将该项目交给王某负责技术落地,研发完成后按合同约定,分阶段向研究所交付了一台5G有源天线原型机和相关技术文档,并在2015年到2017年期
发布时间:2020-04-26 15:17 | 阅读:13788 | 评论:0 | 标签:业界快讯 案例分析 5G技术 5G核心技术文档 中兴 中兴泄露5G技术 泄露

公告

学习黑客技术,传播黑客文化

推广

工具

标签云

本页关键词