记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

报还是不报?负责任的披露是安全和情报的关键

不坚持负责任的披露,就有可能放大某些漏洞或事件的威胁。 作为了解深网与暗网情报的公司,每天都会看到很多东西,从被盗数据和内部人聘用,到新兴网络与物理威胁,应有尽有。这些观察所得也意味着,威胁情报公司往往会比企业更早知道他们的安全漏洞、现有威胁和关键事件。 虽然此类场景在威胁情报厂商之间越来越普遍,整个行业还是得标准化后续过程并实行一些行动纲领。比如说,如果你发现某公司对自己感染了危险恶意软件毫不知情,你该怎么办?你发觉某公司可能在不远的将来发现自己遭受了大规模数据泄露,你该怎么办?或者,你发现某公司有个零日漏洞可能危及它整个终端用户基础,你报是不报? 虽然通过媒体过其他营销渠道,立即向公众披露此类发现挺具诱惑力的(也就是所谓的完全披露),但这么做也有可能激化攻击受害者及其相关网络的情况。后果会很严重。这也是为
发布时间:2017-02-11 03:45 | 阅读:90571 | 评论:0 | 标签:术有专攻 安全问题 情报 披露

unicode同形字引起的安全问题

spotify的漏洞 相关资料: Creative usernames and Spotify account hijacking spotify的漏洞相比于github的漏洞来说是一个真正的高危漏洞,可以修改任意用户的密码。 github的漏洞 相关资料: https://twitter.com/GitHubSecurity/status/757686530748125184 https://bounty.github.com/researchers/jagracey.html github的邮箱名允许unicode字符,导致可以把找回密码的token发送到攻击者的邮箱。从twitter的讨论来以及自己的测试结果来看提供邮箱服务的产品大部分都是白名单了邮箱的用户名,所以都是不可以使用unicod
发布时间:2016-10-25 07:30 | 阅读:112097 | 评论:0 | 标签:Web安全 ascii github spotify unicode 同形字 安全问题

你母亲的娘家姓是4tz9Ru#p 你的童年好友是b2p^fqw

随机强口令的使用几乎已成主流,略有一点安全意识的人都清楚:“password1”或“1234567”这种口令不会给他们带来任何好处。但即便口令安全有所改善,却有更严重的问题潜藏其下:安全问题。 由于雅虎数据泄露事件,如果你正好有个雅虎账户,那恭喜你,恐怕你得另找个新妈妈,或者在另一个城市成长了。多个站点间安全问题及答案的重复使用,意味着雅虎数据泄露的影响,相当于生态灾害的网络安全版。 上个月底,雅虎曝出大规模黑客事件,至少5亿用户数据被国家支持的入侵者盗取。且该公司被盗数据列表中不仅包括了通常的口令字散列值和电子邮件地址,还有受害者用以重置口令而设的安全问题和答案——你最喜欢的度假地点或你成长的街道等本应私密的信息。雅虎的数据大泄洪,昭示出这些无伤大雅的问题依然是我们网上身份验证验证系统的薄弱环节。安全社区对
发布时间:2016-10-09 20:25 | 阅读:76271 | 评论:0 | 标签:牛闻牛评 安全问题 数据泄露

释放文件到临时文件夹中所引发的安全问题

近期,McAfee的高级漏洞检测系统(AEDS)检测到了一些有趣的RTF文件,这些RTF文件在文档中执行“额外”的内容。而通常情况下,这些word文档会让用户信任并运行这些“额外”的内容,如下图展示的是当用户点击额外的内容时的画面。 可以看到当用户尝试去执行文档中附带的恶意程序时出现了警告。由于这里word会有提示,所以可以预见对用户不会造成威胁。但我们还是强烈建议用户不要运行任何有附件的文档,因为故事到这里并没有结束。就像我们使用AEDS发现PDF中潜在的安全问题一样,我们已经检测到当打开这类RTF文件的一系列可疑(或是“有趣”)的表现:附加的文件会被释放到当前用户的临时文件夹中(比如在C:Users<username>AppDataLocalTemp)。如下图就是
发布时间:2016-02-26 21:15 | 阅读:98698 | 评论:0 | 标签:系统安全 终端安全 临时文件夹 安全问题

无人机收集大数据带来新的安全问题与IT关注

对于无人机所收集到的数据的具体使用方式需要加以认真考量。而相较于其是否有可能被用于邪恶意图,如何找到切实可行的使用途径才是问题的核心。 全球无人机市场预计将在未来五年中始终保持两位数高速增长,并被各政府机关与私营企业应用于农业、能源、零售、公共事业、矿山、建筑、房地产、新闻媒体以及其它各种领域,旨在利用无人机执行业务目标并实现数据的收集与分析。可以说目前基于无人机的数据收集与分析应用才刚刚处于起步阶段。 无人机有助于实现新型发现能力 截至2013年,美国空军情报、监控与侦察(简称ISR)机构每天收集到的视频资源长度约为1600小时。其Gorgon Stare视频捕捉技术采用由九部摄像头构成的球形阵列,同时以无人机为移动载体,共同构建起这样一套广域监控传感系统。Gorgon Stare每14小时即可生成70T
发布时间:2016-02-18 16:40 | 阅读:71916 | 评论:0 | 标签:图文专区 安全播报 安全问题 无人机

WP8.1版IE11出现安全问题:密码可以复制为明文

Windows Phone 8.1默认浏览器——Internet Explorer出现了较为严重的安全问题。 我们知道,IE总是在网页密码框中以星号遮盖用户输入的密码,这也是一项网页浏览器中的通用标准。举例来说,如果你的密码是“niubi123”,当你在密码框中键入上述密码后,浏览器中会显示为“********”。现在如果你打算复制密码并粘贴到其他位置时,IE仍不会显示出真实密码,这就意味着它仍旧显示为“********”,此举能有效避免用户密码被别人窥视。 ​不过有一位Windows Phone用户就在这方面发现了IE中存在一项严重安全漏洞。如果你在密码框中输入完密码后,选定星号密码然后直接使用搜索键搜索选定内容,系统会自动打开必应搜索或Cortana直接搜索用户之前输入的文字密码而不是星号。 当然,对许多
发布时间:2015-03-26 05:00 | 阅读:68114 | 评论:0 | 标签:业界 IE11 安全问题

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云