记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

漏洞复盘——从TENX账户窃取用户资金与虚拟货币

我能够绕过TenX登录系统的次数限制,这使得我可以在30分钟内接管每个TenX账户(了解受害者的电子邮件地址后)。接管帐户后,由于缺少验证功能,TenX允许攻击者更改电子邮件地址(本文编写时仍然如此)以及帐户的绑定电话号码(通过Web应用程序)。此外,如果账户缺少额外的验证步骤,攻击者可以转出受影响账户的所有资金。TenX是什么?TenX是一家总部位于新加坡的公司,提供加密借记卡和加密货币钱包。在2017年,他们进行了当时最大的ICO,获得了超过8千万美元。TenX鼓励安全研究人员使用可以负责任披露相关内容的漏洞奖励计划提交漏洞。任意用户密码重置漏洞在2017年11月底,我发现了他们的网站并注册了他们的服务。他们要求用
发布时间:2018-03-28 12:20 | 阅读:128565 | 评论:0 | 标签:Web安全 技术 TENX 金融安全 漏洞

中国云安全联盟与CSA正式签约 首届国际云安全大会都有哪些亮点内容

12月19日至20日,由中国云安全与新兴技术安全创新联盟(C-CSA)、中国网络空间安全协会和中国云体系产业创新战略联盟联合主办的首届“国际云安全大会(ICSC)”在云都·宿州召开。此次国际云安全大会是C-CSA在今年11月初正式成立后的首次年度会议,并获得了微软、腾讯、华为等企业的大力支持。会上,除了围绕云端的安全攻防、安全能力建设、前沿安全技术应用等方向交流讨论外,还将与CSA正式签约,并为C-CSA联盟首批理事单位颁发证书。首先,我们先看看会上有哪些干货议题。国内外云安全实践分享1. 《云端战争:网络防御新发现》微软(中国)CSO 邵江宁邵江宁认为,云安全面临的最大挑战,在于在云服务能力的极限内,如何实现云安全能力的可扩展。微软在全球有超过100+数据中心,超过一百万台服务器部署,并在必应、Office
发布时间:2017-12-21 21:05 | 阅读:115338 | 评论:0 | 标签:行业动态 C-CSA CSA 云堡垒机 云安全 安全浏览器 微软 金融安全

首都安全日金融安全论坛即将举行

4月28日,以探讨“互联网+”环境下的金融行业信息安全挑战为主旨的首都安全日金融安全论坛将在北京展览馆举行。这将是首都安全日首个探讨金融信息安全的专业论坛。本次金融安全论坛由北京市政府批准,北京市公安局、北京市金融办主办,360网神公司、中国电子国际展览广告有限责任公司承办,并得到北京市网信办、金融街商会等机构的大力支持。2014年北京市政府正式批准每年4月29日为“首都网络安全日”并举办系列宣传活动,目的是着眼“建设网络强国”的战略目标和“京津冀协同发展”的决策部署,开展形式多样、内容丰富的主题活动,强化网络安全意识,推动网络安全人才培养,促进网络安全行业发展,不断提升首都的网络安全能力和水平。2016年第三届“4.29首都网络安全日”系列宣传活动继续以“网络安全同担,网络生活共享”为主题。金融安全论坛将邀请
发布时间:2016-04-15 20:15 | 阅读:78528 | 评论:0 | 标签:厂商供稿 4.29首都网络安全日 金融安全

绿盟2015金融安全峰会听访手记

17日,绿盟科技主办的2015金融信息安全峰会召开,牛君到现场听会,并对绿盟科技CTO赵粮博士和金融销售管理部总监、高级讲师郝东林做了简短采访。以下文字为赵、郝两位在大会上演讲的主要内容,以及牛君的采访,现分享给大家。赵粮博士的演讲主题为《智慧安全2.0 – 未来的安全方向》。“我们正处于这样一个即令人兴奋,也让人焦虑的邂逅当中,在这么一个大背景下,网络会呈现出什么的图象和怎么样的演化?”一些事实网络安全是一种对抗行为。是有一系列地事件在推动,要承认并且应用这一点,是一个一个的事件引起了我们的关注、重视。每一个事件的背后有响应、有措施,通过各种各样的数据跟踪。这个事件是有时效性的,叫做72小时黄金抢救时间。虽然我们在讲APT、高级的持续的危险,但事实又告诉我们99.9%的安全事故是由于我们已知的漏洞
发布时间:2015-11-18 18:45 | 阅读:87150 | 评论:0 | 标签:牛观点 智慧安全 绿盟科技 金融安全

C·S 2 讲点啥?

安全圈的朋友们都知道,最近上海与网络安全相关的会议非常紧密,安全牛也很“凑巧”的挤在这段时间里举办了《C·S 2 第二届网络空间安全论坛》。令牛君感动的是,还是有许多的朋友们在百忙之中前来参会,有的还是从深圳、北京、南京、杭州、福建等地坐飞机和高铁赶来,并在整个议程拖堂一个小时直到最后一场演讲的情况下,还保持着80%的上座率。感谢上交所、中金所、银联、银行、证券、保险、基金、互联网金融、电信……,感谢普华永道、思科、IBM、RSA、上海交大、飞塔、安恒、同盾……好了,不感谢CCTV了,直接上PPT。《数据驱动的金融业务安全》–谷安天下总经理李华        《威胁情报与大数据安全》–360天眼产品经理陈坤鹏
发布时间:2015-10-20 07:50 | 阅读:146408 | 评论:0 | 标签:行业 360 C·S论坛 乌云 安全牛 网康科技 蚂蚁金服 谷安天下 金融安全

术有专攻|金融机构如何防范商业间谍?

在金融行业,业务的成功和可持续发展取决于信息系统的健康状况。对企业信息系统的破坏可以损害其声誉、窃取其数据,同时也会导致企业受到法律的制裁和处罚。大的企业往往依赖于成千上万个与互联网相连接的这种系统,因此商业间谍活动就成了金融安全的主要关切点。网络罪犯们逐渐认识到,有用的数据往往比直接的现金攻击更有价值,并且这些数据还可以匿名进行交易,因此近年来金融业的商业间谍活动日益猖獗。就在去年,摩根大通和其他的各大银行成为了大规模攻击的受害者,导致金融监管机构审查攻击者是否不只是追求财务收益,也在收集情报。因此,作为公司的高管或安全主管,至关重要的就是要确保安全管理人员要对商业间谍活动采取适当的行动,通常都是从风险管理开始入手。这意味着要深入了解可以被动影响金融企业的因素,然后勾勒出这些因素可能发生的概率。金融行业的企业
发布时间:2015-08-25 21:20 | 阅读:95185 | 评论:0 | 标签:牛观点 商业间谍 金融安全

利用漏洞可用1万元透支额度的信用卡套现99万元

本周三,绍兴市警方召开新闻发布会,公布查获一起利用信用卡漏洞套现99万元的犯罪案件。去年8月5日,绍兴市上虞某银行预警系统发现上虞人陈某仅1万元信用额度的银行卡被透支99万余元。之后陈某一直未补上透支额。今年4月28日,公安机关将陈某抓获。陈某交待,炒期货亏本欠下巨额银行贷款和高利贷。经朋友介绍,利用信用卡漏洞实施非法套现。套现过程:1. 骗子设法弄到一台由某银行授权合肥某商铺的POS机。2. 骗子将10万元现金,存入陈某信用卡。陈某信用卡原有1万元信用额度,加上这10万元,陈某的信用卡额度就到了11万元。3. 给陈某的信用卡分10次发起预授权:112元、113元、138元、137元、121元、157元、123元、126元、137元、158元。预授权后,钱被冻结。这里说的预授权,简单来说,就是第三方冻结,也可以
发布时间:2015-05-08 12:05 | 阅读:92841 | 评论:0 | 标签:动态 信用卡套现 金融安全 漏洞

2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设备的数量呈指数级增长,2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移动安全的爆发点,具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功能,如网上银行、游戏、和手机收费等,为用户带来了私人隐私泄露等安全风险。目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是,由于缺少规范的安全监管标准和流程,许多银行不能对其应用软件充分执行必要的安全性测试,结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客,将使用应用的银行客户置于风险之中。为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估,移动互联网安全公司VisualThreat
发布时间:2014-05-21 11:45 | 阅读:74541 | 评论:0 | 标签:无线安全 终端安全 app安全 手机应用 金融安全 银行应用

对I-Bank虚拟银行系统进行测试

I-Bank Pro是国际性信息安全竞赛PHDays的一个虚拟银行系统。包含了很多真实银行系统常见的漏洞。本文主要讲述使用Burpsuite对I-Bank系统的登陆功能进行简单测试。对虚拟银行系统的渗透测试虚拟机的登陆用户是root,密码是phd2012。配置好ip之后,就可以从浏览器访问这个虚拟银行系统了。可以看到这个登陆页面提供了用户名,密码,还有验证码的输入框。当然事先我们是不知道密码的,先用burpsuite的爬虫爬一下看有哪些暴露的url。结果在意料之中,除了登陆,找回密码页面,没有其他的信息了。先看一下找回密码页面,提供了一个应该是输入用户名的input框。随便输入一个admin,点击enter。提示为Identifier not found。聪明的小伙伴们肯定已经想到了。这是提示用
发布时间:2014-03-06 20:05 | 阅读:71518 | 评论:0 | 标签:WEB安全 burpsuite phdays 渗透测试 金融安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云