记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Firefox 插件“Safepal 钱包”窃取加密货币

一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。
发布时间:2021-09-28 18:58 | 阅读:15815 | 评论:0 | 标签:国际动态 威胁情报 恶意软件 网络欺诈 Mozilla Safepal Wallet 加密 插件

Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施

最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。
发布时间:2021-09-14 16:16 | 阅读:14429 | 评论:0 | 标签:网络安全 Mozilla Windows windows 保护 微软

抵御跨站攻击:Mozilla 为 Firefox 90 引入元数据请求标头功能

Mozilla 很高兴地宣布,Firefox 90 版本将支持基于“元数据请求标头”的获取功能,使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉,此类威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、以及投机性跨站点执行侧信道(Spectre)攻击。 跨站攻击的背后,其实涉及 Web 的基本安全问题。出于开放的特性,其难以允许 Web 服务器端严格区分自身应用程序(浏览器选项卡)的请求、或源自可能以不同方式打开的恶意(跨站点)应用程序的请求。 如上图所示,假设用户登录了托管于 https://banking.com 的银行网站,并开展了网银相关的某些活动。
发布时间:2021-07-14 00:35 | 阅读:28195 | 评论:0 | 标签:安全快讯 Firefox 90 Mozilla 跨站 攻击

火狐扩展中心持久性XSS分析

火狐浏览器的ADD-ONS这个站点为登录用户提供了创建collections的功能。collections是相同加载项工具的集合,每个人都可以在该集合里面创建或者共享工具。每一个collection都会有一个单独的URL链接,所以collections对于每个人都是公开可见的。创建一个collection时,会有一个表单需要填写,填写项包括Name, Description,add-ons,然后Name这个位置存在存储型的xss。
发布时间:2016-01-19 16:46 | 阅读:175268 | 评论:0 | 标签:WEB安全 firefox mozilla xss 分析 扩展中心 火狐

Mozilla向7个开源项目捐助最多20万美元

Mozilla今年10月宣布了开源支持计划,向它使用的关键开源项目捐款100万美元。现在,Mozilla公布了首批捐助的7个开源项目:持续构建和集成系统Buildbot获得1.5万美元资助,源码编辑器CodeMirror获得2万美元资助,论坛软件 Discourse获得2.5万美元资助,为复杂项目构建文档的Read The Docs项目获得4.8万美元, 分布式源码管理系统Mercurial获得7.5万美元资助,服务器端Web开发框架Django获得15万美元资助,入侵检测系统使用的网络监视软件 Bro获得20万美元资助。
发布时间:2015-12-11 22:20 | 阅读:127561 | 评论:0 | 标签:业界 CodeMirror Django Mozilla

Mozilla承认缺陷数据库遭入侵 黑客对火狐用户发动攻击

据科技网站ComputerWorld报道,Mozilla昨天表示,一名不明身份的黑客入侵了其Bugzilla缺陷追踪数据库,窃取了与53个危急缺陷有关的信息,并利用其中至少一个缺陷对火狐浏览器用户发动攻击。 Bugzilla是Mozilla开发者用来记录出现的问题,讨论解决方案的开放源代码追踪数据库,其中部分信息只向特权帐户开放。 Mozilla当地时间周五表示,“一名黑客入侵了一个特权帐户,下载了火狐和Mozilla其他产品的缺陷信息。”Mozilla安全团队联合负责人理查德·巴尼斯(Richard Barnes)昨天在官方博客上发文称,“我们认为黑客利用窃取的信息对火狐用户进行了攻击。
发布时间:2015-09-06 23:35 | 阅读:140457 | 评论:0 | 标签:业界 Mozilla 火狐 被黑

Firefox漏洞正被利用,Mozilla释出更新

Mozilla督促Firefox用户尽快升级到Firefox 39.0.3或延长支持版ESR 38.1.1,因为Firefox的一个漏洞正被攻击者利用窃取敏感数据。漏洞与 JavaScript 同源策略机制和内置的 PDF Viewer有关,不含有PDF Viewer的Android版Firefox 不受影响。漏洞并不允许攻击者执行任意代码,但允许攻击者向本地文件注入脚本,搜索和上传敏感本地文件。在Windows上,恶意脚本会搜索subversion、s3browser和 Filezilla配置文件,.purple和Psi+ 账号信息,以及流行FTP客户端的网站配置文件。
发布时间:2015-08-11 19:25 | 阅读:155524 | 评论:0 | 标签:业界 Firefox Mozilla 漏洞

Mozilla加入谷歌 拒绝承认CNNIC证书

火狐厂商Mozilla加入谷歌阵营,拒绝承认中国互联网信息中心(CNNIC)发布的SSL证书。Mozilla安全团队在昨日博客上表示,经过评估环境以及在其公开邮件列表中的热烈讨论之后,一致认为,CNNIC的证书发布没有记录PKI操作,没有存储或控制监督,这严重违反了Mozilla的证书实施政策。因此,所有的Mozilla产品,包括火狐浏览器和雷鸟邮件客户的更新版本,在2015年4月1日之后,将不再信任CNNIC发布的数字证书。Mozilla此举紧跟谷歌,后者在周二声称今后的Chrome版本将停止承认CNNIC的授权证书。
发布时间:2015-04-03 11:45 | 阅读:125618 | 评论:0 | 标签:动态 CNNIC Mozilla 证书 谷歌

Mozilla推出跨平台内存检测库

Mozilla最近推出了一款新型跨平台内存检测库,这个库可被集成到Mozilla调查者(MIG)终端安全系统中。 这个内存检测库被其创建者们亲切称之为“Masche”,能运行在Linux、Mac OS和Windows平台上,在不影响系统正常操作的情况下对进程内存进行基本的检测。 Masche 是在2013年由Mozilla运行安全团队成员Julien Vehent草创的。他在一篇博文中解释道,MIG能够并行检测成千上万台主机的文件系统和网络信息,可以帮助增加整个基础设施的可见性,但迄今为止依然 缺乏对正在运行的进程进行内存检测的能力,而内存检测是安全调查中时常会出现的需求之一。
发布时间:2015-03-23 01:00 | 阅读:136047 | 评论:0 | 标签:动态 Mozilla 内存检测库

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云