记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

解析针对知名密码存储软件LastPass的钓鱼攻击

最近作者发现了一个针对LastPass的钓鱼攻击,其允许攻击者窃取一个LastPass用户的邮箱、密码甚至二次验证的验证码,这就使得攻击者可以完全获取到用户存储在LastPass上的密码和文档。这个对LastPass的钓鱼攻击被命名为“LostPass”,其利用代码可以在Github上面找到。LostPass之所以能成功攻击。是因为LastPass在浏览器内显示的信息都可以被攻击者所伪造。而用户是无法找出伪造的LostPass消息和真正的有什么不同,因为它们本来就没有区别——它们拥有“像素级相似”的通知和登录界面。像素级钓鱼几个月前,LastPass 在我的浏览器中推送了一个消息,表示我的会话已经过期需要重新登录。而我在过去的几小时内都没有使用LastPass也没有做过任何能导致账号登出的
发布时间:2016-01-21 14:15 | 阅读:70731 | 评论:0 | 标签:WEB安全 lastpass lostpass

LastPass已采取措施阻止针对密码管理器的网页钓鱼攻击

安全研究员Sean Cassidy最近发现有针对热门密码管理器LastPass的钓鱼攻击,而这件事也已经引起了后者的注意。为了帮助减轻被钓鱼的风险,LastPass决定增加额外的步骤。Cassidy所说的“LostPass攻击”,是指在浏览器上显示的LastPass信息很容易伪造,在将受害者引诱至一个精心编造的恶意站点后,终端用户很难分辨它们的真假。 如果用于已经安装了LastPass,那么攻击者就会伪造一个登录过期的通知,欺骗用户需要重登陆。然后,它只需要静静等待用户输入登录凭证。即使用户设置了2步口令,也是如此照搬一遍。 在获取了用户的登录凭证之后,攻击者会窃取用户的所有其它密码,甚至在账户中安装一个后门(通过紧急联络功能)、或者禁用两步验证等。 在后续的文章中,LastPass表示已采取措施阻止恶意页面
发布时间:2016-01-19 19:15 | 阅读:78380 | 评论:0 | 标签:安全播报 黑客在线 LastPass 网页钓鱼

密码管理和分享更容易 LastPass 4.0发布

现如今的网络安全是个比较严峻的问题,所以你可能会以为人们都学乖了,善待自己的密码和安全认证方式。比较悲剧的是,实际情况并非如此,好在还是有密码生成器、密码管理这样的东西存在,能够一定程度保护人们的线上安全。最新的LastPass 4.0对软件UI进行了重新设计,使用体验也更出色,而且在分享密码时服务也有了更多的安全措施。  密码属于个人资产的重要组成部分,将密码与他人分享听起来是个很恐怖的想法。但很多时候,其他人有时的确需要访问你的账户,这就需要你的授权了。LastPass 4.0就有全新的分享特性,即便与他人进行密码分享,也是足够安全的。 Emergency Access(紧急通道)就能够授权其他人在某些必要的情况下访问你的密码库,不管是你的家人还是你的朋友。用户也可以选择设定访问请求延后,或者拒绝请求
发布时间:2016-01-06 14:40 | 阅读:69243 | 评论:0 | 标签:业界 LastPass 密码

LogMeIn收购LastPass

软件即服务供应商LogMeIn同意以1.25亿美元收购流行的单点登录和密码管理服务商LastPass。LastPass发表声明称,它目前没有计划改变现有的商业模式——也就是免费增值模式,免费的基础版,付费的高级版和企业版。LogMeIn将在LastPass品牌下整合旗下类似的产品Meldium。收购引起了一些用户担心密码托管问题,类似的密码管理服务有KeePass和1Password。
发布时间:2015-10-12 15:20 | 阅读:70796 | 评论:0 | 标签:业界 LastPass 单点登录 密码

在线密码管理器LastPass被黑

在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框。经过深入调查公司安全团队检测到的“可疑活动”,LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件。调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据,LastPass用户账户也并未被侵入者染指。即便如此,攻击者依然偷取了账户电子邮件地址、密码提示信息、用户服务器salt值和身份认真散列值。后两种信息使得攻击者有可能破解出任何弱口令的主密码,尽管LastPass公司首席执行官乔·西格里斯特说LastPass的保护措施(包括在服务器端实施了10万次PBKDF2-SHA256循环)足以“挫败任何高性能计算机对被盗散列值的破解。”西格里斯特在对本次入侵事件的解释中说道:“我们相
发布时间:2015-06-17 06:30 | 阅读:84200 | 评论:0 | 标签:动态 安全警报 lastpass 密码管理器

详解Android App AllowBackup配置带来的风险

前言 笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。 漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT 男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几行代码然后在手机上点了几下,最后果然两分钟不到就搞定了,在女神谢着离开后,IT男露出了 WS 的笑容。 没错,他成功了盗到了女神的微博帐号,终于不用问同事女神的微博帐号是多少了~当然这不是结局,一天晚上睡觉时,他看了女神的微博私信后心突然碎了。
发布时间:2015-03-11 03:05 | 阅读:125818 | 评论:0 | 标签:移动安全 .ab文件 allowbackup Android AllowBackup 漏洞 Claud Xiao com

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云