漏洞_Tag标签_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
当前位置:程序员俱乐部 >>Tag标签 >> 漏洞 >>列表
据美国科技博客TheVerge报道,安全研究员卡利勒·史莱特(KhalilShreateh)近日发现Facebook存在重大漏洞,并利用该漏洞在FacebookCEO马克·扎克伯格(MarkZuckerberg)的页面上留言。史莱特虽未因发现该漏洞而获得奖励,但其支持者已通过众筹方式其筹得11000美元。Facebook曾承诺为发现该公司网页漏洞的研究员提供最低500美元的奖励。史莱特发现的Facebook漏洞允许用户无视其他任何用户的隐私设置... 查看全文
8月18日编译据美国科技资讯网CNET报道,研究者再次让一款恶意程序顺利通过了苹果AppStore的应用程序审批过程,这证明了苹果应用商店仍然存在漏洞。麻省理工学院著名科技杂志TechnologyReview发布的一份研究报告称,来自佐治亚理工学院的一组研究人员开发了一款特别的应用程序,该应用程序被伪装成了一款新闻阅读软件,在该软件被下载安装到手机后,它能够重新编码变成一款恶意程序。实验证明,苹果的安全审核程序无法识别这种伪装的恶意程序。一旦通过远程配置成功,该软件就能够执行各种任务... 查看全文
Android系统漏洞可致比特币钱包失窃比特币开发商日前在一篇博客中透露,由于Android系统上所存在的一处关键漏洞,使得该系统上的比特币数字钱包很容易被黑客窃取。比特币开发商在这篇博客文章中称,它们已经发现了Android系统上的一处关键漏洞,该漏洞可招致黑客光顾用户比特币钱包。报道称,该漏洞对Android系统上的任何一款比特币钱包应用都构成影响,包括一些热门比特币钱包应用,像比特币钱包(BitcoinWallet)、blockchain.info钱包(blockchain... 查看全文
· 利用SQL注入漏洞登录后台发布时间:2013-08-10
题记:工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句。早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的。前些天,网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。在开发网站的时候,出于安全考虑... 查看全文
国内知名的安全反馈平台乌云(WooYun)最近发现飞信PC客户端惊现高危漏洞,建议用户近期关注官方安全更新。该漏洞由乌云网友在8月2日发现,漏洞类型为“远程代码执行”,具体来说就是“飞信远程传文件跨目录漏洞,可以传dll或exe到其他目录”,远程执行任意代码,如果被黑客利用,那么执行恶意代码就是轻而易举的事情了。目前该漏洞已经反馈了给中国移动,中国移动方面也确认了这一漏洞的存在,乌云平台已经将这一漏洞提交给了cncert国家互联网应急中心进行处理... 查看全文
iOS是目前最为安全可靠的移动平台,但既然是软件就不会是无坚不摧的。乔治亚技术信息安全中心(GeorgiaTechInformationSecurityCenter)的研究员不久前声称,他们最近新发现了iOS的重大漏洞。该机构在报告中称,这个漏洞很有可能成为“现有iOS系统需要面对的首要威胁”,它能够在用户难以察觉有异样的情况下,通过一些看起来无害的应用安装恶意软件。据悉,该漏洞能帮助攻击者让恶意软件绕开苹果的应用审核机制,直接安装于iOS设备中。理论上说... 查看全文
英文原文:XSSinGoogleFinance译文链接我们在6月13日发了一篇资讯,说“Google调整漏洞奖励计划,单个漏洞最高奖励7,500美元”。7月30日看到MicheleSpagnuolo发的博文称“他在GoogleFinance上发现并提交了一个XSS漏洞,谷歌安全团队确认并修复了该漏洞。Michele因此拿到了5K美元奖励。”以下是Michele博文的译文。这个问题出现在GoogleFinance中(google... 查看全文
苹果的iOS被认为是最稳定和安全的平台,iPhone和iPad也成了世界各地移动移动设备用户的选择。尽管iOS是基于Unix内核,但它也并不是无坚不摧。不过,与恶意软件温床安卓平台相比,你似乎并没有听说iOS出现过向恶意软件大门敞开的致命缺陷。但很不幸的消息出现了,佐治亚理工学院信息安全中心最近称发现了iOS中的重大漏洞,并公布了细节内容。该漏洞可以绕开苹果的安全机制,这势必会成为iOS平台的重大安全威胁。该研究中心的人员解释说,漏洞允许攻击者将恶意部分隐藏起来以通过苹果的应用审核... 查看全文
三星去年上市的智能电视产品存在安全漏洞,黑客可通过此漏洞入侵系统,安装一个rootkit,即可控制整台设备。入侵三星智能电视后,黑客可以使用电视上的摄像头,监控用户的生活。此外,黑客还能将浏览器跳转向钓鱼网站,诱导用户获取银行账号密码和其他信息。带有摄像头的三星智能电视在北美销量不错,不过在我国用户还很少。针对智能电视的安全隐患问题,三星(中国)表示,公司已意识到源于智能电视产生的安全问题。对此,三星已经发布了一款升级软件以解决这一问题,并将采取一切可能的措施大力提高三星智能电视的安全性... 查看全文
从ATM机器、电表、心脏起搏器到汽车防盗系统,当信息安全研究人员和黑客们不再甘于仅仅破解iPhone和网站时,人们猛然意识到“软件正在吃掉世界”的下文是“黑客即将接管一切”,而物联网和工控系统,正是信息安全的下一个主战场。继计划在2013年黑帽大会上演示如何无线破解并攻击心脏起搏器的知名黑客——IOActive的安全研究员BarnabyJack暴毙后,信息安全领域近日又传出重磅新闻... 查看全文
黑客攻击汽车不是新事物,但很长一段时间以来,汽车一直受到很好的保护。现在形势改变了,这主要拜两位知名黑客所赐,他们无聊了,于是从微软和苹果的软件中找到了漏洞。查里-米勒(CharlieMiller)和克里斯-瓦拉斯基(ChrisValasek)表示,他们会公布一些攻击丰田普锐斯、福特Escape系统的技术蓝图,白皮书长达100页;两名黑客研究了几个月,他们的研究获得了美国政府的批准。这二人是“白客”(在犯罪份子找到漏洞之前先发现漏洞的黑客),他们还会发布软件修复漏洞... 查看全文
英国最高民事法院暂时禁止出版一篇公开大众汽车发动机防盗锁止系统0day漏洞以及如何破解系统的科学论文。汽车制造商争辩说,公开防盗系统漏洞细节将让犯罪分子更容易偷窃汽车。发动机防盗锁止系统能防止有人进入汽车后强行短接启动,英国1997年以后出售的新车都强制安装了这种防盗设备。这篇论文有两位作者国籍不属于英国,临时禁令是否对他们有效并不清楚。研究人员原计划在著名的安全会议UsenixSecuritySymposium上公开这篇论文。... 查看全文
拉手内部邮件处罚违纪人员雷建平1月18日报道正处行业低谷,电商企业的内部腐败事件却屡屡被曝出,过去高速增长期电商企业大量烧钱且监管不严埋下的恶果已逐步显现。日前我们获得的一份内部邮件显示,拉手网上月内部通告了两起违纪事件,一是处罚了上海采购杜永海,指其向商家索贿,涉嫌职务侵占犯罪,立即解除与杜永海的劳动关系,配合公安机关寻求制裁;二是公司惠州销售总监李裕达等私自成立公司,并运用该公司代理其他旅游公司与拉手签约,严重危害公司利益,被解除合同。拉手在内部邮件中强调,员工私设公司并利用公司与拉手交易... 查看全文
通过此前的报道,我们已经得知苹果开发者中心之所以关闭,是因为一位名叫IbrahimBalic的安全研究员通过破解获取了大量开发者资料。7月23日消息,TechCrunch对IbrahimBalic进行了采访,后者透露说,苹果的iAdWorkbench提供了漏洞。iAdWorkbench是苹果在WWDC2013上推出的广告服务,主要针对预算不足的中小开发者,为他们提供更好的参与广告活动机会。此前的iAd服务主要针对大型公司,需要交纳较高的费用才可使用。IbrahimBalic表示... 查看全文
苹果开发者网站因为黑客攻击下线了五天,此次入侵被认为可能与Struts2漏洞有关。Struts是开发Web应用的Java开发框架,开发者于7月17日发布了安全更新2.3.15.1,修复了一个远程执行命令的高危漏洞,开发者表示针对该漏洞的攻击代码已出现。Struts2在国内也被大量使用,因此淘宝,国家电网、浦发银行信用卡服务中心、中国银行等网站被报告受到该漏洞影响,淘宝还传出被拖库——即数据库数据被窃取,但淘宝予以否认,声称已经修复了漏洞。... 查看全文
· struts2 高危漏洞修复发布时间:2013-07-23
1./***过滤器*/publicvoiddoFilter(ServletRequestreq,ServletResponseresp,FilterChainchain)throwsIOException,ServletException{HttpServletRequestrequest=(HttpServletRequest)req;Stringurl=request.getQueryString();if(StringUtils.isEmpty(url)||!pattern... 查看全文
随着苹果开发者网站的沦陷,已经曝光一周的ApacheStruts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?1、什么是Struts2漏洞?Struts是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术... 查看全文
昨晚,很多安全公司和互联网公司安全部门的工程师们都没睡好觉,通宵达旦地在加班。Struts这个漏洞这次来势之所以这么凶猛,直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,和Struts官方不负责任的态度有很大关系。Struts这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。从很多年前起,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布... 查看全文
一安全研究人员发现部分移动SIM卡所使用的加密方式存在一个安全漏洞,可能会导致手机被黑客远程控制。该漏洞涉及使用DES数据加密标准的SIM卡——DES是一种较旧的标准,目前正被部分厂商逐步淘汰,但仍有数亿张SIM卡使用。德国安全研究公司SecurityResearchLabs创始人卡斯滕·诺尔(KarstenNohl)发现,向手机发送假冒的运营商信息,促使25%的DESSIM卡自动回复暴露它们的56位安全密钥的信息。有了该安全密钥... 查看全文
英文原文:NewReflectionAPIaffectedbyaknown10+yearsoldattack据SECLISTS透露,他们发现新的ReflectionAPI在引进JavaSE7时并未经过非常安全的复查,并且存在着一个非常大的漏洞。该漏洞可以允许黑客利用10年前便广为人知的手法来攻击Java虚拟机。JavaSE7中的ReflectionAPI并未采取应有的保护机制来防堵该攻击。SECLISTS公司关于该漏洞的概念验证代码在JavaSE7Update25(1.7.0_25-b16... 查看全文