2022年04月03日
苹果公司本周开始为iOS、macOS、iPadOS、watchOS、tvOS和Safari推出安全更新,以解决数十个漏洞,其中包括一些可能导致任意代码执行的漏洞。
随着iOS 14.7和iPadOS 14.7的发布,苹果共解决了37个安全漏洞,其中包括最近一个安全业界引发热议的WiFi安全漏洞,攻击者可以利用该漏洞使易受攻击设备的Wi-Fi功能瘫痪,无法再接入WiFi热点。
该安全漏洞被追踪为CVE-2021-30800,可以通过创建具有特定名称的恶意Wi-Fi接入点来利用。这些使用特殊字符
2022年04月03日
一名开发者出于好奇在 Google 使用php mysql email register作为关键词进行了搜索。很显然,这是在查找如何使用 PHP 和 MySQL 实现邮箱注册的功能。
搜索结果返回了教程、操作方法、代码片段等内容。不过大多数结果都包含有错误的 SQL 语句,例如:
//Don'tdothis!mysqli_query("SELECT*FROMuserWHEREid='".$_POST["user']."'");
根据对谷歌搜
2022年04月03日
早在 2010 年,Google 就推出了漏洞悬赏计划(VRP,Vulnerability Rewards Programs),安全研究人员可以将发现的漏洞直接提交给 Google。获得漏洞报告后,Google 将会对漏洞报告进行审核,并根据漏洞危害程度向安全研究人员发放 100 美金到 3 万美金不等的赏金。
如今 Google 发布新的 Bug Hunters 平台,将旗下的所有漏洞悬赏计划统一在一个平台下进行管理,以此来为下一个 10 年做好准备。
bughunters.google
2022年04月03日
Google今天推出了全新网站:bughunters.google.com。在新网站上统一了所有的 Vulnerability Rewards Program(VRP),其中包括适用于 Android、Google、Chrome、Google Play 和 Abuse 等,让安全专家更容易地提交漏洞报告。该平台的推出是为了庆祝 VRP 推出 10 周年,尽管庆祝活动似乎有点晚。
在新网站上的其他改进包括:
提供更多的互动机会和一些健康的竞争,通过游戏化、每个国家的排行榜、某些错误
2022年04月03日
2010年,谷歌推出了一个名为VRP(Vulnerability Rewards Programs)的漏洞悬赏计划。安全人员通过提交关于Chrome和Chrome OS漏洞的报告,能从谷歌领到100到30000美金不等的奖金。近日,谷歌宣布将该计划升级为面向谷歌旗下所有产品的漏洞悬赏,并推出新的漏洞悬赏平台——Google Bug Hunters(谷歌Bug猎人)。
除了整合谷歌旗下所有产品的漏洞悬赏外,新平台还推出了排行榜功能,用于激励安全人员参与悬赏,排行榜可
2022年04月03日
网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。……要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。
——2016年4月19日网络安全和信息化工
2022年04月03日
据外媒报道,Atlas VPN的一项新研究表明,地下网络犯罪论坛上出售的漏洞有51%是针对微软产品的。微软Office的漏洞占23%,Windows漏洞占12%。远程桌面协议(RDP)的漏洞占10%,Internet Explorer和Share Point各占3%。
Atlas VPN的研究员表示,漏洞数量正在以惊人的速度增加,2015年和2016年公布的软件漏洞数量约为6500个。2017年,公布的漏洞增加了一倍多,达到14644个。今年最危险的漏洞之一是CVE-2017-014
2022年04月03日
CI/CD是应用程序开发周期的重要组成部分。然而,犯罪分子正在利用CI(持续集成)/CD(持续交付)管道中的漏洞,窃取敏感信息,挖掘加密货币,并交付恶意代码。
最近的网络攻击利用了持续集成/持续交付(CI/CD)管道和开发人员工具中的漏洞,这说明了提高开发人员基础设施的安全性迫在眉睫。最典型的案例则是Codecov供应链攻击,这也提醒了用户,无论环境多么安全都不要在CI/CD环境变量中存储私密信息。
Codecov攻击者入侵了数千名开发人员使用的Bash上传器,成功地从客户环境中窃取了凭证、密
2022年04月03日
日前三大热门开源项目——EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞。研究人员指出:“这三个项目已被广泛应用于数千家企业用户,是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用,可能会为更复杂的攻击提供途径。”
诺基亚和Trevor的技术人员Wiktor Sędkowski表示,这些漏洞会影响EspoCRM v6.1.6、Pimcore客户数据框架v3.0.0、Pimcore AdminBu
2022年04月03日
WizCase网络安全研究团队发现一个重大漏洞,这个漏洞导致一些美国城市数据遭暴露,在这次暴露事件中,所有这些城市都使用同一个市政网络服务提供商。
这一网络犯罪行为损害了公民的地址、电话号码、身份信息、税务文件等。 由于敏感而独特的文档数量众多且类型多样,因此很难估计此次泄露事件中暴露的人数。而且无需密码或登录凭据即可访问此信息,且数据未加密。
事件经过
在数据泄露事故中,80多个美国城市似乎都在使用mapsonline.net这一产品。这是由一家名为PeopleGIS 的美国公司提供。这