NEWS.ALL
Ruizhao's News Reader

Browsing Category : FreeBuf

「斗象科技」完成B+轮亿元级别融资,专注漏洞检测与威胁分析,把产品服务“做好、做精”

公司新一轮融资将加大人工智能技术应用于威胁分析方面的投入,针对行业特性和业务场景提供更深度的产品服务。斗象科技将一直专注在漏洞与威胁检测分析领域,并努力地把这块事情做好、做精。36氪获悉,斗象科技已于2019年初正式宣布完成B+轮亿元级别人民币融资。该轮融资由同创伟业领投,国发创投、云栖科技创新基金跟投。

斗象科技创立于2014年,起源于国内网络安全技术新媒体社区FreeBuf,是国内创新型互联网安全服务

2019-03-12         FreeBuf

RSAC 2019 | 聚变的前夜——流量安全产品观察

当我们谈论流量安全产品时,它可能包含了防火墙、IPS、WAF甚至NPBs等基于网络流量实现安全功能的产品,这些都归类在Network Security范畴。从方案的分层来看,流量安全产品位于底层,除了直接处置安全问题外,还负责为SIEM、UEBA等高层安全方案提供原始信息,笔者对2019 RSAC上的多品类流量安全产品进行了综合视角观察。

新介质仍未进入主战场

新通信介质的出现,常常被期待成为安全革命的推手。自云安全大

2019-03-12         FreeBuf

挖洞经验 | 看我如何综合利用Self-XSS和OAuth错误配置实现Stored-XSS

如何综合利用Self-XSS和OAuth错误配置实现Stored-XSS本文分享的作者是对Self-XSS和OAuth错误配置两个低危漏洞的组合利用,形成Stored XSS的一个梳理过程,仅当思路拓展。由于测试保密原因,目标测试网站用redacted.com来代替描述。

漏洞发现

在HackerOne平台参与的一个邀请测试项目中,我发现了一个AngularJS 客户端模板的Self XSS漏洞和一个OAuth实现的错误配置漏洞,单独来看,这两个漏洞

2019-03-12         FreeBuf

RSAC 2019 | 从Comcast看DevSecOps实践

在RSA 2019大会上,DevSecOps 是热词之一,大会还特设了DevSecOps Day来探讨这一主题。组委会以Comcast公司的DevSecOps实践为例,分析了DevSecOps发展过程中的难题,并给出一些参考建议。

cover-image.png

Comcast的DevSecOps实践 

Comcast是美国三大运营商之一,是传统的电信巨头企业。近几年,Concast才开始推进软件相关的布局与发展。目前,软件业务已经成

2019-03-12         FreeBuf

Ghidra:这个来自NSA的软件逆向工程工具终于来啦!

1.png

是的,大家没有看错!Ghidra完全出自NSA之手,它是一款软件逆向工程(SRE)框架,由美国国家安全局研究理事会负责开发、升级和维护。这款框架包含了一整套功能齐全的高级软件分析工具,可以帮助广大研究人员在各种常见系统平台上进行源代码分析,其中包括Windows、macOS和Linux。

Ghidra项目(下载)地址

GitHub代码库:https://github.com/NationalSecurityAgenc

2019-03-12         FreeBuf

ThinkPHP5核心类Request远程代码漏洞分析

一、漏洞介绍

2019年1月11日,ThinkPHP团队发布了一个补丁更新,修复了一处由于不安全的动态函数调用导致的远程代码执行漏洞。该漏洞危害程度非常高,默认条件下即可执行远程代码。启明星辰ADLab安全研究员对ThinkPHP的多个版本进行源码分析和验证后,确认具体受影响的版本为ThinkPHP5.0-5.0.23完整版。

二、漏洞复现

本地环境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache进行复现。安装

2019-03-12         FreeBuf

当社交媒体成为黑客“赚钱”的工具

社交软件几乎我们每个人都会接触,朋友日常交流、同事工作沟通、甚至还会成为新闻信息获取渠道。在我们跟这些平台“打得火热”的同时,却已经有人开始通过它们“赚钱”了。不久前,根据萨里大学犯罪学高级讲师Mike McGuire博士进行的为期六个月的学术研究成果证明,当下时间,社交媒体网络犯罪每年在全球范围内创造的收入至少达到了325亿美元。

主要结论

Cyber theft.png

*五分之一的组织机构感染了通过社交媒体传播的恶意软件;

*2015-2017年间,通过社交媒体的犯罪相关报道在美国

2019-03-12         FreeBuf

软件供应链安全威胁:从“奥创纪元”到“无限战争”

在2018年5月到12月,伴随着阿里安全主办的软件供应链安全大赛,我们自身在设计、引导比赛的形式规则的同时,也在做着反思和探究,直接研判诸多方面潜在风险,以及透过业界三方的出题和解题案例分享,展示了行业内一线玩家对问题、解决方案实体化的思路(参见:篇1 、篇2、篇3 、篇4、篇5 。另外,根据近期的一些历史事件,也做了一些深挖和联想,考虑恶意的上游开发者,如何巧妙(或者说,

2019-03-12         FreeBuf

威胁在外,压力在内 | CISO职场生存现状

顶着C级头衔,直面内忧外患。

CISO的全称是“首席信息安全官”。随着国际上对于网络安全的重视程度逐渐增加,首席信息官逐渐受到众多企业的接受与认可。但是,他们虽然

2019-03-12         FreeBuf

BUF早餐铺丨携程疑再现“大数据杀熟” ,机票重搜贵了近1500元;Citrix收FBI警告:6TB至10TB敏感数据被窃;日本警方指控分享无限循环弹出窗代码的13岁女孩

各位Buffer早上好,今天是2019年3月12日星期二。今天的早餐铺内容主要有:携程疑再现“大数据杀熟” ,机票重搜贵了近1500元;Citrix收FBI警告:6TB至10TB敏感数据被窃;利用恶意插件收集用户数据,​Facebook起诉两名开发者;日本警方指控分享无限循环弹出窗代码的13岁女孩;职业病?网络安全专家居然在航班上“玩坏了”机载娱乐系统。

timg.jpg

携程疑再现“大数据杀熟” ,机票重
2019-03-12         FreeBuf

【BUF大事件】支付宝APP被质疑默默收集用户图片;英特尔CPU再现高危漏洞;RSA 2019在美国旧金山举行,安全让世界更美好

本周梗概

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,支付宝APP被质疑默默收集用户图片,官方人员现身回应;RSA 2019大会在旧金山完美谢幕,起于安全,不止于安全;英特尔CPU再现高危漏洞 得到官方证实可泄露私密数据。想要了解详情,来看本周的BUF大事件吧!

观看视频

看不到视频点这里

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

2019-03-11         FreeBuf

TrackRay:一个开源的微服务渗透测试框架

关于溯光

溯光(TrackRay)是一个由Java语言编写的服务式插件化渗透测试框架,项目是一个WEB服务,提供了调用插件和扫描的接口,并且使用了 Websocket 技术实现命令行风格交互,启动后只需要通过浏览器即可使用,有着多数开源渗透测试框架不具备的特点。

自更新 2.0 版本后,项目数据库采用嵌入式数据库hsqldb,使用 SpringBoot 框架开发,用maven管理依赖,使开发和使用更为简单方便。

2019-03-11         FreeBuf

RSAC 2019 | 从RSAC 2019看安全技术发展的十个机遇

又一年RSA大会归来。每一年参会,总会有一些不同的感悟,或是发现全球安全行业的新趋势,或是找到志同道合的新伙伴,或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断,希望对安全领域里的产品和技术同学们有所启发。

图片1.png

回顾每一年RSA的主题都有寓意。2017 年的主题“Power of Opportunity”, 2018 年的主题是“Now Matters” 。 2017年我印象深刻的

2019-03-11         FreeBuf

挖洞经验 | Uber第三方应用的开发者密钥等敏感信息泄露漏洞

uberhackathon.jpg本文分享的漏洞涉及Uber第三方集成服务应用,通过Uber的开放接口,可以泄露第三方集成服务开发者的客户端密钥和Server token信息。漏洞发现者为印度APP安全公司AppSecure的Anand Prakash 和 Manisha Sangwan 。漏洞上报后,Uber安全团队非常重视,进行了及时修复。

Uber的开发者接口

开放应用程序的 API(应用程序接口)已经成为互联网应用之间共享资源的重要方式,Uber通过

2019-03-11         FreeBuf

.NET高级代码审计(第二课) Json.Net反序列化漏洞

一、前言

Newtonsoft.Json,这是一个开源的Json.Net库,官方地址:https://www.newtonsoft.com/json ,一个读写Json效率非常高的.Net库,在做开发的时候,很多数据交换都是以json格式传输的。而使

2019-03-11         FreeBuf

从委内瑞拉大范围停电一事来看美国的攻击手段

在说美国之前,先对本次的安全事件的主角:委内瑞拉,进行一次国家介绍,经济状况和国际关系的普及,再交代断电一事,最后再是美国的历史攻击其他要制裁国家的发电站的事件汇总。

总而言之,国家基础设施 = 国家命脉,网络安全务必落实到位。

背景 地理位置

委内瑞拉玻利瓦尔共和国(西班牙语:República Bolivariana de Venezuela),简称委内瑞拉,是位于南美洲北部的国家,首都加拉加斯。北临加

2019-03-11         FreeBuf

快讯 | TLS 1.3遇上麻烦了

近期,研究人员发现了一种新型的Bleichenbacher攻击变种,而这种新型的加密攻击可以破坏加密的TLS流量。

TLS 1.3遇上麻烦了

研究人员表示,这种技术能够破解已加密的TLS流量,并允许攻击者拦截和窃取我们均认为是非常安全的那些网络通信数据。这种新型的降级技术主要针对的是最新版本的TLS协议,即TLS v1.3。

实际上,这种加密破解技术并不是才出现的,因为此前

2019-03-11         FreeBuf

键盘拦截器制作与测试

*本文作者:LEdge1,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

我在freebuf上面看过有人使用arduino制作键盘记录的设备但是,说真的,他们都没有实战过,今天我给大家带来一下实战!

今天我要说的是一个学渣的逆袭过程。

由于上学期考试挂科了,也是我大学里面最后一个学期了,我可不想重修啊。想着寒假在家

2019-03-11         FreeBuf

由一个萌妹子引发的CTF Writeup

前言

前几天在刷 CTF 题的时候遇到一个比较有意思的题,题目本身难度一般,但是涉及到的几个点还是值得记录一下的,于是便有了此文。

不一样的图片加载方式

题目给出的 URL 链接形式为:http://www.XXXX.com/index.php?jpg=hh.jpg浏览器打开显示动漫美少女图片。

通过查看源码发现图片是以 base64 编码的方式载入的

对于不需要更新内容的图片来说,可以直接将文件内容以 base64 编码的方式写入到

2019-03-11         FreeBuf

WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线

*本文作者:艾登——皮尔斯,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

前言

Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞,被发现漏洞是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件,该文件自 2005 年发布至今就从未有过更新过,影响时长长达十余年

2019-03-11         FreeBuf