NEWS.ALL
Ruizhao's News Reader

Browsing Category : FreeBuf

玖色直播安全情报报告

根据中国互联网络信息中心(CNNIC)第45次发布《中国互联网络发展状况统计报告》显示,截止今年3月,我国网民规模达9.04亿,不法分子利用网络直播平台传播淫秽色情信息非法牟

2020-06-29         FreeBuf

攻防演练实战中的若干Tips

因为所在单位的公司属性,有幸作为防守方赶上了2019年的攻防演练。整个过程历时几个月时间,有思考、有规划、有实施,但是因实际情况所限,总有一些想法没有尝试,总有一些规划没有“落地”,也有一些经历过之后的恍然大悟,稍作记录以便未来实践并与即将参加2020年攻防演练的小伙伴们简要分享。

攻防演练对各家公司里安全技术人员来说,真的喜忧参半,难以言表。借用我微信好友的一句话(出处不详):“它让公司CSO有种

2020-06-29         FreeBuf

FreeBuf早报|超过4000万个Telegram条目遭到泄露;巴西联邦警察调查发现总统数据泄漏;微博解散112万个涉黄、违法违规内容微博群

【全球动态】 1.巴西联邦警察调查发现总统数据泄漏

巴西联邦警察报告了对网络犯罪组织调查的进展,该组织据称负责揭露包括总统贾尔·博尔索纳罗在内的高级政府官员的个人详细信息。黑客组织“匿名巴西”(Anonymous Brazil)声称,本月早些时候发生了一次泄露事件,涉及与博尔索纳罗,他的儿子和支持者以及各大臣有关的个人信息。[外刊-阅读原文]

2.亚洲媒体公司E27被黑,攻击者要求“捐赠”

亚洲媒体公司E27被一个黑客团体攻击,他们将自己称为“韩国黑客”和“约翰威克队”,

2020-06-29         FreeBuf

浅谈数据安全运营的一亩三分地

一、定位与目标

近几年互联网公司数据安全已从单兵作战逐步发到到团队作战,分工上也朝着精细化运营、风险模型建设、数据安全平台建设等细分方向专业化演进。

其中数据安全运营定位:数据分析(掌握核心技术)—数据安全运营(背锅+其它)– 业务(价值方),数据安全运营渐渐成为公司数据安全团队与业务沟通、项目推进及价值

2020-06-29         FreeBuf

BurpCrypto: 万能网站密码爆破测试工具

在Web渗透测试中有一个关键的测试项:密码爆破。

目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。

安装

BurpCrypto可从其官方Github页面进行下载已编译好的版本

2020-06-28         FreeBuf

14多万条学生的个人信息被泄露

近年来,个人隐私信息被大规模泄露的案例屡屡见诸媒体。这样的现象看似意外,细想也在意料之中,如今人们无论是办银行卡、手机卡,还是购买大件商品,一般都会被要求提供手机号、身份证号、家庭住址之类信息,有时连电子信箱、QQ微信号也要提供。究竟在多少个表格上填写过个人信息,很多人恐怕早就记不清了。

我们的个人信息,早已在很多场合被广泛收

2020-06-28         FreeBuf

臭名昭著的Fxmsp如何一步步成为“暗网隐形的神”

在最近IBM发布的对Fxmsp的综合报告里,将这个男人称为“暗网隐形的神”。

在暗网活跃3年以上

袭击44个国家

入侵135家公司,8.9%为国有企业

仅基于公开拍卖预估获利1500000美金

fxmsp-3_1200х645_en.jpg

探究Fxmsp如何从新手骇客成为讲俄语的地下组织的重量级人物,对于安全研究人员了解网络犯罪行业的发展、暗网的变化都有一定意义。

初入地下论坛到如鱼得水

2016年9月,Fxmsp在网络犯罪领域迈出了第一步。

当时,他在

2020-06-28         FreeBuf

挖洞经验 | 利用系列视频创建功能删除任意Facebook平台图片($10,000)

近期,作者注意到了Facebook的创作工作室(Facebook Creator Studio)中添加了系列视频创建功能(Series Feature),出于对漏洞测试的敏感性,作者及时对该功能进行了测试,最终发现该功能中存在任意Facebook图片删除漏洞,漏洞获得了Facebook官方$10,000的奖励。

漏洞发现过程

Facebook的创作工作室(Facebook Creator Studio)汇集了用户所

2020-06-28         FreeBuf

“维基解密”创始人被追加起诉与黑客合作窃密,或将面临175年监禁

美国司法部的声明称,阿桑奇所涉案件是美国历史上最大的机密信息泄露案之一。

本周三,美国司法部对维基解密创始人朱利安·阿桑奇(Julian Assange)提起替代起诉(Superseding Indictment),指控他与LulzSec、“匿名者”等黑客组织合谋,窃取国家机密文件和数据。

bd719623593a4fbc98459a7690a0221c.jpeg

新的起诉书中表明,除了2019年5月提及的18项罪名以外,并未涉及其他指控。但是,值得

2020-06-28         FreeBuf

云安全市场现状与需求调研 | 给AWS云找找“茬”(上)

CybersecurityResearch发布《AWS云安全报告2019》,统计了AWS一年来云上安全现状以及用户对这个领域的需求和看法等。报告通过与400,000网络安全业内人士(包括技术人员、专家、管理者)探讨AWS云上用户如何应对云上安全威胁、采用何种工具和最佳实践。

同时本文还会结合国内外机构如中国信通院、CybersecurityResearch、IDC、PaloAltoNetworks等云安全相关报

2020-06-28         FreeBuf

某租车系统Java代码审计之后台注入漏洞

CMS简介

系统基于租车业务场景而搭建的O2O服务平台,可为用户提供商务租车、接送机、旅游租车、企业租车、自驾租车、婚庆用车等自助租车服务。

系统包含车辆库管理、门店管理、员工管理、司机管理、订单管理、活动管理、评价管理、财务管理、统计等。

cms的下载地址:http://down.admin5.com/jsp/135501.html

部署简介

1、下载代码文件,可以本机调试或上传到自己服务器运行。

2、安

2020-06-28         FreeBuf

某租车系统Java代码审计之后台注入漏洞分析

CMS简介

系统基于租车业务场景而搭建的O2O服务平台,可为用户提供商务租车、接送机、旅游租车、企业租车、自驾租车、婚庆用车等自助租车服务。

系统包含车辆库管理、门店管理、员工管理、司机管理、订单管理、活动管理、评价管理、财务管理、统计等。

cms的下载地址:http://down.admin5.com/jsp/135501.html

部署简介

1、下载代码文件,可以本机调试或上传到自己服务器运行。

2、安

2020-06-28         FreeBuf

FreeBuf早报|Apple iOS 14和macOS Big Sur中添加了新的隐私功能;VirusTotal增加了Cynet基于人工智能的恶意软件检测;德法院裁定Facebook需遵守监管命令

【全球动态】 1. 新的WastedLocker勒索软件或已通过虚假程序进行更新

俄罗斯的网络犯罪组织Evil Corp已在其武器库中添加了一个名为WastedLocker的新勒索软件。 该勒索软件将被用于针对企业的定向攻击。 [外刊-阅读原文]

2. PayPay和Venmo正大力推动加密货币的发展

CoinDesk 援引某消息灵通的业内人士的话称,金融科技巨头 PayPal 和 Venmo 正在加入加密货币大战。据说两家公司正在实施允许自

2020-06-28         FreeBuf

云WAF如何防止敏感信息泄漏

防敏感信息泄漏是Web应用防火墙针对网安法明确提出,企业运营者应当采取技术措施和其他必要措施,确保个人信息安全,防止信息泄露、毁损、丢失。

在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。

防敏感信息泄漏功能针对网站中存在的敏感信息(尤其是

2020-06-28         FreeBuf

GhostShell:一款带有AV绕过和反分析技术的恶意软件研究工具

GhostShell是一款专为恶意软件研究人员设计的工具,首先它是无法被检测到的,自带有反病毒产品绕过技术,并且无法进行反汇编分析。同时在这个恶意软件中,它还使用了某些技术来绕过反病毒产品、虚拟机和沙箱环境。Malware.jpg 注意事项

为了保证反病毒产品无法检测到GhostShell,请不要将生成的样本发送至VirusTotal。如果想

2020-06-27         FreeBuf

Maze勒索软件正式加入披露数据的行列

Maze 勒索软件的开发者不断使用新的方法来勒索受害者,如果原来的方式不足够让你付赎金,那就换一种方法进行勒索。

始终有一部分受害者不会因为文件被加密而向攻击者付款。随着时间的推移,攻击者发明了新的方法勒索受害者,他们会保存重要文件的未加密副本或使用某种回滚技术将系统还原到攻击前的状态。

勒索软件在部署时会窃取相关数据,如果受害者不付款,攻击者就会威胁要公开数据。

Maze 开始泄露数据

2019 年最后一

2020-06-27         FreeBuf

BUF大事件丨多个约会APP高达845GB数据泄露;小程序个人信息保护研究报告

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,多个约会APP高达845GB数据泄露,含露骨照片和聊天记录;APP频繁自启动访问文件2.5万次;小程序个人信息保护研究报告:不足四成小程序提供独立隐私政策;谷歌浏览器造成大规模用户安全信息泄露。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概 多个约会APP高达845GB数据泄露,含露骨照片和聊天记录

近日,有外媒报道称,9家流行约会软件曝光了845GB的露骨照片和聊天隐私等信息,预计泄露了数十万用

2020-06-27         FreeBuf

使用yarGen提取Linux恶意脚本特征

Linux下的恶意软件多为sh脚本,且由于使用的命令大同小异(均为下载文件、运行进程、创建定时任务、写ssh后门等操作),经常难以分辨恶意sh脚本是属于哪个病毒家族的。

遇到这种情况,使用yara规则对恶意脚本进行检测分类是个不错的选择,本文将介绍如何借助yargen实现对Linux恶意脚本特征的半自动化提取。

关于yargen

yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符

2020-06-27         FreeBuf

设备固件提取小结

一、常见设备类型-按片外片内ROM划分

其实很多CPU都同时支持片内和片外ROM,比如老的C51到现在流行的STM32。为啥要划分这两种类型呢,主要片外提取固件基本可以暴力提取,直接把存储芯片焊接下来用相应的读取设备就能读取。

程序或者系统保存在芯片内的一般都没外挂存储的,例如下面:

片外rom我们最常见的手机、路由器这些都是片外rom:

二、常见系统分类

NON-OS:这类嵌入式系统不包

2020-06-27         FreeBuf

每天有80000台打印机通过IPP在线曝光

多年以来,每台没有受到防火墙保护的在线设备都是攻击面。

黑客可以部署漏洞以强行控制系统,或者他们可以在不需要身份验证的情况下简单地连接到暴露的端口。

以这种方式被黑客入侵的设备有时会被恶意软件束缚在僵尸网络中,或者充当大型企业网络的最初立足点和后门。

尽管这是网络安全和IT专家的常识,但我们仍然有大量不安全的设备暴露在网上。

在本月初发布的一份报告中,致力于改善全球网络安全实践的非营利组

2020-06-26         FreeBuf