- 資訊安全:
1.Flash播放器发布重要更新补丁,修复23个漏洞 by 移动安全论坛
Adobe Systems为Flash播放器发布了新的更新补丁,以修复Flash播放器的关键安全漏洞,该安全漏洞可能使攻击者在用户的计算机上安装恶意软件。
这个更新补丁共修复了23个安全漏洞,其中18个安全漏洞可能被黑客开发利用来在底层系统执行恶意代码。Adobe公司并不清楚这些被修复的安全漏洞是否被公然的开发利用过。
其他的安全漏洞可能导致信息泄露、绕过浏览器的同源策略机制以及内存泄露。其中两个更新补丁是增加或改善对向量长度损坏以及恶意内容的保护,免受在浏览器上运行的JavaScript程序所使用的易受攻击的JSONP跨域调用技术回调的API应用程序编程接口的影响。
2.黑盒测试中那些"看不见的"漏洞 by 小饼仔
在黑盒测试中,一般我们通过请求的响应来判断一个漏洞是否存在,比如
但有一些漏洞触发后并不会造成响应不同,或者不会立刻执行,比如二次SQL注入、命令注入但只会在夜间crontab执行等,导致我们无法通过一般的手段来判断是否存在漏洞。
这类“看不见的”漏洞大致可以分为三类:
(1)发生在后台线程的Server端漏洞。比如在队列中的SQL注入查询,你不知道这个注入查询什么时候会被执行,也许payload会触发时间延迟,但是这个延迟仅影响后台线程,无法在前台被检测到。
(2)Blind漏洞,需要二次事件来触发。比如Blind XSS、二次SQL注入。
(3)不会造成响应不同的漏洞,并且这类漏洞不支持任何方法来触发时间延迟。如Blind XEE 和 XPath注入。
为了能够检测到此类漏洞,我们需要一个能够促发callback的payload,callback能够从有漏洞的应用向攻击者控制的机器上发起连接。
3.中关村在线等超20家知名下载站植入Killis木马 by FreeBuf
Killis木马的源头就隐藏在一些知名下载站的真实下载地址中。以国内某大型下载站为例,当用户点击一些资源的真实下载地址后,下载回来的首先是一个下载器。这个程序运行后,除了为用户下载原本需要的资源以外,它同时会向服务器请求一个推广列表。
Killis木马就在这时进入电脑。再看带有Killis木马推广行为的下载站列表,只要你在国内下载站下载文件,几乎无可避免会遇到Killis木马的侵袭,此木马背后产业链的流量控制能力由此可见一斑。
Killis木马伪装成“传奇霸业”的端游客户端,并利用一些公司泄露的过期签名,为自己签发木马。而这个游戏客户端只是个幌子,木马真正的功能是将用户计算机做为一个刷量终端,不断的进行推广。
此木马可以云控安装软件,安装插件,放桌面放快捷方式,改桌面快捷方式,改桌面图标,杀指定进程。Killis作为一个全功能的推广器隐藏在受害用户计算机中,并且还有一个杀进程驱动,用来结束多家杀软的进程,防止木马推广被拦截。
Adobe Systems为Flash播放器发布了新的更新补丁,以修复Flash播放器的关键安全漏洞,该安全漏洞可能使攻击者在用户的计算机上安装恶意软件。
这个更新补丁共修复了23个安全漏洞,其中18个安全漏洞可能被黑客开发利用来在底层系统执行恶意代码。Adobe公司并不清楚这些被修复的安全漏洞是否被公然的开发利用过。
其他的安全漏洞可能导致信息泄露、绕过浏览器的同源策略机制以及内存泄露。其中两个更新补丁是增加或改善对向量长度损坏以及恶意内容的保护,免受在浏览器上运行的JavaScript程序所使用的易受攻击的JSONP跨域调用技术回调的API应用程序编程接口的影响。
2.黑盒测试中那些"看不见的"漏洞 by 小饼仔
在黑盒测试中,一般我们通过请求的响应来判断一个漏洞是否存在,比如
- 是否触发错误消息
- 响应内容是否不同
- 是否有时间延迟
但有一些漏洞触发后并不会造成响应不同,或者不会立刻执行,比如二次SQL注入、命令注入但只会在夜间crontab执行等,导致我们无法通过一般的手段来判断是否存在漏洞。
这类“看不见的”漏洞大致可以分为三类:
(1)发生在后台线程的Server端漏洞。比如在队列中的SQL注入查询,你不知道这个注入查询什么时候会被执行,也许payload会触发时间延迟,但是这个延迟仅影响后台线程,无法在前台被检测到。
(2)Blind漏洞,需要二次事件来触发。比如Blind XSS、二次SQL注入。
(3)不会造成响应不同的漏洞,并且这类漏洞不支持任何方法来触发时间延迟。如Blind XEE 和 XPath注入。
为了能够检测到此类漏洞,我们需要一个能够促发callback的payload,callback能够从有漏洞的应用向攻击者控制的机器上发起连接。
3.中关村在线等超20家知名下载站植入Killis木马 by FreeBuf
Killis木马的源头就隐藏在一些知名下载站的真实下载地址中。以国内某大型下载站为例,当用户点击一些资源的真实下载地址后,下载回来的首先是一个下载器。这个程序运行后,除了为用户下载原本需要的资源以外,它同时会向服务器请求一个推广列表。
Killis木马就在这时进入电脑。再看带有Killis木马推广行为的下载站列表,只要你在国内下载站下载文件,几乎无可避免会遇到Killis木马的侵袭,此木马背后产业链的流量控制能力由此可见一斑。
Killis木马伪装成“传奇霸业”的端游客户端,并利用一些公司泄露的过期签名,为自己签发木马。而这个游戏客户端只是个幌子,木马真正的功能是将用户计算机做为一个刷量终端,不断的进行推广。
此木马可以云控安装软件,安装插件,放桌面放快捷方式,改桌面快捷方式,改桌面图标,杀指定进程。Killis作为一个全功能的推广器隐藏在受害用户计算机中,并且还有一个杀进程驱动,用来结束多家杀软的进程,防止木马推广被拦截。
- 自我成長:
1.27歲台灣女孩,變身新加坡公司CEO的祕訣:專注和專業 by 艾兒莎
人們一直以來都太崇尚浮誇的生活方式,忘記了簡單與實在的力量。我也曾經認為年薪數百萬或有知名國際企業的頭銜才是最成功的,但事實是,拿掉這些外在的事物後,還能剩下些什麼,才是我們所擁有的真正價值。
在討論個人的核心價值與競爭力的同時,我覺得自身的價值才最有保障,也最難被取代,而那個穩固的價值該從何而來?就是我到目前還在努力的目標:專注與專業。只有懂得專注的人,才能走得遠、爬得高。
2.想要快樂,你必須活出真實的自己 by 競爭力直升機
我經歷一番艱辛才學到,如果你想不僅成功而且快樂,你必須活出真實的自己,展現真正的個性。這說起來容易,做起來困難,但請切記:絕對不要擔心別人無法接受百分之百真正的你,所以隱藏自己真正的模樣。千萬別犯下這個錯誤。
不以公開坦率的態度面對世界是一個嚴重誤判,得付出許多代價。許多人認為真實的自己是一個樣子,該展現的形象卻是另一個樣子,結果盡力隱藏自己,但這是一大錯誤。總之,你應該要做自己。
你必須盡量大膽自信的跨出腳步,好好做你自己,讓別人看見貨真價實的你。此外,在別人開始認識你之際,你要跟他們分享你的生命故事,讓你的人格散發光芒。
3.累積時間,兼顧工作及夢想 by 吳孟霖
一天1小時,一年就有365個小時,約等於45個工作天,這個時間看起來很短,但拉長10年來看,就有450個工作天。也許不是每個人都有機會花一年「Gap year」認識自己,但每個人都能累積時間,找到人生中的Gap year。
人們一直以來都太崇尚浮誇的生活方式,忘記了簡單與實在的力量。我也曾經認為年薪數百萬或有知名國際企業的頭銜才是最成功的,但事實是,拿掉這些外在的事物後,還能剩下些什麼,才是我們所擁有的真正價值。
在討論個人的核心價值與競爭力的同時,我覺得自身的價值才最有保障,也最難被取代,而那個穩固的價值該從何而來?就是我到目前還在努力的目標:專注與專業。只有懂得專注的人,才能走得遠、爬得高。
2.想要快樂,你必須活出真實的自己 by 競爭力直升機
我經歷一番艱辛才學到,如果你想不僅成功而且快樂,你必須活出真實的自己,展現真正的個性。這說起來容易,做起來困難,但請切記:絕對不要擔心別人無法接受百分之百真正的你,所以隱藏自己真正的模樣。千萬別犯下這個錯誤。
不以公開坦率的態度面對世界是一個嚴重誤判,得付出許多代價。許多人認為真實的自己是一個樣子,該展現的形象卻是另一個樣子,結果盡力隱藏自己,但這是一大錯誤。總之,你應該要做自己。
你必須盡量大膽自信的跨出腳步,好好做你自己,讓別人看見貨真價實的你。此外,在別人開始認識你之際,你要跟他們分享你的生命故事,讓你的人格散發光芒。
3.累積時間,兼顧工作及夢想 by 吳孟霖
一天1小時,一年就有365個小時,約等於45個工作天,這個時間看起來很短,但拉長10年來看,就有450個工作天。也許不是每個人都有機會花一年「Gap year」認識自己,但每個人都能累積時間,找到人生中的Gap year。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言