- 資訊安全:
1.安全研究人员发现可以利用推特控制僵尸网络 by Freebuf
英国安全研究人员Paul Amar打造出一款工具,能够利用推特(Twitter)私信(DMs)操控僵尸网络。 这款工具名为Twittor。
该工具仅仅是一套简单的Python脚本,其能够利用Twitter API以及相关服务选项引导受害者向其他用户发出消息。这款工具可以使得僵尸网络运营者对自己的基础设施加以管理,且不必将行为暴露在其Twitter页面当中。
Twittor允许黑客们创建Twitter账户,设置Twitter应用并获取API证书,并将这一切纳入到一套恶意Python脚本当中。该脚本则可以在部署完成之后操纵僵尸网络向主Twitter账户发出请求,或者向僵尸网络中的肉鸡设备发送请求。这样黑客就可以获取成千上万的用户资料信息。
2.一个被严重忽略了的漏洞:数千JAVA应用程序面临远程代码执行风险 by 安全牛
九个月以前,在一个最受欢迎的Java程序库中,发现了一个严重的漏洞,该漏洞会将数以千计的Java应用程序及服务器置于遭到远程代码攻击的危险处境中。但由于一些原因,这个漏洞一直未被业内所重视。
这个漏洞出现在在Apache通用集合组件中的一个程序库中,这个程序库中包含了一整套使用广泛的,由Apache软件基金会维护的Java程序组件。该漏洞专门针对Apache通用集合组件以及来自于Java程序中的不安全反序列化程序。
Apache通用集合组件包含一个InvokerTransformer的类目,它可以执行反射或者动态方法调用,并且这个类目可以包含在一个序列化对象中。这就允许一个攻击者可以手动创建一个包含恶意软件的用户,在Java应用程序使用Apache Commen程序库对序列化对象进行反序列化操作时,这个用户就可以执行恶意程序。
甚至在Apache共同集合组件中,根据组件中故障追踪器显示,InvokerTransform可能都不是最易受攻击的一类,有另外三类也被挑出,它们都存在着同样的问题。
尽管修补程序已经发布,但仍然有很大可能性这一问题不只局限于这个特定的组件,研究员应该考虑他们是否能从classpath中移除commons-collections,或者从commons-collections文件中移除InvokerTransformer类目。这种改变应该慎重考虑,因为它们有可能会打破应用程序。
3.亚信安全发布警示:锁定中小企业的勒索软件正在改变战术 by ZD至顶网安全频道
在近期发现的勒索软件中,亚信安全发现最大的威胁来自TorrentLocker和CryptoWall,他们都属于Ransomware的变种。亚信安全通过统计点击TorrentLocker和CryptoWall相关电子邮件内恶意链接(2015年6月-7月)的用户类型,发现中小企业在受害者中的比例最高。其中,点击CryptoWall相关电子邮件内恶意链接的用户大多数属于中小企业用户。
今年大部分用于勒索软件的社交工程(social engineering)诱饵都和企业活动相关。例如,CryptoWall会利用简历、订单和护照作为其垃圾邮件主旨。
对此,亚信安全业务发展总监童宁指出:“虽然CryptoWalll所用诱饵不会根据区域而有所不同,但TorrentLocker却以针对区域定制化而知名,它们的社交工程诱饵会依受害国家设计,此类威胁通常会根据不同区域的特点,有针对性地假借邮递服务、电信、公共事业和政府机构通知的名义来制作诱饵。
英国安全研究人员Paul Amar打造出一款工具,能够利用推特(Twitter)私信(DMs)操控僵尸网络。 这款工具名为Twittor。
该工具仅仅是一套简单的Python脚本,其能够利用Twitter API以及相关服务选项引导受害者向其他用户发出消息。这款工具可以使得僵尸网络运营者对自己的基础设施加以管理,且不必将行为暴露在其Twitter页面当中。
Twittor允许黑客们创建Twitter账户,设置Twitter应用并获取API证书,并将这一切纳入到一套恶意Python脚本当中。该脚本则可以在部署完成之后操纵僵尸网络向主Twitter账户发出请求,或者向僵尸网络中的肉鸡设备发送请求。这样黑客就可以获取成千上万的用户资料信息。
2.一个被严重忽略了的漏洞:数千JAVA应用程序面临远程代码执行风险 by 安全牛
九个月以前,在一个最受欢迎的Java程序库中,发现了一个严重的漏洞,该漏洞会将数以千计的Java应用程序及服务器置于遭到远程代码攻击的危险处境中。但由于一些原因,这个漏洞一直未被业内所重视。
这个漏洞出现在在Apache通用集合组件中的一个程序库中,这个程序库中包含了一整套使用广泛的,由Apache软件基金会维护的Java程序组件。该漏洞专门针对Apache通用集合组件以及来自于Java程序中的不安全反序列化程序。
Apache通用集合组件包含一个InvokerTransformer的类目,它可以执行反射或者动态方法调用,并且这个类目可以包含在一个序列化对象中。这就允许一个攻击者可以手动创建一个包含恶意软件的用户,在Java应用程序使用Apache Commen程序库对序列化对象进行反序列化操作时,这个用户就可以执行恶意程序。
甚至在Apache共同集合组件中,根据组件中故障追踪器显示,InvokerTransform可能都不是最易受攻击的一类,有另外三类也被挑出,它们都存在着同样的问题。
尽管修补程序已经发布,但仍然有很大可能性这一问题不只局限于这个特定的组件,研究员应该考虑他们是否能从classpath中移除commons-collections,或者从commons-collections文件中移除InvokerTransformer类目。这种改变应该慎重考虑,因为它们有可能会打破应用程序。
3.亚信安全发布警示:锁定中小企业的勒索软件正在改变战术 by ZD至顶网安全频道
在近期发现的勒索软件中,亚信安全发现最大的威胁来自TorrentLocker和CryptoWall,他们都属于Ransomware的变种。亚信安全通过统计点击TorrentLocker和CryptoWall相关电子邮件内恶意链接(2015年6月-7月)的用户类型,发现中小企业在受害者中的比例最高。其中,点击CryptoWall相关电子邮件内恶意链接的用户大多数属于中小企业用户。
今年大部分用于勒索软件的社交工程(social engineering)诱饵都和企业活动相关。例如,CryptoWall会利用简历、订单和护照作为其垃圾邮件主旨。
对此,亚信安全业务发展总监童宁指出:“虽然CryptoWalll所用诱饵不会根据区域而有所不同,但TorrentLocker却以针对区域定制化而知名,它们的社交工程诱饵会依受害国家设计,此类威胁通常会根据不同区域的特点,有针对性地假借邮递服务、电信、公共事业和政府机构通知的名义来制作诱饵。
- 自我成長:
1.無論如何,都要試著成為能夠給予的人 by 阿飛
不要讓自己成為一直想著去改變或補償別人的人,我覺得抱著這樣的想法過日子不只是不快樂,對他人來說,你的心意說不定是一種無形的壓力。不被接受的善意,其實是一種浪費。如果換成另一種心態與做法,你並不是去改變或補償,只是單純去支持或協助一個人,你會比較快樂,而對方壓力也不會那麼大。
有些人認為付出就是失去,其實並不是這樣子,反而要把付出當成一種投資。我們會因為付出而快樂,然後快樂又因為分享而更增加。善意、開心、關愛與幸福都需要與他人分享、彼此交流,不然那些美好就會像沒得充電的電池,不停使用卻沒有補充,最終會完全流逝殆盡。
學會給予溫暖,才能獲得更多溫暖,懂得付出,才能有更多回報。做人不要太計較,凡事不要愛比較,心胸不要太狹隘,與人方便自己方便,讓別人快樂自己也快樂。
2.笑,然後你就能夠笑 by 若依
人們快樂與否,來自於最根本的抉擇,當人們最終因受夠了苦痛而鼓起勇氣做下決擇來放棄苦痛時,當下就可以離開痛苦。而當你抉擇將要以笑來度過一輩子時,笑,然後你就能夠持續的笑了,記住,生命是簡單而直接的!
3.讓聽眾參與你的演講 by John Coleman
你可以把演講設計成鼓勵聽眾討論和參與的形式,和聽眾的重要成員一起擬草稿。盡早讓聽眾參與,可以及早發現需要解決的問題,和已經有人試過的解決方案。
不妨把會前參考資料先發給聽眾,讓他們屆時不需邊聽演講邊消化內容。記得請主持人在你演講結束後,開放聽眾發問或評論。
不要讓自己成為一直想著去改變或補償別人的人,我覺得抱著這樣的想法過日子不只是不快樂,對他人來說,你的心意說不定是一種無形的壓力。不被接受的善意,其實是一種浪費。如果換成另一種心態與做法,你並不是去改變或補償,只是單純去支持或協助一個人,你會比較快樂,而對方壓力也不會那麼大。
有些人認為付出就是失去,其實並不是這樣子,反而要把付出當成一種投資。我們會因為付出而快樂,然後快樂又因為分享而更增加。善意、開心、關愛與幸福都需要與他人分享、彼此交流,不然那些美好就會像沒得充電的電池,不停使用卻沒有補充,最終會完全流逝殆盡。
學會給予溫暖,才能獲得更多溫暖,懂得付出,才能有更多回報。做人不要太計較,凡事不要愛比較,心胸不要太狹隘,與人方便自己方便,讓別人快樂自己也快樂。
2.笑,然後你就能夠笑 by 若依
人們快樂與否,來自於最根本的抉擇,當人們最終因受夠了苦痛而鼓起勇氣做下決擇來放棄苦痛時,當下就可以離開痛苦。而當你抉擇將要以笑來度過一輩子時,笑,然後你就能夠持續的笑了,記住,生命是簡單而直接的!
3.讓聽眾參與你的演講 by John Coleman
你可以把演講設計成鼓勵聽眾討論和參與的形式,和聽眾的重要成員一起擬草稿。盡早讓聽眾參與,可以及早發現需要解決的問題,和已經有人試過的解決方案。
不妨把會前參考資料先發給聽眾,讓他們屆時不需邊聽演講邊消化內容。記得請主持人在你演講結束後,開放聽眾發問或評論。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言