- 資訊安全:
1.匿名者(Anonymous)向土耳其根域名服務器發起DDos攻擊 by Freebuf
早在今年1月份查理周刊恐怖襲擊事件之後,匿名者就已經將ISIS視為攻擊目標,並發起了#OpISIS運動。日前,黑客組織匿名者(Anonymous)公佈了一段視頻,宣布自己就是這起網絡攻擊事件的發起人,並表示該攻擊跟反ISIS組織相關。
匿名者(Anonymous)同時表示,如果土耳其不停止支持ISIS這樣的行為,那麼他們將會對這個國家的根域名服務器,同時對銀行、政府、機場、軍隊及與之相聯繫的私企網站繼續發動攻擊。
2. 安全研究員發現Instagram漏洞,遭FaceBook高管威脅 by Freebuf
一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞後,卻受到了Facebook的威脅。
這位研究人員發現了一個遠程代碼執行漏洞,該漏洞存在於Instagram處理用戶會話cookie的方式中,這些cookie通常用來記住用戶的登錄細節。這個遠程代碼執行漏洞可能是因為下面兩個缺陷:
(1)運行在服務器上的Sensu-Admin Web應用程序包含一個硬編碼的Ruby密鑰令牌。
(2)主機上運行了Ruby(3.x)版本,該版本的Ruby會通過Ruby會話cookie受代碼執行漏洞的影響。
利用該漏洞,Weinberg能夠迫使服務器吐出一個數據庫,其中包含登錄細節,包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進行了加密,但Weinberg能夠在幾分鐘內破解大量弱密碼(例如changeme、instagram、password)。
3. Microsoft Outlook漏洞:可允許遠程代碼執行 by Freebuf
近期,微軟發布了一系列補丁,修復了自身產品中一些影響廣泛以及關鍵的Bug,其中包括更新了微軟Office套件版本,解決了其中的部分安全問題。而安全專家研究發現,其中的一個漏洞(cve-2015-6172),攻擊者通過以“特定打包的微軟Office文件”作為附件,由Outlook 發送郵件給目標用戶,可允許遠程代碼執行。
據安全專家李海飛所稱:「由於Flash 0day 漏洞容易為攻擊者所獲取,那麼通過啟用了OLE的TNEF郵件中植入一個Flash exp,當受害者閱讀郵件時,攻擊者便能夠實現任意代碼執行。我們通過使用Flash OLE 對像作為一個測試樣本,也成功實現了代碼運行,但還需要提到的是其他的OLE對像也有可能被攻擊者利用。」
例如,因為Outlook會將.msg格式的文件自動識別為安全文件,並且一般默認是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內容,當用戶查看郵件時將會被自動打開。
早在今年1月份查理周刊恐怖襲擊事件之後,匿名者就已經將ISIS視為攻擊目標,並發起了#OpISIS運動。日前,黑客組織匿名者(Anonymous)公佈了一段視頻,宣布自己就是這起網絡攻擊事件的發起人,並表示該攻擊跟反ISIS組織相關。
匿名者(Anonymous)同時表示,如果土耳其不停止支持ISIS這樣的行為,那麼他們將會對這個國家的根域名服務器,同時對銀行、政府、機場、軍隊及與之相聯繫的私企網站繼續發動攻擊。
2. 安全研究員發現Instagram漏洞,遭FaceBook高管威脅 by Freebuf
一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞後,卻受到了Facebook的威脅。
這位研究人員發現了一個遠程代碼執行漏洞,該漏洞存在於Instagram處理用戶會話cookie的方式中,這些cookie通常用來記住用戶的登錄細節。這個遠程代碼執行漏洞可能是因為下面兩個缺陷:
(1)運行在服務器上的Sensu-Admin Web應用程序包含一個硬編碼的Ruby密鑰令牌。
(2)主機上運行了Ruby(3.x)版本,該版本的Ruby會通過Ruby會話cookie受代碼執行漏洞的影響。
利用該漏洞,Weinberg能夠迫使服務器吐出一個數據庫,其中包含登錄細節,包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進行了加密,但Weinberg能夠在幾分鐘內破解大量弱密碼(例如changeme、instagram、password)。
3. Microsoft Outlook漏洞:可允許遠程代碼執行 by Freebuf
近期,微軟發布了一系列補丁,修復了自身產品中一些影響廣泛以及關鍵的Bug,其中包括更新了微軟Office套件版本,解決了其中的部分安全問題。而安全專家研究發現,其中的一個漏洞(cve-2015-6172),攻擊者通過以“特定打包的微軟Office文件”作為附件,由Outlook 發送郵件給目標用戶,可允許遠程代碼執行。
據安全專家李海飛所稱:「由於Flash 0day 漏洞容易為攻擊者所獲取,那麼通過啟用了OLE的TNEF郵件中植入一個Flash exp,當受害者閱讀郵件時,攻擊者便能夠實現任意代碼執行。我們通過使用Flash OLE 對像作為一個測試樣本,也成功實現了代碼運行,但還需要提到的是其他的OLE對像也有可能被攻擊者利用。」
例如,因為Outlook會將.msg格式的文件自動識別為安全文件,並且一般默認是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內容,當用戶查看郵件時將會被自動打開。
- 自我成長:
1.“舒適區”的科學原理:為什麼走出舒適區這麼難? by 經理人分享
任何鞭策過自己以達到新水平或者完成什麼任務的人都知道:當你真地挑戰自己時,你做出的成就會讓人驚嘆。不少研究成果支持這一點。但是,逼自己過甚會適得其反,並且會導致你更認為挑戰自己是件壞事。人們自然會傾向於恢復到焦慮適中,感到舒適的狀態。
走出舒適區的關鍵點是要汲取新經驗,以可控的,易管理的方式達到最佳焦慮狀態,而不是給自己施壓壓力。花點時間思考你的經歷,從中獲益,並把它們應用到日常活動。然後做點別的有趣的和新的東西。
如果可以的話,把它培養成習慣。每週或每月嘗試些新東西。同樣地,不要非要限制你自己嘗試大的的體驗。目的不是要成為一個尋刺激的人,只是為了去學、去了解什麼才是你真正的能力。
這是“為什麼有時候要返回舒適狀態,僅僅是為了放鬆非常重要”的另一個原因。只是不要忘記:當你做些激勵你的,激發創造力的,有成效的和輕微不適的事情時、為自己留住盡可能多的東西。
2.不求助的人 by 經理人分享
不管目標是獲得成長還是讚賞,求助都是幫助達成目標的大道。越早尋求幫助,越有機會讓自己成長,也越有可能掌握技能、成功解決問題,周遭人對你的評價也會因此上升。反倒是不求助的人,萬一拖到事情無法收拾,自己的自信和風評都會落到極低。
3.職場啟示錄:把每一次危機都當做生活考驗 by 經理人分享
認識自己的方法是:以你自己的人生觀、價值觀為“一個中心”,以你自己的興趣和能力為“兩個基本點”,從這裡出發,尋找你一生的職業定位。
任何鞭策過自己以達到新水平或者完成什麼任務的人都知道:當你真地挑戰自己時,你做出的成就會讓人驚嘆。不少研究成果支持這一點。但是,逼自己過甚會適得其反,並且會導致你更認為挑戰自己是件壞事。人們自然會傾向於恢復到焦慮適中,感到舒適的狀態。
走出舒適區的關鍵點是要汲取新經驗,以可控的,易管理的方式達到最佳焦慮狀態,而不是給自己施壓壓力。花點時間思考你的經歷,從中獲益,並把它們應用到日常活動。然後做點別的有趣的和新的東西。
如果可以的話,把它培養成習慣。每週或每月嘗試些新東西。同樣地,不要非要限制你自己嘗試大的的體驗。目的不是要成為一個尋刺激的人,只是為了去學、去了解什麼才是你真正的能力。
這是“為什麼有時候要返回舒適狀態,僅僅是為了放鬆非常重要”的另一個原因。只是不要忘記:當你做些激勵你的,激發創造力的,有成效的和輕微不適的事情時、為自己留住盡可能多的東西。
2.不求助的人 by 經理人分享
不管目標是獲得成長還是讚賞,求助都是幫助達成目標的大道。越早尋求幫助,越有機會讓自己成長,也越有可能掌握技能、成功解決問題,周遭人對你的評價也會因此上升。反倒是不求助的人,萬一拖到事情無法收拾,自己的自信和風評都會落到極低。
3.職場啟示錄:把每一次危機都當做生活考驗 by 經理人分享
認識自己的方法是:以你自己的人生觀、價值觀為“一個中心”,以你自己的興趣和能力為“兩個基本點”,從這裡出發,尋找你一生的職業定位。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言