27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞 看雪学苑 看雪学苑 2023-02-02 17:59 近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。 双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。
继续阅读上周关注度较高的产品安全漏洞(20221226-20230101) 国家互联网应急中心CNCERT 2023-01-04 16:43 一、境外厂商产品漏洞 1、IBM Cognos Analytics服务器端请求伪造漏洞 IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cog
继续阅读Google Home智能音箱漏洞可监听用户会话 关键基础设施安全应急响应中心 2023-01-03 15:48 漏洞概述 2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HT
继续阅读AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞 网络安全应急技术国家工程中心 2022-12-07 14:33 全球大量云计算和数据中心正面临一次严峻的服务器供应链安全危机。 American Megatrends的服务器远程管理控制软件MegaRAC BMC近日曝出多个严重漏洞,攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。 据悉,这些漏洞是Eclypsium安全研
继续阅读多个BMC供应链漏洞现身,数十家厂商生产的服务器受影响 Ravie Lakshmanan 代码卫士 2022-12-06 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元
继续阅读APP漏洞挖掘之某款APP开发商通用漏洞的挖掘 原创 池羽 Tide安全团队 2022-12-06 17:03 0x01 前言 参加某众测项目时,测某APP时,根据信息收集+测试,发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞,此APP本身存在逻辑漏洞与SQL注入漏洞,再通过观察酷传搜索的结果发现此APP开发商开发了三十几个APP,猜测可能存在相同类型的漏洞,经测试猜测被证实,
继续阅读上周关注度较高的产品安全漏洞(20221024-20221030) 原创 CNVD CNVD漏洞平台 2022-10-31 17:06 一、境外厂商产品漏洞 1、Avantune Genialcloud ProJ跨站脚本漏洞 Avantune Genialcloud ProJ是加拿大Avantune公司的一个基于云的ERP平台。Avantune Genialcloud ProJ 10版本存在跨站脚
继续阅读安全头条 | 国务院:全面加强网络安全和数据安全保护;工信部印发《网络产品安全漏洞收集平台备案管理办法》 安全牛 2022-10-31 12:14 点击蓝字·关注我们 AQNIU 上周安全热点回顾 • 国务院:全面加强网络安全和数据安全保护 • 关于征集《网络安全保险发展白皮书(2022年)》参编单位的通知 • 信息技术服务等领域6项国家标准正式发布实施 • 工信部印发《网络产品安全漏洞收集平台备
继续阅读优步被黑,内部系统受陷,漏洞报告被盗 Lawrence Abrams 代码卫士 2022-09-16 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周四下午,优步遭受网络攻击。黑客获得对漏洞报告的访问权限并共享了优步内部系统、邮件仪表盘和Slack服务器的截屏。 所分享的截屏似乎说明黑客获得对优步很多关键IT系统的完全访问权限,包括该公司的安全软件和Windows域。黑客访问
继续阅读【漏洞分析】CNVD-2022-10270分析 原创 吾爱pojie 吾爱破解论坛 2022-09-06 15:41 作者论坛账号:Sp4ce 0x00 前序 本文主体完成于2022年2月,在内部分享传阅中被意外泄漏导致被大量转发,如今贝锐官方和CNVD均已有响应,因此决定公开分析细节。 CNVD:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270向
继续阅读超过8万台海康威视摄像头受漏洞影响 网络安全应急技术国家工程中心 2022-08-25 15:43 概述 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现命令注入。海康威视已于2021年9月通过固件更新修复了该漏洞。 但CYFIRMA研究人员发现分
继续阅读2022医疗卫生行业网络安全报告:恶意程序和漏洞利用是主要风险 安全内参 2022-08-18 20:39 关注我们 带你读懂网络安全 8月18日,在2022北京网络安全大会(BCS2022)“医疗卫生行业网络安全论坛”上,由奇安信行业安全研究中心联合补天漏洞响应平台、奇安信安全托管团队、奇安信安服团队、安全内参共同撰写的《2022医疗卫生行业网络安全分析报告》(以下简称《报告》)正式发布。 会上
继续阅读从漏洞管理到攻击面管理 关键基础设施安全应急响应中心 2022-08-02 15:10 近年来,随着攻防演练常态化,以及《网络安全法》《关键信息基础设施安全保护条例》等法律法规的相继颁布,网络安全建设从“合规驱动”阶段逐步过渡到 “实战驱动”阶段。传统的安全事件响应也由被动“亡羊补牢”的方式,向“先发现、先预防、先处理”的主动持续检测响应的方式转变。 当前,数字化转型加快了我国信息技术基础设施向数
继续阅读专题·漏洞治理 | 从漏洞管理到攻击面管理 原创 沈传宝 中国信息安全 2022-08-01 20:18 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 文│北京华云安信息技术有限公司创始人&CEO 沈传宝 近年来,随着攻防演练常态化,以及《网络安全法》《关键信息基础设施安全保护条例》等法律法规的相继颁布,网络安全建设从“合规驱动”阶段逐步过渡到 “
继续阅读工业控制系统信息安全漏洞管理思考与实践 关键基础设施安全应急响应中心 2022-07-20 15:25 随着工业领域数字化、网络化、智能化发展加速,工业控制系统风险暴露面持续扩大,工业控制系统信息安全(以下简称工控安全)漏洞成为网络安全攻击的众矢之的,被利用风险不断攀升,产业各界高度关注工控安全漏洞管理工作。本文围绕工控安全漏洞的概念、分类及特点,立足我国产业发展实际,分析了法律政策环境,结合国家
继续阅读上周关注度较高的产品安全漏洞(20220704-20220710) 国家互联网应急中心CNCERT 2022-07-12 17:35 一、境外厂商产品漏洞 1、 IBM App Connect Enterprise Certified Container拒绝服务漏洞 IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterpri
继续阅读上周关注度较高的产品安全漏洞(20220606-20220612) 国家互联网应急中心CNCERT 2022-06-14 14:14 一、境外厂商产品漏洞 1、Simple Real Estate Portal System SQL注入漏洞 Simple Real Estate Portal System是Carlo Montero个人开发者的一个房地产门户系统。Simple Real Estat
继续阅读业务安全漏洞-登录认证实战总结(一) 原创 萨满 火线Zone 2022-04-22 18:00 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 用户名枚举 漏洞描述 一般存在于系统登录或注册页面,利用登陆系统中的漏洞可以试验出是否存在的哪些用户名,返回不同的出错信息可枚举出系统中存在的用户名。 此处以注册页面为例,通过手工的方式输入账号查看回显信息。 在注册页
继续阅读使用打印机漏洞获取Active Directory特权 Darkarmour Labs 默安玄甲实验室 2022-04-22 12:52 由于轻量级目录访问协议 (LDAP) 漏洞,黑客可以对具有弱或默认凭据的打印机发起回传攻击。这会暴露 Active Directory 用户的登录信息(包括具有管理权限的用户),并可用于进一步控制组织的网络。 “回传攻击”的研究首次出现在foofus.net 上
继续阅读