- 说起电视,乌云君就想起温州有线电视被黑事件,难道家的电视机真的那么容易被黑么?通过乌云案例我们发现,一些数字电视网络根本没有安全隔离、补丁、密码的概念,别说安全防护了,这简直就是把控制权等送给黑客的节奏啊!论数字电视的安全性 🔗 网页链接
- 深受私隐人士喜爱的DropBox云存储服务爆泄密事件,黑客获取到近700W(6,937,081)用户帐号与明文密码,为了证明真实性放出了400个帐号,想获取全部数据?赞助点比特币吧。官方回应并非用户库被黑,而是又是一起撞库案例导致(目前测试泄漏帐号密码进行了“过期”处理)🔗 网页链接
- #漏洞预警# 今日Bash爆出远程解析命令执行漏洞(CVE-2014-6271),波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令!一些路由器、堡垒机、VPN等网络设备也可能会是影响重灾区。目前乌云君已经发现互联网存在的案例,会持续跟进中 🔗 网页链接展开全文
- 十一长假将至,相信各位在各种网站上疯狂的提交自己的个人信息,已经做好了出游的交通、住宿等准备。这里给用户以及企业都敲响金钟,警惕由系统漏洞造成的用户敏感信息泄露,以及后续到来的钓鱼欺诈。南方航空某系统存在敏感信息严重泄露 🔗 网页链接
- 乌云峰会第一场进行中,livers大牛讲解智能家居的种种安全隐患,比如如何远程关闭你家电灯、午夜“凶”铃、监控视频的篡改等等。 🔗 网页链接
- 这个案例提醒那些“逆天”的运营商广告投放系统以及管理者,能随便给用户插广告无所谓,甚至直接了当的劫持俺们DNS也无妨,但恳请管理好这个强大的“网络劫持”工具,这么多漏洞和一位数的密码(“1”)用户可吃不消啊! 🔗 网页链接
- 地铁黑客:你的手机Wi-Fi出轨了你造么? 而且,它的这种滥交行为能影响到你的敏感信息,这个你造么?你以为平时习惯很好,但是用户被各种固件坑啊有木有!乌云君一定要说说这些个事儿了,希望大家重视起来,🔗 网页链接
- “重温经典漏洞的快感”-- DVWA-WooYun(乌云靶场)开源漏洞模拟项目测试版对外公布啦~DVWA是一个通过将乌云上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式。🔗 网页链接
- 浏览器插件给带来了太多的便利,但也引入了风险!有乌云白帽发现部分浏览器插件在不知情情况下劫持用户的网络购物行为,目前厂商已经将其下架并进行处罚。不知还有多少恶意插件还安装在我们的浏览器上,希望企业加强审核。某第三方猎豹浏览器插件劫持浏览器购物信息 🔗 网页链接
- 有些安全风险并不是因漏洞造成的,而是由于先天的设计不当与后期的攻击趋势相结合所导致,本案例巧妙的展示了企业用户体系控制不当的后果,与错误的设计是如何毁灭掉用户设置的高强度密码的,希望企业间引以为鉴。春秋航空任意用户密码重置漏洞 🔗 网页链接
- 小米数据库泄露事件最新进展:乌云君已将最新的用户报告提交给了官方,结果指明官方数据确实遭受了泄露事故,影响800w左右论坛注册用户,请大家及时修改密码,避免影响到小米云导致手机敏感信息泄露!!乌云君仍会关注事件最新进展,及时向大家反馈信息 🔗 网页链接
- 【警惕OAuth redirect_uri设计缺陷】该缺陷可导致曾授权的应用权限泄漏,攻击者能登录受害者帐号查看并操作应用内敏感数据。开发者要特别注意授权后重定向URL的合法性,用户尽量不要访问陌生站点,防止第三方恶意站点截获用户关键认证信息。腾讯OAuth平台可能导致用户信息遭窃取 🔗 网页链接展开全文
- DDOS的“攻击源”可能并不是肉鸡,而是那些泡在视频站上看电影的网友。有国外安全组织发现客户网站被工具,追查结果发现竟是搜狐视频被植入DDOS功能的跨站脚本代码,导致网友看电影的同时也在对指定的目标站点发动持续的访问攻击,电影时间越长,攻击效果越佳...... 🔗 网页链接
- “心脏还在出血?”这个漏洞本来不用在提醒了,但本周的漏洞报告反应出部分企业还未彻底解决,仅采用了简单的防护与自查手段,结果仍存在大量遗漏。如果给其应急速度及格的话,那处理质量反而是不及格的。腾讯大量openssl心脏出血漏洞依旧未修复可导致数据泄漏 🔗 网页链接
- 路由器除了恶意篡改DNS还有啥风险?其实运营商和我们家里的路由器还有很多坑需要注意的,这个不是谁家的问题,重点是给用户安装存在安全隐患的路由器时请提示他们可能存在的风险,以及如何避免。中国电信路由器默认配置不当导致用户ADSL账号密码及物理位置泄露 🔗 网页链接
- #高危漏洞预警#昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等,已经有多个白帽给乌云君提供了漏洞影响证明,涉及大量互联网企业与电商,紧急!🔗 网页链接
- 虽然只有一把钥匙,但我可以打开所有的锁!又是一起“忘记密码”功能漏洞的神案例,短信验证码对于用户来说不是账户安全的“定心丸”,一旦设计上存在逻辑漏洞,反而会给账户安全撕开一条更大、更深的伤口,各位引以为戒。 🔗 网页链接
- 站长福利,意外进入女神秋秋号?!又是gsid的问题,这次被站长们的访问统计功能无意截获到了,可以无密码登录其他用户的QQ,这要是个访问量巨大的网站,那是不是可控制好多秋秋啊。。。你这么猥琐的看统计,访问者知道么?统计网站泄漏QQ认证信息无需密码即可登录 🔗 网页链接
- 紧急预警!今日淘宝和支付宝认证被爆存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,目前不清楚是否影响余额宝等业务,乌云已经将漏洞细节提交至厂商,并且会持续关注该漏洞进展,请大家注意帐号安全。🔗 网页链接
- 紧急通告!今天国内根域服务器被污染,dns解析出现异常,很多网站被解析到65.49.2.178这个国外ip,有证据表明该ip所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动,目前不排除此次攻击为黑客所为,乌云持续关注此事件进展。
- 360再次爆出任意用户密码修改漏洞,只要知道对方邮箱即可重置该用户的密码,可影响旗下手机卫士、云盘、浏览器同步、通讯录短信等敏感数据。对于360来说,这个问题已经是第二次出现了,本次漏洞更为简单未做任何防护策略,这说明安全到底是进步还是退步了? 🔗 网页链接
- 【安全预警】在Discuz!程序中,有一个比管理员密码还牛X的认证因素,就是UC_KEY。由于文件备份等因素泄漏此key后,配合UCenter新报告的安全漏洞即可向网站写入恶意代码,而且黑客也可以利用这个key在网站上做一个“后门”,达到长期控制的目的!🔗 网页链接
- 又一起手机云服务出现安全问题,任意用户密码可被强行更改,结果可导致用户同步/备份在云端的通讯录或短信等敏感数据泄漏。目前国产手机云服务商曾多次发生信息遍历、任意密码修改、数据库注射等直接危及用户数据的安全漏洞。手机同步密码随意修改,短信通讯录随意查看 🔗 网页链接
- 智能手机上真的有木马APP吗?恶意APP能对我们做些什么?这些APP是咋装到我手机上的,我需要怎么防范?黑客们又到底想要些啥?如果您有这些疑问,那切不可错过本期乌云白帽子反黑系列之--探秘短信马产业链 🔗 网页链接
- 谁最了解你的行踪,你的那个Ta?非也,最了解你的其实是你的手机和上面安装的APP。有乌云白帽发现陌陌客户端一个“实用”的功能,由于陌陌某处保存用户定位信息的功能点设计不当,可获取到到其他人的地理位置,这是喜还是忧呢[思考] 🔗 网页链接
- 今天有白帽子在乌云上反馈了360的一个安全漏洞,影响360线上业务,借助该漏洞可以获取其他用户的云端数据访问和修改权限,漏洞已经第一时间通知厂商紧急修复,让人惊奇的是同样高危漏洞第二次在乌云上出现,建议广大用户谨慎选择云平台和上传私密数据到云。🔗 网页链接 🔗 网页链接
- 今日下午乌云君突然发现某网盘爆出“QQ数据库”下载连接,在网络安全圈疯传,部分人认为是笑话或恶作剧,但经过网友确认,似乎确为腾群大量敏感信息。截止微博前,已经有人利用数据搭建成在线查询网站,数据准确!腾讯群关系数据泄漏(可根据QQ号获得该人姓名经历等详细信息) 🔗 网页链接
- 安全警告!最新乌云上的一个安全事件报告表明,腾讯用户群关系数据库已经泄漏,借助这些泄漏的数据,攻击者可以直接了解到任意一个QQ的用户群关系乃至真实姓名,年龄和曾经的经历,这可能引发新一轮的诈骗和攻击,详细的原因和具体风险分析我们正在进行当中 🔗 网页链接
- 紧急!安卓应用存在安全漏洞,浏览网站打开链接即可中招。目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞,用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机,目前微信,手机QQ,QVOD以及各大手机浏览器均中招 🔗 网页链接 请关注这几天各大应用更新!
