-
Synology(群晖) NAS用户被黑,黑客要挟支付赎金
目前攻击:
近日,多个Synology(群晖) NAS用户设备被入侵,黑客加密用户在NAS设备上的数据,并告诉用户支付赎金才能解密数据,赎金为0.6比特币(约合2166元),否则数据将永远无法取回。
一条评论 -
KCon黑客大会官网上线 一天之内600张票售罄
一年一度的国内黑客技术交流盛会KCon第三届即将于8月22日在北京召开,会场在鸟巢下、玛莎拉蒂接送、黑客云集、神秘歌手助阵等等,充满噱头。周一新上线的KCon官网不仅充满了视觉冲击,官网上播出的宣传视频更是切合“感受网络空间心跳”的主题。
官网传送门:http://kcon.knownsec.com
时间:2014年8月22日 12:00入场,13:00正式开始(由于人数较多,请大家提早入场)
-
KCon V3 知道安全论坛第三期报名正式开始
-
给开发者的终极XSS防护备忘录 V1.0
提供给开发者的Web应用程序XSS防护快速指南
译者注:因为觉得这份文档真心不错,很多人也都推荐,有翻译的价值,于是利用每天下班后的时 间做了下翻译,主要靠自己的理解以及谷歌翻译,前后大概是一个礼拜的时间。 文档中所有的翻译都争取保留原文的格式,但为了更清楚明了以及语义通顺,一些地方做 了一些修饰词及顺序的更改。
译者联系方式:
微博:http://weibo.com/fooying
知乎专栏:http://zhuanlan.zhihu.com/fooying
微信公众号:0xsafe
内容请看附件:
翻译版:给开发者的终极XSS防护备忘录
-
KCon V3 知道安全论坛8月举办
KCon V3 知道安全论坛,预热宣传来了!
KCon 是国内知名互联网安全公司知道创宇的高逼格产物,每年8月汇聚各路黑客,本着自由开放的精神,向业界分享干货。
-
SuperMicro IPMI 49152端口 密码泄漏漏洞
2014.06.20 SuperMicro IPMI 49152端口 密码泄漏漏洞被国外媒体传播(http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/),原作者也在博客上有详细的叙述(http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/),本着对漏洞的好奇,本文对该漏洞做个中文的介绍。
-
Flash+Upload Csrf 攻击技术
文/superhei@知道创宇 2012/8/9
Csrf的攻防技术都是比较成熟了的,如我在2008年写的文章《Bypass Preventing CSRF》http://www.xfocus.net/articles/200801/964.html ,目前对于国内的很多应用程序及SNS网站对于防御csrf多半使用的是token+Referer组合防御,然而对于flash而言在bypass这样的防御有着先天的优势。
-
针对近期“博全球眼球OAuth漏洞”的分析与防范建议
据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。
首先需要明确的一点是,漏洞不是出现在OAuth 这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格参照官方文档,只是实现了简版。 问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL,就可以导致跳转、XSS等问题,甚至在对回调URL进行了校验的情况可以被绕过,具体将在附件中的paper中阐述。
微博安全团队4 月中旬已经率先发现该问题,并联合业务部门进行威胁的评估和落地修复方案的敲定,截止今天中午前,回调URL校验和校验绕过漏洞在开放平台已经修复上线。
来看看来自知道创宇安全研究团队Fooying与Erevus同学执笔的paper吧,针对近期“博全球眼球的OAuth漏洞”的分析与防范建议 。
鸣谢来自微博安全团队同学的帮助。
-
当安全协议不安全了:OpenSSL漏洞
-
当心!别被家用路由器“劫持”了
更好更安全的互联网
