Android 现漏洞,钓鱼诈骗和弹出广告可能乘虚而入

日期: 2011/08/10 分类: 互联网 标签: , 添加回复

弹出广告和各种钓鱼诈骗的确是非常烦人的,而现在 Android 中发现了一个可以让这些东西乘虚而入的漏洞。在今年的 Defcon 19(拉斯维加斯每年一次的黑客会议)上,研究人员发现了上述的 Android 漏洞,这可能导致 Android Marekt 上的应用能够通过网络钓鱼窃取用户数据或者是出现(21 世纪最讨厌的发明之)弹出广告。

显然,可能会有人利用这一漏洞搞出某些诈骗应用,让你在使用合法银行应用时显示假冒的银行登陆链接等。目前,要与用户沟通通常应用可以推送一个 提示到通知栏。不过 Android 软件开发工具(SDK)中有一个应用编程接口可以让应用推送一个消息给另外一个正在使用的应用。

Trustwave 上也重点谈到了这个窃取漏洞的问题。Sean Schulte,SSL 的一个开发者在 Trustwave 上解释说:

Android 允许覆盖标准的返回按钮

阅读全文

QQ2011最新溢出漏洞可致对方QQ崩溃

日期: 2011/06/18 分类: 技术杂文 标签: , 添加回复

简要描述:

QQ2011溢出漏洞,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…

详细说明:

QQ2011溢出漏洞代码,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…

漏洞证明:

QQ2011溢出漏洞代码,从昨天开始QQ收到消息经常无辜崩溃,其内容就是3384个0x0D 加 1个0×20,目前QQ还未更新升级,QQ用户大面积收到攻击中…
QQ 0day python exploit: open(‘QQ.txt’, ‘wb’).write(chr(13)*3384+chr(32))
在群内发送文件里的文本,对方QQ版本是2011,那么将会全部崩溃。

 

西门子工控系统新漏洞被曝光 中国企业恐受波及

日期: 2011/06/07 分类: 互联网 标签: , 添加回复

去年因超级工厂病毒(StuxnetWorm)引发的制造业系统安全余波未平,近日全球独立安全检测机构NSSLabs的一项报告,再次把此话题搅热。

  该机构5月中旬发布报告称,西门子的一个工业控制系统存在新的漏洞,该漏洞易受黑客攻击。

  StuxnetWorm在去年大爆发时,我国曾有上千家工厂受到攻击。由于西门子公司生产的PLC(programmablelogiccontroler可编程序控制器)在我国的应用相当广泛。这一新漏洞被发现再次引起业界的担心。

  对此,西门子在官网上发布声明称“问题主要是随着因特网应用产生的”,西门子自动化设备受到攻击后,产生的故障和停电产生的故障类似。截至记者发稿时,西门子中国未给予直接回复,称“一切均以总公司的官方声明为准”。

  新漏洞已在美国被确认

阅读全文

IE曝出最新安全隐患 黑客可窃取cookie

日期: 2011/05/26 分类: 技术杂文 标签: , 添加回复

北京时间5月26日消息,意大利一位名叫罗萨里奥瓦罗塔(Rosario Valotta)的独立互联网安全研究员在微软IE浏览器中发现了一个新漏洞,据说黑客可以利用那个漏洞窃取到记录着用户访问网站所用的用户名和密码等信 息的cookie。他将那种黑客技术称作“cookiejacking”。

瓦罗塔称:“任何网站,任何cookie都可以通过cookiejacking技术窃取。只有你想不到的,没有它做不到的。”

阅读全文

.NET框架Padding Oracle Attack扫描

日期: 2010/09/26 分类: 技术杂文 标签: , , 添加回复

转自:云舒

今天测试了一下.NET框架Padding Oracle Attack扫描,工具在http://ethicalhackingaspnet.codeplex.com/,结果如下:

Test started, please be patient…

Request to:      http://www.eskynet.cn/
Response from:      http://www.eskynet.cn/
Response length:    23033
Status code:     200 OK
Response time:      43 msec

阅读全文

[转译] 20100924,关于 ASP.NET 漏洞的进一步信息

日期: 2010/09/25 分类: 技术杂文 标签: , 评论关闭

《本文转译自 Security Research & Defense 博客文章“Additional Information about the ASP.NET Vulnerability”》翻译者为微软大中华区安全小组。

近日,我们收到了一些关于 ASP.NET 漏洞的进一步的问题。在这篇文章中,我们将就其中最为常见的一些问题给出答复。

我的 ASP.NET 站点受这个漏洞影响吗?

受影响,所有使用 ASP.NET 的站点都受到这个漏洞的影响。您可以采用安全通报 中列出的推荐措施,其中的变通方案能够帮助您加固服务器防止受到相关攻击。在 之前的博客文章中,我们还提供了一个脚本,能够帮助您确认这种加固方法对您的 ASP.NET 站点是否有效。

阅读全文

黑客利用ASP.NET漏洞获得电脑的Machine Key

日期: 2010/09/23 分类: 技术杂文 标签: , 添加回复

微软上周发出警告,ASP.NET Web应用程序处理加密会话cookies过程存在漏洞,黑客可以利用该漏洞获得受害者电脑的Machine Key,劫持用户的在线银行加密会话。安全研究人员称受影响的ASP.NET Web应用程序数以百万计。发现该漏洞的研究人员已经演示了加密攻击,公布了视频(Youtube),展示了问题的严重性和利用漏洞的简单性。

ASP.NET 惊爆新安全漏洞 攻击者可访问任意文件

微软安全响应中心19日中午发布最新安全预警, 提醒广大ASP.NET用户防范一处新安全漏洞. 攻击者可利用存在于ASP.NET加密模块的一处最新漏洞访问到包括web.config在内的任何文件. 此漏洞存在于ASP.NET所有已发布的版本中, 其影响程度不容小视. 目前尚无补丁发布. 请广大开发和维护人员加强防范.

阅读全文