内容简介:各位Buffer早上好,今天是2018年9月21日星期五,农历八月十二。今天的早餐铺内容有:新蛋网用户信用卡数据泄漏,恶意代码存在约1个月;西数NAS出现严重安全漏洞,攻击者可获得完整访问权限;超过3000个网站的访问权限在俄罗斯黑市上出售;Adobe发布针对Adobe Reader和Acrobat的重要安全更新;最高法五年工作规划:拟出台相关司法解释,保护个人信息权;研究报告指出加密货币未必安全,相关非法活动比去年多459%。以下请看详细内容:
各位Buffer早上好,今天是2018年9月21日星期五,农历八月十二。今天的早餐铺内容有:新蛋网用户信用卡数据泄漏,恶意代码存在约1个月;西数NAS出现严重安全漏洞,攻击者可获得完整访问权限;超过3000个网站的访问权限在俄罗斯黑市上出售;Adobe发布针对Adobe Reader和Acrobat的重要安全更新;最高法五年工作规划:拟出台相关司法解释,保护个人信息权;研究报告指出加密货币未必安全,相关非法活动比去年多459%。
以下请看详细内容:
新蛋网用户信用卡数据泄漏,恶意代码存在约1个月
有安全研究人员发现,黑客将15行银行卡盗刷代码植入新蛋网支付页面,从8月14月-9月18日,代码一直存在。这种恶意代码从用户手中窃取信用卡数据,传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户,只是目前还不清楚移动端用户是否已经受到影响。
安全研究人员指出,攻击新蛋网的方式十分巧妙,伪装极好,与最近英国航空公司(British Airways)信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。有人将新蛋网数据泄露事件归咎于黑客团体Magecart,他们喜欢针对有漏洞的网站发起攻击。[来源: thehackernews ]
西数NAS出现严重安全漏洞,攻击者可获得完整访问权限
西部数据(Western Digital)广受欢迎的 My Cloud 系列网络附加存储(NAS)设备,近日曝出了一个严重的安全漏洞,导致攻击者可以完全访问设备里的内容。荷兰安全研究员 Remco Vermeulen 刚刚分享了有关该问题的“特权提升攻击报告”,另一位同行亦表示早已披露了其它攻击的详细信息,但西数迄今未给出固件更新。
Remco Vermeulen 指出:身份验证绕过漏洞允许攻击者在登录设备之前获得管理员权限,他们只需创建反向 shell,便可访问驱动器上的用户文件。[来源: cnBeta ]
超过3000个网站的访问权限在俄罗斯黑市上出售
Flashpoint的研究人员发现使用俄语的地下黑客论坛正在出售超过3000个网站的访问权限,有些网站访问权限的售价最低为20美分。按照卖家的说法,买家可以掌握网站的PHP shell、托管控制、域控制、文件传输协议(FTP)、安全套接字Shell(SSH)、管理面板和数据库。
大多数被出售的网站都是电子商务网站,少量为医疗保健、法律、教育和保险行业以及属于政府机构和组织的网站。[来源: securityaffairs ]
Adobe发布针对Adobe Reader和Acrobat的重要安全更新
上周Adobe发布了 9月的月度补丁 ,包含6个关键更新。看起来他们漏了了一个,昨晚Adobe发布了针对Adobe Acrobat和Adobe Reader中关键漏洞的重要安全更新。
Adobe发布的 APSB18-34 安全公告描述了漏洞的信息,这是一个越界写入漏洞(CVE-2018-12848),可实现未经许可的代码运行,上周发布的补丁针对的是6个可导致信息泄露的越界访问漏洞。[来源: BLEEPINGCOMPUTER ]
最高法五年工作规划:拟出台相关司法解释,保护个人信息权
随着个人信息泄露事件的增多,人们对个人信息保护的需求也不断高涨。近日,最高人民法院发布《关于在司法解释中全面贯彻社会主义核心价值观的工作规划(2018-2023)》(以下简称《规划》)。《规划》明确规定,要及时出台审理个人信息权纠纷案件适用法律问题的司法解释,保护个人信息权。
“以前民法和行政法律规则不健全,只能依靠刑法规则,但是仅仅依靠刑事法律打击犯罪并不能真正有效地提升企业的数据安全管理水平。现在最高法拟出台审理个人信息权纠纷案件的司法解释,提供民事救济渠道,将进一步完善我国个人信息权利保护框架下公力救济和私力救济机制。”上海社会科学院信息研究所助理研究员张衠表示。[来源: 安全内参 ]
研究报告指出加密货币未必安全,相关非法活动比去年多459%
网络安全机构Cyber Threat Alliance在周三公布的 研究报告 中指出,比特币未必安全,黑客利用软件漏洞,非法“劫持”其它设备的计算力,从事门罗币(Monero)、比特币等加密货币挖矿活动,而且这个漏洞是利用了美国政府机构的黑客工具。
报告中说,在加密货币挖矿领域,2018年发生的违法事件比2017年多出459%。之所以创下新高,与2017年发生的“永恒之蓝”(Eternal Blue)泄露事件有着密切的关系。“永恒之蓝”是一种黑客工具,它可以从老旧 微软 系统中找到漏洞并加以利用。黑客可以利用这种工具,霸占其他人的计算力来生成数字货币。[来源: cnBeta ]
*Freddy 编译整理,转载请注明来自 FreeBuf.COM
以上所述就是小编给大家介绍的《BUF早餐铺 | 新蛋网用户信用卡数据泄漏;西数NAS出现严重安全漏洞,攻击者可获得完整访问权限;超...》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 西数My Cloud曝安全漏洞 攻击者可获得完整访问权限
- 大疆网站及应用存在安全漏洞,攻击者可获取无人机实时视频画面
- 【安全帮】甲骨文软件 0day 漏洞正被攻击者利用安装勒索软件
- 安全公司:以太坊框架中存在漏洞,攻击者或可获取交易所全部ETH
- BUF早餐铺 | 安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美...
- 破坏攻击者利用域凭据
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Web前端黑客技术揭秘
钟晨鸣、徐少培 / 电子工业出版社 / 2013-1 / 59.00元
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。 本书适合前端工......一起来看看 《Web前端黑客技术揭秘》 这本书的介绍吧!