未授权Elasticsearch数据库泄露3300万份工作档案
近期,GDI基金会的安全专家Sanyam Jain在网络上发现了一个存在未授权访问的Elasticsearch数据库,疑似包含来自中国的3300万个工作档案(个人资料),大概57GB,疑似和多个招聘网站有关。安全专家使用网络搜索引擎发现了Elasticsearch数据库,这57GB的数据库包括用户名,性别,年龄,当前城市,家庭住址,电子邮件地址,电话号码,婚姻状况,工作历史,教育历史和工资历史。J
18000美金——Steam客户端缓冲区溢出的RCE
近期,白帽汇安全研究院检测到HackerOne公布了一个Steam游戏客户端的缓冲区溢出漏洞,可实现远程命令执行。Steam平台是Valve公司聘请BitTorrent(BT下载)发明者布拉姆·科恩亲自开发设计的游戏平台。Steam平台是目前全球最大的综合性数字发行平台之一。玩家可以在该平台购买、下载、讨论、上传和分享游戏和软件(来自百度百科)。最终,发现者得到了18000美金的奖励。以下是详细信
浅谈RASP技术攻防之基础篇
引言本文就笔者研究RASP的过程进行了一些概述,技术干货略少,偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例,想对大家起到抛砖引玉的作用,可以让大家更好的了解一些关于web应用程序安全防护的技术。文笔不好,大家轻拍。一 、什么是RASP?在2014年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RAS
瑞星首家发现Hybrid Analysis网站数据被“驱动人生木马”污染
近日,瑞星安全专家在追踪病毒线索时,发现知名沙盒Hybrid Analysis网站数据被“驱动人生木马”污染,导致大量的检测结果均显示恶意。瑞星安全专家第一时间通知了Hybrid Analysis官方,随后国外不少用户和安全研究人员开始跟帖讨论,自己从Hybrid Analysis网站得到的分析数据出现问题。图:瑞星安全专家第一时间通知了Hybrid Analysis官方瑞星安全研究院监测到自
Facebook早知剑桥分析事件 高管还开过会
美国联邦检查官在调查中发现,在剑桥分析(Cambridge Analytica)滥用用户数据一事上,Facebook高管早就已经知道,但是他们刻意掩盖两家公司的关系。2016年夏天,Facebook董事会成员、扎克伯格的密友马克·安德森(Marc Andreessen)曾与剑桥分析公司的克里斯托弗·威利(Christopher Wylie)会面,当时剑桥分析刚刚开始为特朗普竞选造势。后来威利化身检
澳大利亚议会网络攻击活动相关的恶意程序分析
 
BankThief:针对波兰和捷克的新型银行钓鱼攻击
一、 概述2019年2月中旬,启明星辰ADLab发现了一款全新的Android银行钓鱼木马,该木马将自身伪装成“Google Play”应用(见图1),利用系统辅助服务功能监控感染设备,以便在合法的银行APP运行时,启用对应的伪造好的银行钓鱼界面将其覆盖掉,来窃取受害用户的银行登录凭证。此次攻击的目标银行默认包含包括花旗银行在内的三十多家银行(见图2),因此我们将之命名为“BankThief”
Facebook曝光数据交易丑闻,目前正在接受刑事调查
联邦检察官正在对Facebook与世界上一些较大的科技公司达成的数据交易事件进行刑事调查,此举加大了对这家社交媒体巨头商业行为的审查力度。据两位知情人士称,纽约一个大陪审团查阅了至少两家智能手机和其他设备制造商的记录。两家公司都与Facebook建立了合作关系,获得了数亿用户的广泛个人信息。包括亚马逊(Amazon)、苹果(Apple)、微软(Microsoft)和索尼(Sony)在内的150家公
回忆杀!CS 1.6 服务器已成为恶意软件的传播渠道
前言Counter-Strike 1.6(CS1.6)已经廉颇老矣,早已不复10年前的盛况,笔者也早就将CS 1.6与年少时美好的记忆封存在内心的一个小盒子里了,没想到“CS 1.6”这个名词再次出现眼前是因为俄罗斯杀毒软件厂商Dr.Web的一份恶意软件报告。报告指出39%的CS 1.6服务器已成为新型恶意软件Belonard的传播渠道。在笔者打CS 1.6的那个年代,只见透视、自瞄、加速、假冒s
2018年网络钓鱼攻击再创新高(2017年的两倍)
根据一份新报告显示,2018年,骗子们不仅使用了较老的、经过测试且真实存在的网络钓鱼策略,还使用了更新的技巧,比如新的分发方法。2018年,网络钓鱼的次数增加了一倍以上,因为不法分子试图诱骗受害者交出他们的凭据。他们使用了老把戏,以及其他更隐秘,更新颖的策略。卡巴斯基实验室的研究人员在周二发布的一份报告中表示,在2018年期间,他们检测到网络钓鱼重定向的尝试次数为4.825亿次,高于2017年的2