这下好了,家里的智能灯泡都会泄露数据了
前言近日,来自国外的研究人员提出了一种新的技术,可以从智能灯泡获取用户的数据。举个例子,研究人员能够从远处记录智能灯泡的亮度模式来获取用户的偏好。黑客不需要入侵用户的内部网络来提取信息,但需要满足以下条件才能行动:使用的设备要能够直接观察到目标智能灯泡;智能灯泡需要支持多媒体可视化和红外等功能。“看见”用户的音乐和视频来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Ja
PHP反序列化漏洞的新攻击面
今年8月份的美国blackhat上Sam Thomas提出了一种新的反序列化攻击场景,而且这种场景可能伴随着xxe、ssrf或者其他相关漏洞的出现而出现。本文将会对此进行介绍,并针对wordpress中的漏洞进行复现。  
子弹短信跑太快,隐私泄露涉黄,谁之过
2018年8月20日,子弹短信正式上线。老罗仍然用一贯“改变世界”的口吻向世界宣布,子弹短信上线仅7天完成第一轮1.5亿元融资。但是近日产品爆出“信息泄露”、“涉黄社交”等安全隐患,想要冲破微信、短信原有的社交生态,初生的子弹短信究竟能走多远?“超高效率沟通”—子弹短信子弹短信,是由北京快如科技研发、锤子科技投资的一款即时通讯App,其最大的亮点是高效沟通。而这款次时代社
研究人员新发现,发送传真即可入侵网络
如果黑客只有一个传真机号码,那么他最多可以利用到什么程度呢?不管你信不信,你的传真机号码对于黑客来说,已经足够让他们得到打印机的完整权限,甚至可以顺便渗透其余已经连接的网络。CheckPoint的研究员目前已经披露了全球数以亿计传真机所使用的通信协议中的两个严重远程代码执行(RCE)漏洞,你或许会想,现在谁还用传真?事实上,传真已经不像过去那样了,目前全球有3亿传真号码以及4500万在用的传真机,
来自11家OEM厂商的智能手机容易遭到隐藏AT指令攻击
前言国外的安全研究人员发现,来自11家智能手机OEM厂商的数百万台移动设备容易遭到隐藏AT命令攻击。AT(ATtention)命令是20世纪80年代早期开发的短字符串(ShortString)命令集合,通过电话线和控制调制解调器传输。将不同的AT命令字符串合并在一起,可用于告知调制解调器进行拨号、挂断或更改连接参数等功能。普通用户可能不知道,现代智能手机也集成了基本的调制解调器组件,允许智能手机通
JoomScan:一款开源的OWASP Joomla漏洞扫描器
JoomScan:一款开源的OWASP Joomla漏洞扫描器 &
无线干扰及检测技术
0×00 前言都听过一句话,没有网络安全就没有国家安全,网络安全一直是这几年的热议话题,未来战争是一个多元化的战争,网络战电子战成为主流必然是趋势所向。而信号干扰是这种战争的主流攻击手段,通过干扰手机、GPS、wifi,甚至卫星链路等电磁波的正常传输,可以影响到整个战争的走向。这里我们讨论的是基本的无线干扰,通过控制未加密的管理帧实现。802.11标准将所有的数据包分为3种:数据、管理、
你的“苹果”可能有毒!变身“搭讪”利器,被“黑化”的AirDrop
荷兰第三方研究与咨询公司Newzoo去年的一份调查报告显示,全球有7.3亿部iPhone正在使用中,占全球人口的1/10,这还没算上iPad、Mac、Apple Watch等产品线限量。作为全球智能终端设备的标杆,在人们越来越依赖苹果产品所带来便利的同时,频发的安全、骚扰事件,让我们手中的“苹果”变成了定时炸弹……Britta Carlson在地铁遭遇“Cyber flashing”AirDo
关于Ghostscript SAFER沙箱绕过漏洞的分析
Ghostscript是一款Adobe PostScript语言的解释器,近日Google安全研究人员披露了其存在的多个漏洞,通过在图片中构造恶意PostScript脚本,可以绕过SAFER安全沙箱,从而造成命令执行、文件读取、文件删除等漏洞。
利用Marap downloader收集系统信息,TA505要搞大事情?
概述Proofpoint 的研究人员最近在一场大型的垃圾电子邮件活动(有数百万封电子邮件被分发)中发现了一种新的downloader,主要针对金融机构。恶意软件被命名为“Marap”(根据“param”反向命名),因其所具备的主要功能而值得被注意,包括下载其他模块和payload的能力。模块化的特性允许攻击者在需要时添加新的功能,或者在感染目标系统后下载其他模块。到目前为止,我们已经观察到它下载了