古有“晴雯补裘”,今有“网络补漏”。当互联网成为人们生活的必需品,当大大小小的漏洞不断入侵我们的电脑,当上亿网民每天面对各式高危漏洞不断“缝缝补补”的时候,你是否忆还能回忆起那些年我们一起补过的漏洞?51CTO特别专题献给与那些年和我们一起“补漏”的工程狮们,也提醒广大企业与网友——网络虽好,漏洞亦多,且补且珍惜!

头条推荐

科普:安全漏洞的概念及分类

我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。……>>详细

小米现新漏洞:大量用户资料泄漏

2014年5月14日消息,继昨天晚上小米论坛被曝出存在用户资料泄漏的漏洞后,乌云再次曝出小米某安全漏洞致使用户资料大规模泄漏,乌云官方对新浪科技表示,该漏洞与上一漏洞并无关联。

 

 

小米现新漏洞:大量用户资料泄漏

阅读全文

iOS系统邮件应用曝安全漏洞:电邮附件未加密

2014年5月6日一位安全研究员声称,iOS 7系统中的邮件应用Mail并未象苹果支持页面上所写的那样对电子邮件附件进行加密。

安全研究员安德里斯科尔茨(Andreas Kurtz)在其个人博客上发表了一篇文章,详细说明了这个漏洞。

科尔茨称,他将一部iPhone 4的系统恢复到最新版本即iOS 7.1和iOS 7.1.1后验证了这个问题。结果发现所有的邮件附件都可以直接被读取,根本不用使用密钥解密。

科尔茨说,他后来又在运行iOS 7.0.4系统的iPhone 5s和iPad 2上进行了检验,发现那些设备同样存在这个问题。

阅读全文

IE浏览器曝严重漏洞 微软破例为XP打补丁

2014年5月5日消息  上周末,微软发布安全通告,对此前发现的IE浏览器严重安全漏洞进行了修复。值得注意的是,虽然微软已在4月8日停止对WindowsXP操作系统的技术支持,但此次仍为XP系统提供了补丁服务。

根据微软在五一前的官方通知,IE浏览器发现重大漏洞,攻击者可利用该漏洞在IE用户的计算机上安装恶意软件,绕过Windows操作系统的安全保护机制,窃取数据或控制用户计算机。由于该漏洞存在于从IE6至IE11所有版本的IE浏览器,且IE6、IE7和IE8都可以在WindowsXP操作系统中运行,这也成为继微软宣布停止支持WindowsXP后,该系统面临的首次重大威胁。网络安全公司FireEye此前也发出警告,称一组高水平的黑客已经利用该漏洞发起攻击。

微软安全通告显示,微软此次发布的安全补丁支持所有版本的Windows系统和IE浏览器,用户们只要开启自动升级功能即可。“虽然目前已经出现了少量利用该漏洞发起的攻击,但漏洞引发的担忧被夸大了。”微软可信赖计算部门总经理AdrienneHall称,虽然微软已经决定不再为XP系统提供技术支持,但由于此次发现漏洞的时间与停止支持服务非常接近,所以破例为WindowsXP用户提供安全更新。AdrienneHall同时强调,从安全角度来看,XP系统面临的威胁更大,XP用户应升级到新版操作系统,例如Windows7或Windows8.1。

阅读全文

搜狐视频爆XSS漏洞变身DDoS怪兽

2014年4月29日消息  近日,DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型注入点(这个漏洞现已被修复)。

搜狐视频爆XSS漏洞变身DDoS怪兽

攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并触发另外一个代码注入以及一个Ajax脚本DDoS工具,向用户浏览器发出指令,以每秒一次的频率向目标攻击网站发送请求。

虽然每秒一次的请求看上去频率并不高,但是考虑到搜狐网站的一些热门视频文件很多都长达20-30分钟,而且同时观看的用户数以千计,最终产生的DDoS攻击效果威力惊人,参与调查和防御此次DDoS攻击Incapsula认为这是有史以来规模最大的XSS跨站DDoS攻击(编者按:4月初Incapsula在博客上首次透露此次攻击事件时并未公布存在XSS漏洞的网站名字,信息安全界普遍猜测是Youtube)。

阅读全文

Struts2安全漏洞频出 多因Apache官方代码编写不严谨

2014年4月30日 日前,Struts2再次爆出安全漏洞,主要影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。国外安全研究人员日前发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行。黑客进而能够窃取到网站数据,或者对网站进行DDoS攻击。

Struts2安全漏洞频出 多因Apache官方代码编写不严谨

本文盘点了近年来曝出的高危Struts2漏洞,并分析了Struts2为什么屡屡出现重大安全漏洞。

4年前就存在Struts2代码执行问题

阅读全文

OpenSSL爆出安全漏洞 须尽快升级

2014年4月9日 OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH。OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

OpenSSL爆出安全漏洞 须尽快升级

越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。

这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。

阅读全文

烫手的大数据:携程爆泄露信用卡信息漏洞

2014年3月22日18:18,乌云(Woo Yun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”

 烫手的大数据:携程爆泄露信用卡信息漏洞

乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。 

该报告全文如下:

阅读全文

GnuTLS库严重安全漏洞威胁到Linux用户隐私

2014年3月6日 GnuTLS库中的一个源代码错误可能证明是对Linux用户隐私的一个严重威胁,因此开发者紧急修复这个安全漏洞。GnuTLS库是大量的不同Linux发布版软件用于处理安全互联网连接的一个开源软件构件。

GnuTLS开发者Nikos Mavrogiannopolous本周一在一个邮件列表消息中宣布,他已经对源代码使用了补丁,修复了这个漏洞。这个漏洞能够让攻击者在验证证书的时候欺骗GnuTLS的系统,把安全的连接暴漏给窃听者。

通过创建一个具体类型的假冒证书,攻击者能够欺骗GnuTLS接受它为真正的证书,批准访问安全的连接。这样,入侵者就能够以纯文本方式监视经过这个连接的通讯流量,甚至能够嵌入自己的代码,从而打开进一步攻击的通道。

阅读全文

淘宝和支付宝认证被爆存漏洞 黑客可登任意账号操作

2014年2月18日 根据知名漏洞报告平台乌云网公布的消息,淘宝安全认证机制存在漏洞,黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码,只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息),目前不清楚是否影响余额宝等业务。

淘宝和支付宝认证被爆存漏洞 黑客可登任意账号操作 

淘宝和支付宝认证被爆存漏洞 黑客可登任意账号操作

同样出自乌云网的另一个漏洞报道称,淘宝认证缺陷导致可登录任意淘宝账户及支付宝。乌云网报道称该漏洞类型为“设计缺陷、逻辑错误”,并将危害等级标为“高”。目前,该漏洞还在等待厂商进行处理。‍‍

阅读全文

10 苹果OS曝重大安全漏洞:电邮会被黑客截获

2014年2月25日消息 继苹果上周五发布声明,称黑客可能会利用iOS操作系统存在的一个严重安全漏洞拦截用户电子邮件和其它加密通讯信息之后,苹果台式机和笔记本电脑采用的OS X操作系统也存在同样的问题。不过苹果目前尚未就此做出任何反应。

苹果OS曝重大安全漏洞:电邮会被黑客截获

苹果在上周五并未披露发现这一漏洞的时间和方式,也并未披露黑客是否已经利用这一漏洞发动攻击。但该公司已经针对iPhone 4及后续产品、iPod Touch 5和iPad 2及后续产品发布了软件补丁。专家认为,倘若黑客接入了用户的网络,例如在餐馆内共同使用同一个没有安全措施的无线网络,便可借助这一漏洞查看和更改用户与Gmail和Facebook等受保护网站之间的通讯信息。

虽然苹果在上周五已经发布了iOS操作系统的安全补丁,不过来自《福布斯》网站的报道称,此问题要比想象中严重的多,还会影响到采用OS X操作系统的苹果台式机和笔记本电脑。监控苹果该漏洞的安全技术专家鲁纳·山特维克(Runa Sandvik)就创办了一个名为“Has GoTo Fail Been Fixed Yet?”的网站,让用户了解安全漏洞是否已得到修复。

阅读全文

那些年一起补过的漏洞

小米现新漏洞:大量用户资料
5月14日消息,继昨天晚上小米论坛被曝出存在用户资料泄漏的漏洞后,乌云再…
Check Point发现MediaWiki存
日前,Check Point软件技术有限公司(1月29日)发表安全研究分析,指出MediaWi…
Snapchat被曝致命漏洞 可令i
据国外媒体报道称,两名西班牙研究人员日前发现,知名“阅后即焚”应用Snap…
DedeCMS全版本通杀SQL注入漏
近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修…
甲骨文发布大量安全补丁 修
甲骨文发布了大量安全补丁,用来修复其产品线上总计104个漏洞。…
不只网页,17 款安卓应用存
据国外媒体的报道,美国安全软件供应商FireEye日前发布研究报告称,他们一…
西门子集中修复了工控设备中
工业控制系统制造商,西门子发布了SIMATIC S7-1200 CPU系列产品的新版本,…
Windows崩溃报告存漏洞 收集
安全研究小组Websense已经发表了其研究的初步结果,强调了Windows"崩溃报告…
安卓版WhatsApp爆漏洞 聊天
Facebook斥资190亿美元收购4.5亿用户的手机聊天软件WhatsApp,最近遭到一部…
2013年微软安全漏洞盘点
2013年是0-day的高发期,也是安全工程师和黑客之间的博弈最为激烈的一年,…
苹果、安卓全陷落 2013手机
2013年,智能手机白菜价和4G时代的到来注定标志这是属于移动互联的一年。工…
Gmail爆重置任意账户密码漏
日前,国外安全研究员Oren Hafif发现了一个谷歌Gmail账户的严重漏…
遭JBoss漏洞破坏 23000台服
黑客利用曝光的JBoss管理界面和调用程序在服务器上安装Web Shells。 攻击者…
IE曝0day漏洞 影响XP及Win7
据科技博客ZDNET报道,安全公司FireEye在一份最新的报告中称,在Windows XP…
WordPress插件任意文件上传
WordPress插件Complete Gallery Manager 3.3.3任意文件上传漏洞允许远程的…
又一路由器被爆漏洞:可远程
近日,exploit-db.com上出现一个国内通行设备厂商烽火科技的远程代码执行利…
研究员在App Store审核系统
在数字商店领域中,苹果 App Store 在安全方面的口碑要远远高于谷歌的 Goog…
GPS存在重大安全漏洞 被黑掉
据英国媒体报道,美国一项最新研究发现,全球定位系统(GPS)有重大安全漏洞…
Struts2漏洞防御规则紧急发
加速乐是知道创宇推出的一款在线免费网站云加速、云安全平台,在Struts2漏…
中国黑客组织发现第二个Andr
一个中国的安全组织Android Security Squad称他们发现了第二个万能密钥,能…
Nginx惊现漏洞 百万网站面临
近日,据瑞星互联网攻防实验室出具的一份报告显示,国际知名的服务器Nginx…
微软临时修复IE8零日漏洞
根据微软表示,他们已经发布了一个“Fix it”来临时解决高曝光率的IE8零日…
苹果iOS有漏洞!特制充电器一
北京时间6月4日消息,据国外媒体报道,苹果iPhone的iOS系统,采取极度封闭…
HTML5爆惊天漏洞:海量Cooki
据国外媒体报道,HTML5是新一代的网页应用开发技术,一些人认为其将会取代i…
Oracle发布计划外补丁 修复5
近日Oracle提前2周时间发布了一个重要的Java SE补丁。按照此次更新附带的公…

安全漏洞解析与防护

OpenSSL漏洞简述与网络检测
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CV…
Apache解析漏洞详解
本文中,笔者针对“解析漏洞”进行了简单科普。…
Android Superuser 提权漏洞
近日,国外安全研究人员揭露多款Android平台下的授权应用管理软件存在3个安…
Apache Struts 2漏洞深度解
Struts 2应用范围有多广?此次Struts2漏洞有多严重?哪些网站受到了波及?可怕…
Struts2最新远程代码执行漏
Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远…
DLL劫持漏洞解析
DLL劫持漏洞是通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先…
Windows内核EPATHOBJ 0day漏
Windows内核EPATHOBJ 0day漏洞是通过对PATHALLOC()进行内存压力测试爆出的…
PHP文件包含漏洞详解
什么是”远程文件包含漏洞”?服务器通过php的特性(函数)去包含任意文件…
自制分布式漏洞扫描工具
在渗透测试和安全扫描工作中,发现越来越多站点部署了应用防护系统或异常流…
漏洞评估工具Nexpose的配置
Nexpose是领先的漏洞评估工具之一。Nexpose社区版是一个免费的程序,其他版…
WEB漏洞扫描器——N-Stalker
N-Stalker Web漏洞扫描器能为你的web应用程序彻底消除大量普遍的安全隐患,…
漏洞扫描器Nessus 5.2新版发
新版的Nessus漏洞扫描器发布啦!这是一次大更新,直接从5.0.3至5.2.0。同时…
软件漏洞分析的八大技巧汇总
在日常分析软件漏洞时,经常需要耗费比较长的分析时间,少则几小时,多则数…
路由器、交换机及防火墙漏洞
在本文中,我们将探讨为什么这些设备容易受到攻击,现在有多少恶意网络攻击…
黑盒审计之注入漏洞挖掘思路
我们知道在源码审计中这样的SQL注入漏洞很容易被发现,但是对于我们这样不…
如何成功拦截通过微软Office
最近微软发现了一个Office零日漏洞,黑客能够通过它获取当前用户的访问权限…
如何发现和利用WEB应用程序
本文旨在告诉读者如何去发现和利用潜藏在WEB应用程序中的安全漏洞。懂得这…
防患未然:建立漏洞管理过程
只要企业认真计划,就完全可以将漏洞管理转变成一个有益于确认并解决潜在安…
理解缓冲区溢出漏洞的利用
本文将会为防御者描述一些基本概念,包括一个攻击者经历漏洞开发过程,需要…
Json hijacking/Json劫持漏
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅…
企业如何自行检查漏洞之获得
在文章《企业如何自行检查漏洞之扫描与枚举》中我们讲到如何找到企业系统中…
企业如何自行检查漏洞之扫描
许多企业雇佣外部公司执行渗透测试,但有些公司认为聘请外部公司本身就是一…
企业如何自行检查漏洞之保持
开源市场上的许多伟大且免费的工具帮助企业查看漏洞,本文介绍了如何通过Ne…
关于PHP的漏洞以及如何防止P
漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含…
五个常见的Web应用漏洞及其
本文介绍了5个最常见的Web应用漏洞,以及企业该如何修复初级问题,对抗那些…
浅谈CSRF漏洞挖掘技巧
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click att…

投    票

专题推荐

2014年4月7日,OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),这也是本年度最
互联网安全不眠夜:OpenSSL
2014年4月7日,OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-...
刚刚过去的这个周末很不太平。3月22日下午6点,白帽子黑客“猪猪侠”在乌云漏洞发布平台(wooyun.org)上公布
携程曝漏洞,谁该被警醒?
刚刚过去的这个周末很不太平。3月22日下午6点,白帽子黑客“猪猪侠”在乌云漏洞...
2013年,网络空间依然不太平,各类安全事件频发。年中斯诺登曝出棱镜事件不但让全民震惊,且激醒了中国信息
2013网络安全盘点及展望之安
2013年,网络空间依然不太平,各类安全事件频发。年中斯诺登曝出棱镜事件不但让...
今天,圣诞的到来,相信大家都收到礼物了吧,如果没收到,那准是圣诞老人在雪地里摔跟头了(幽默一下: ))
圣诞巨献:看Android带给你
今天,圣诞的到来,相信大家都收到礼物了吧,如果没收到,那准是圣诞老人在雪地...

一周排行

留言评论