获奖| 绿盟科技烈鹰战队再次出战“2019贵阳大数据及网络安全精英对抗演练”
由2019中国国际大数据产业博览会组委会、贵州省大数据安全领导小组主办的“2019贵阳大数据及网络安全精英对抗演练”日前在贵阳国家大数据安全靶场成功举办,绿盟科技烈鹰战队再次出战,在此次对抗演练中获三等奖。
由2019中国国际大数据产业博览会组委会、贵州省大数据安全领导小组主办的“2019贵阳大数据及网络安全精英对抗演练”日前在贵阳国家大数据安全靶场成功举办,绿盟科技烈鹰战队再次出战,在此次对抗演练中获三等奖。
由中国工程院、南京市人民政府、南京紫金山实验室主办的第二届“强网”拟态防御国际精英挑战赛在江宁成功举办。绿盟科技模因战队(M01N)首次参与强网杯拟态防御精英挑战赛,经过2天的激烈比拼,在国内外众多顶级战队中脱颖而出,获得三等奖。
Frida是适用于开发人员、逆向工程师和安全研究人员的轻量级Hook工具,它允许将JavaScript代码或库注入Windows、macOS、GNU / Linux、iOS、Android和QNX上的本机应用程序。此外, Frida还提供了一些基于Frida API构建的简单工具。
在工作中遇到了一次Android应用克隆漏洞的案例,由于攻击过程非常有趣,综合利用了多个中低风险漏洞,产生了化腐朽为神奇的攻击效果。在此分享给大家,以扩展渗透测试思路。
2019年4月,美国能源部(DOE)发布2019年Q1电力应急和故障报告,统计出2019年第一季度发生系统故障次数62次,产生的电力损失高达135019兆瓦,影响客户数超过250万。美国电力保障由北美电力可靠性公司(NERC)进行承担,其为一个非营利性国际监管机构,使命是确保有效和高效地降低电网可靠性和安全性的风险。
随着虚拟化技术的不断发展,以容器为核心的微服务概念被越来越多人认可,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出,许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统,但在其势头发展猛劲之时,也有许多专家针对Istio的安全机制提出了疑问,比如在Istio管理下,服务间的通信数据是否会泄露及被第三方劫持的风险;服务的访问控制是否做到相对安全;Istio如何做安全数据的管理等等,这些都是Istio目前面临的安全问题,而我们只有深入分析其机制才能明白Istio是如何做安全的。
区块链产业目前处于快速发展的阶段,越来越多新技术应用落地的同时,很多新的安全问题也随之而来。其中,智能合约安全问题最为常见、最为灵活,其造成的损失也最不可控。Dice2win是一款基于以太坊公有链,通过智能合约实现的去中心化博彩小游戏,自小游戏发布的4个月时间里,由于智能合约漏洞,就发生了多起不同类型的攻击事件,而且事件环环相扣,损失大且不可逆。众多区块链智能合约安全事件证明,区块链应用的安全防御尤为重要。
2019年4月绿盟科技安全漏洞库共收录85漏洞, 其中高危漏洞24个,微软高危漏洞9个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。绿盟科技网络安全威胁周报及月报系列,旨在简单而快速有效的传递安全威胁态势,呈现重点安全漏洞、安全事件、安全技术。
这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd 对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列还未披露补丁。所以还是请各位谨慎对待,勒索大军跃跃欲试。
3月20日,Drupal官方发布SA-CORE-2019-004
漏洞预警,修复了一处文件名处理异常,当我们上传特殊文件名时可以绕过限制在服务器上创建“无后缀”文件,精心构造的文件经过浏览器解析后可以触发XSS漏洞,再进一步可以达到代码执行的目的。官方描述该漏洞为中危影响,因为该漏洞需要登录,并且需要作者权限来上传文件才能触发。