安全公司发现,Google的机器人被用于对客户网站发动SQL注入攻击,迫使其在防火墙中屏蔽了Google的IP地址。这种攻击理论上可绕过任何Web应用防火墙。 整个过程如下:Google机器人正在网站A上收集信息,A网站内嵌入了对目标B网站的SQL注入请求链接,Google机器人顺着链接访问B网站,无意中开始对B网站执行了SQL注入攻击。 ... 全文 »
真相: 有人利用社工等途径,获得了该用户在卡饭论坛的ID:k53941及密码,并利用该ID在论坛发布了“搜狗重大安全漏洞可直接登陆数千账户”等帖子,从而让真正的k53941“被发帖”了一把。 拷问: 到底为啥要盗用别人的号来发?又在这个1111购物狂欢节浏览器日进斗金的黄金时期前公布?而且还使用了这么一种一反常态,根本不负责任的披露漏洞的方式进行?漏洞到底是否存在? 目前搜狗浏览器的漏洞到底有没有?我自己做了测试,用是10多个QQ登陆,都没有能够实现看到别人的东西,所 ... 全文 »
微软已经推出了标号为2896666的安全公告,主要针对伪装成一封电子邮件并要求打开一个特制的Word附件的潜在威胁。在正式的安全修复工作完成之前,微软已经推出了临时解决方案,以帮助缓解当下的局面。本次安全公告的波及面略广,涵盖Windows Vista、Server 2008、Office 2003至Office 2010、以及所有支持版本的Microsoft Lync。 简而言之,就是攻击者可能会利用一个包含恶意Word文档的邮件附件,当接 ... 全文 »
据外媒报道,微软于今日宣布,他们将为公司未来的安全漏洞赏金提升到10万美元。它不仅仅面向安全研究人员,另外它还会为找到活跃网络攻击的响应者及法医专家。微软解释称,此次的调整意味着未来将有上千名的个人或组织都能参与到新漏洞寻找的活动中。 另外,微软公司表示,倘若发现漏洞的人还能够提供相应的解决方案的话,那么公司将最多可为其提供5万美元的奖金。微软希望借这一新举措来加大对网络犯罪行为的打击力度。 参与者将需要发送邮件给@microsoft. ... 全文 »