全球最大域名提供商GoDaddy存在跨站请求伪造(CSRF)漏洞

0

安全工程师Dylan Saccomanni近日在GoDaddy域名管理控制台上发现一个跨站请求伪造(CSRF)漏洞,攻击者利用该漏洞可以控制用户在GoDaddy上注册的域名。Godaddy是全球目前最大的域名提供商,拥有全球域名市场的百分之三十的份额。 漏洞详情 该漏洞是Saccomanni1月17号在管理域名时发现的。攻击者可以利用该漏洞编辑域名服务,更改自动更新设置或者编辑域名内容。 跨站请求伪造类似于跨站脚本漏洞(XSS),大多数时候,这类漏洞 ... 全文 »

这个网站可以帮你雇佣黑客:第一家提供“黑客服务”的网站Hacker’s List

0

你曾想过要黑掉某个人的网站、QQ、微博账户麽?直接破坏他使用的网络如何?想想就有点小激动呢!等等,自己不会黑客技术咋办?黑客技术不知道哪家强怎么办?现在这里就有个机会,可以让你雇佣到职业的黑客,帮你实现“梦想”。 黑客中介:Hacker’s List 某个名为Hacker’s List的网站,采用了中介网站的形式,给雇主和职业黑客提供了有保障的交易。自从有了这种服务后,一个技术白痴也将有机会拿到boss的邮箱权限。听起来很不可思议是吧?正如电影大片中一样, ... 全文 »

美国两家大型航空公司发生旅客数据泄露,国内航空安全又如何?

0

如果有人黑进了你的个人账户并用你的钱预定了机票,或者是偷取了你的飞行航程,你作何感想?美国航空公司和美国联合航空公司就出了这样的事,大量旅客信息被黑客盗取,黑客登录受害账户预定了几十个免费航班。 黑客窃取旅客账户,预订大量机票 虽然数据泄漏源仍然在调查当中,但是该消息的真实性已得到当局证实。黑客能够通过第三方盗取航空公司客户用户名和密码来登录数以千计的账号,然后预定几沓机票。 这次黑客攻击发生在去年12月份,在以上两个航空公司开始给受害用户发送提醒邮 ... 全文 »

低级失误:美国电信威瑞森(Verizon)APP存在漏洞,可读取500万用户邮箱

0

威瑞森(Verizon)是美国最大的电信公司之一。近日安全研究人员在威瑞森(Verizon)旗下的FiOS移动APP上发现了一个高危漏洞,它可以允许攻击者访问数百万的威瑞森用户的邮箱账户。 漏洞详情 ‍‍FiOS移动APP上的这一漏洞由XDA高级软件开发工程师RandyWestergren于2015年1月14日发现。他通过分析安卓版本的MyFiOS产生的流量,他发现利用该漏洞可以读取其他用户的邮箱帐户。‍‍ 攻击者只需简单的在web请求中修改 ... 全文 »

CVE-2014-8272漏洞分析:戴尔(Dell)远程控制卡脆弱的Session-ID机制

0

我们最近发现了一个Dell集成远程控制卡(iDRAC)的漏洞,Dell集成远程控制卡是集成在服务器上的小型设备。 黑客利用这个编号为CVE-2014-8272的漏洞,可以在低权限或者未认证的情况下,启用新session执行任意命令。本文主要会讲述该漏洞的细节和利用手法,并给出我们的修复建议。最后,我们会提供检测CVE-2014-8272漏洞的工具供大家下载。   IPMI协议:整合服务器和其他系统(如存储设备、网络和通信设备)的硬件管理规范 ... 全文 »

“万能钥匙”开启网络谍报秘门

0

企业的活动目录(AD)管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击,其中就有能够绕过AD单因子身份验证的恶意软件的身影。 黑客通过远程访问木马侵入那家公司的网络,植入名为“万能钥匙”的恶意软件取得合法的内部凭证,进而在不引发警报的情况下窃取公司数据并偷渡到外部网络。 戴尔网络安全公司SecureWorks的研究人员不会披露数据失窃公司的信息,也不会提供任何有关攻击者身份和位置的暗示。他们只表示:这不是一次网络 ... 全文 »

返回顶部