近日，Cisco小型商業(yè)電話的固件曝高危漏洞，攻擊者可通過(guò)該漏洞監(jiān)聽(tīng)私人電話以及進(jìn)行遠(yuǎn)程撥打電話，而且這一系列惡意行為都不需要任何身份驗(yàn)證。該漏洞(CVE-2015-0670)的存在實(shí)際上是由于某些Cisco IP電話的默認(rèn)配置中含有了一些不恰當(dāng)?shù)脑O(shè)置。它允許攻擊者通過(guò)向受影響的設(shè)備發(fā)送特殊的XML請(qǐng)求來(lái)控制該設(shè)備。該漏洞影響到Cisco小型商業(yè)SPA300以及SPA500 IP電話且運(yùn)行的固件版本為7.5.5。然而，Cisco發(fā)出警告稱在7.5.5后的版本也可能會(huì)受到該漏洞影響。

思科坦言其針對(duì)中小企業(yè)的IP電話易被竊聽(tīng)

Cisco IP電話曝高危漏洞可致遠(yuǎn)程竊聽(tīng)

電腦在工作時(shí)會(huì)因?yàn)槠涔ぷ鲀?nèi)容的不同而產(chǎn)生不同的熱量，除了CPU、圖形處理單元以及其他主板組件外，系統(tǒng)下載文件、視頻或者上網(wǎng)時(shí)都會(huì)通過(guò)消耗電能而產(chǎn)生能量。電腦內(nèi)部會(huì)內(nèi)置許多溫度傳感器來(lái)檢測(cè)熱波動(dòng)并觸發(fā)內(nèi)部風(fēng)扇冷卻系統(tǒng)的開(kāi)啟或關(guān)閉。而黑客正是使用這些傳感器來(lái)發(fā)送命令或者獲取數(shù)據(jù)的。該方法類似于摩爾斯電碼，黑客可以通過(guò)控制熱量增加來(lái)利用目標(biāo)電腦的溫度傳感器，檢測(cè)溫度并將其轉(zhuǎn)換為“0”或“1”然后進(jìn)行通信。

黑客可通過(guò)電腦熱量竊取數(shù)據(jù)(附視頻)

鼎鼎大名的SQL注入漏洞在服務(wù)器上的殺傷力不用多說(shuō)，可惜虎落平陽(yáng)被犬欺，SQL注入漏洞在Android平臺(tái)長(zhǎng)期處于比較雞肋的狀態(tài)。雖然Android平臺(tái)大量使用SQLite存儲(chǔ)數(shù)據(jù)導(dǎo)致SQL注入很常見(jiàn)，而SQL注入的發(fā)現(xiàn)也相對(duì)簡(jiǎn)單，但其危害十分有限：在無(wú)其他漏洞輔助的情況下，需要在受害者的手機(jī)上先安裝一個(gè)惡意APP，通過(guò)這個(gè)惡意載體才可能盜取有SQL注入漏洞的APP的隱私數(shù)據(jù)。很多人會(huì)說(shuō)，都能夠安裝惡意APP了，可以利用的漏洞多了，還要你SQL注入干嘛。正是因?yàn)檫@個(gè)原因，導(dǎo)致SQL注入漏洞一直不被大家所關(guān)注。

一條短信控制手機(jī)!Android平臺(tái)的SQL注入漏洞淺析

一段時(shí)間以來(lái)，索尼、摩根大通和Anthem等公司網(wǎng)絡(luò)遭黑客入侵導(dǎo)致數(shù)據(jù)失竊，這些事件促使企業(yè)增加投資，確保計(jì)算機(jī)網(wǎng)絡(luò)安全。在這種情況下，最近幾個(gè)月已經(jīng)上市的網(wǎng)絡(luò)安全公司股價(jià)表現(xiàn)超出了市場(chǎng)平均水平。據(jù)消息人士透露，Rapid7、LogRhythm和Mimecast等多家網(wǎng)絡(luò)安全公司計(jì)劃在2015年IPO(首次公開(kāi)募股)，希望抓住一系列黑客攻擊事件發(fā)生之后投資者對(duì)這個(gè)領(lǐng)域的濃厚興趣。

黑客攻擊頻發(fā) 網(wǎng)絡(luò)安全公司借機(jī)爭(zhēng)相IPO

“越獄了的蘋(píng)果不安全”，這是不少“果粉”的慣常想法，不過(guò)沒(méi)有越獄的蘋(píng)果手機(jī)也有危險(xiǎn)了。近日，國(guó)內(nèi)漏洞發(fā)布平臺(tái)烏云網(wǎng)發(fā)布消息，蘋(píng)果iOS系統(tǒng)存在漏洞，這一漏洞可導(dǎo)致非越獄iOS設(shè)備的賬號(hào)、密碼等敏感信息被黑客竊取，發(fā)布者稱支付寶、微信等手機(jī)應(yīng)用都可能會(huì)因此“中招”。

蘋(píng)果被曝存手機(jī)應(yīng)用密碼被盜巨大漏洞

安全工具：

pymsf是著名安全研究團(tuán)隊(duì)Spiderlabs實(shí)現(xiàn)的一個(gè)Python與Metasploit msgrpc進(jìn)行通信的python模塊，通過(guò)它，你可以利用Python玩轉(zhuǎn)滲透測(cè)試框架Metasploit。

教你用Python玩轉(zhuǎn)神器Metasploit

3vilTwinAttacker可以幫助滲透測(cè)試人員建立一個(gè)虛假的釣魚(yú)WiFi，表面上這是一個(gè)提供上網(wǎng)服務(wù)的正常AP(網(wǎng)絡(luò)接入點(diǎn))，而實(shí)際上它卻在不知不覺(jué)嗅探獲取網(wǎng)絡(luò)流量。

釣魚(yú)Wi-Fi及嗅探測(cè)試工具:3vilTwinAttackerphper

加密解密：

解密千萬(wàn)密碼：透過(guò)密碼看人性

linux：GPG加密和解密

php生成隨機(jī)密碼的自定義函數(shù)

對(duì)稱加密之AES及壓縮加密解密解壓綜合實(shí)戰(zhàn)