本周安全要聞主要內(nèi)容：免費(fèi)Web托管公司000Webhost被黑客攻擊，泄露1350萬(wàn)用戶(hù)信息；中國(guó)電信某系統(tǒng)被曝存重大漏洞；烏云漏洞平臺(tái)曝出百度旗下多款A(yù)pp存在WormHole漏洞；美國(guó)參議院通過(guò)了《網(wǎng)絡(luò)安全信息共享法案》；騰訊玄武實(shí)驗(yàn)室安全負(fù)責(zé)人于旸表示通過(guò)條碼可能觸發(fā)SQL注入、XSS攻擊……

全球最流行的免費(fèi)Web托管公司000Webhost遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，1350萬(wàn)用戶(hù)的個(gè)人數(shù)據(jù)泄露。用戶(hù)泄露的信息包括用戶(hù)名、明文密碼、郵箱地址、IP地址、用戶(hù)真實(shí)的姓氏。000webhost在其官方Facebook上確認(rèn)了公司被黑客攻擊。

免費(fèi)Web托管公司000Webhost被黑 1350萬(wàn)明文密碼泄露

隨著手機(jī)實(shí)名制的普及，運(yùn)營(yíng)商掌握了大量的用戶(hù)個(gè)人信息，但如果一旦運(yùn)營(yíng)商保管不善，那么用戶(hù)的個(gè)人隱私就將遭到泄露。近日，補(bǔ)天漏洞響應(yīng)平臺(tái)爆出了中國(guó)電信某系統(tǒng)的重大漏洞。通過(guò)該漏洞可以查詢(xún)上億用戶(hù)信息，涉及姓名、證件號(hào)、余額，并可以進(jìn)行任意金額充值、銷(xiāo)戶(hù)、換卡等操作。目前該漏洞已得到中國(guó)電信廠(chǎng)商確認(rèn)。

中國(guó)電信再現(xiàn)重大漏洞：上億用戶(hù)信息一覽無(wú)余

據(jù)悉，烏云漏洞平臺(tái)曝出百度旗下多款A(yù)pp存在WormHole漏洞，稱(chēng)安卓手機(jī)只要連接網(wǎng)絡(luò)，無(wú)論Root與否都有被安裝應(yīng)用和遠(yuǎn)程控制的風(fēng)險(xiǎn)。

烏云曝百度多款A(yù)pp存在漏洞 官方已確認(rèn)

據(jù)俄羅斯衛(wèi)星網(wǎng)10月28日?qǐng)?bào)道，美國(guó)當(dāng)?shù)貢r(shí)間27日，參議院通過(guò)了《網(wǎng)絡(luò)安全信息共享法案》。隱私權(quán)益支持者對(duì)此極力反對(duì)，認(rèn)為該法案將危及隱私權(quán)，且并不能阻止網(wǎng)絡(luò)攻擊的發(fā)生。

美國(guó)會(huì)通過(guò)網(wǎng)絡(luò)安全法案 多方指其侵犯隱私權(quán)

在極棒安全峰會(huì)上，騰訊玄武實(shí)驗(yàn)室安全負(fù)責(zé)人于旸從條碼的知識(shí)小科普到現(xiàn)場(chǎng)破解demo秀，分享了一種針對(duì)條碼系統(tǒng)的通用攻擊方法，攻擊者僅需要用一張印有條碼的紙，就能讓計(jì)算機(jī)執(zhí)行win+r、彈出CMD窗口、彈出計(jì)算器!

騰訊玄武實(shí)驗(yàn)室：通過(guò)條碼可能觸發(fā)SQL注入、XSS攻擊

本次調(diào)研群體分布于全國(guó)各地，有意思的是，對(duì)于安全漏洞高發(fā)地區(qū)排名前三位的北京、上海、廣東，本次調(diào)查反饋用戶(hù)數(shù)量排名前三位的也對(duì)應(yīng)到這三個(gè)地區(qū)。而在行業(yè)分布上，比較廣泛。

最新發(fā)布：數(shù)據(jù)庫(kù)防火墻技術(shù)市場(chǎng)調(diào)研報(bào)告

近日，思科已同意以大約4.53億美元的價(jià)格收購(gòu)網(wǎng)絡(luò)安全軟件開(kāi)發(fā)商Lancope，進(jìn)一步表明了這家網(wǎng)絡(luò)設(shè)備巨頭增強(qiáng)自身安全業(yè)務(wù)的意愿。

思科4.53億美元收購(gòu)安全開(kāi)發(fā)商Lancope

技術(shù)解析：

js緩存投毒說(shuō)白了就是受害者的瀏覽器緩存了一個(gè)被我們篡改的js腳本，如果緩存沒(méi)有被清除，每次這個(gè)受害者訪(fǎng)問(wèn)網(wǎng)頁(yè)的時(shí)候都會(huì)加載我們的js腳本。

Javascript緩存投毒學(xué)習(xí)與實(shí)戰(zhàn)

按照曼迪安特分析的報(bào)告稱(chēng)中國(guó)已經(jīng)發(fā)現(xiàn)3臺(tái)具有SYNful Knock后門(mén)的路由器，如何快速?gòu)娜珖?guó)3億IP地址中快速查找出3個(gè)IP地址難度還是十分的大，經(jīng)過(guò)查找發(fā)現(xiàn)，目前中國(guó)已經(jīng)有4個(gè)IP被植入了后門(mén)。

我是如何從3億IP中找到CISCO路由器后門(mén)的

用戶(hù)帳戶(hù)控制(UAC)給了我們使用標(biāo)準(zhǔn)的用戶(hù)權(quán)限代替完全的管理員權(quán)限來(lái)運(yùn)行程序的能力。所以即使您的標(biāo)準(zhǔn)用戶(hù)帳戶(hù)位于本地管理員組中，那么受到的破壞也是有限的，如安裝服務(wù)，驅(qū)動(dòng)程序以及對(duì)安全位置執(zhí)行寫(xiě)入操作，等等，這些行為都是被拒絕的。

Windows用戶(hù)帳戶(hù)控制(UAC)的繞過(guò)與緩解方式

其他：

安全新趨勢(shì)：是時(shí)候扣動(dòng)安全自動(dòng)化的扳機(jī)了

長(zhǎng)亭科技楊坤:智能路由器遭破解 企業(yè)內(nèi)網(wǎng)安全需加強(qiáng)

“雙十一”即來(lái) 電商如何開(kāi)啟安全大戰(zhàn)?

罪與罰：近幾年最惹爭(zhēng)議的黑客判決