本期情报看点
①盘点2016国内信息安全大事件。2016年,各国围绕网络信息空间安全的角逐愈发激烈,工业控制系统、智能技术应用、云计算、移动支付领域面临的信息安全风险不断加大,各种网络攻击泄露事件层出不穷,我国网络安全治理工作也步入新台阶。
TOP1 《中华人民共和国网络安全法》正式出台
TOP2 网络安全和信息化工作座谈会:树立正确的网络安全观
TOP3 国内88个金融类APP被爆10大隐患
TOP4 我国网络空间防御技术取得重大突破 将改变网络安全游戏规则
TOP5 工信部印发《工业控制系统信息安全防护指南》
TOP6 第三届国家网络安全宣传周 19名网络安全先进典型受表彰
TOP7 白帽社区乌云关闭 公告称业务升级
TOP8 国内最大盗号软件被查:缴获703万张手机黑卡
TOP9 8·19徐玉玉电信诈骗案
TOP10 南都记者700元买到同事行踪等11项记录
②彻底根治DDoS?只有他们才能做到。解决DDoS问题,有人认为很容易,只需要让ISP(互联网服务商)重写互联网即可。重写互联网标准,尤其是处于路由系统核心位置的边界网关协议(BGP),应得到妥善修订。BGP真心是个非常糟糕的东西,欧洲网络与信息安全局(ENISA)将称之为“互联网的阿克流斯之踵”。理想世界里,这个东西必须被重写。但现实世界中,情况就复杂了。除了要让政府监管机构帮助重写互联网路由层这种可怕的想法,这还像是试图完全重建一艘豪华游轮一样匪夷所思。仅仅是因为游轮服役已久,舱门有点关不严实了就要拆了重建是不合理的。这是艘大船,正航行在海洋上,人们都还生活在里面。无论如何,ISP已经让各种标准帮助阻挡了至少一类DDoS,而且这玩意儿存在16年了。他们所要做的,就是实现和完善它。
友情提示:
如需阅读详细内容,请复制链接至浏览器进行阅读。
1、ThinkSNS任意文件上传漏洞
https://forum.90sec.org/forum.php?mod=viewthread&tid=10170
2、OpenSSH:agent协议允许载入任意库漏洞
https://bugs.chromium.org/p/project-zero/issues/detail?id=1009
3、OpenSSH:如果privsep禁止,可以通过转发Unix domain sockets实现本地提权漏洞
https://bugs.chromium.org/p/project-zero/issues/detail?id=1010
4、MacOS < 10.12.2 / iOS < 10.2 Kernel Mach Port Name uref提权漏洞
https://cxsecurity.com/issue/WLB-2016120133
5、YesBank银行应用密码重置OTP绕过漏洞
http://blog.securelayer7.net/yesbank-banking-application-password-reset-otp-bypass-vulnerability/
6、PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
http://t.cn/RIQ22e9
1、Rootkit技术入门:从syscall到hook!
http://bobao.360.cn/learning/detail/3337.html
2、Android get_user/put_user Exploit
https://packetstormsecurity.com/files/140277
3、基于GO的数据库防火墙
https://github.com/nim4/DBShield
4、基于Chakra JIT的CFG绕过技术
http://bobao.360.cn/learning/detail/3335.html
5、支付宝AR红包遭网友“破解”
http://bobao.360.cn/learning/detail/3336.html
6、Fireeye发布报告:恶意软件通过WMI对虚拟机和沙盒环境进行检测
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/wp-windows-management-instrumentation.pdf
7、一种新型的XSSI攻击向量
http://bobao.360.cn/learning/detail/3333.html
8、JanOS是一个操作系统 重用手机硬件作为IoT开发板
https://github.com/jan-os
9、研究人员称智能玩具可泄露儿童信息
http://miami.cbslocal.com/2016/12/25/smart-toys-may-make-your-children-a-target-for-hackers/
10、实践攻击 4G (LTE) 网络协议
http://blog.se-sy.org/2015/10/lte-attacks-2015.html
11、一个可以进行协议学习的fuzzer
https://github.com/hgascon/pulsar
12、勒索软件DeriaLock既能锁屏又加密
https://www.bleepingcomputer.com/news/security/new-derialock-ransomware-active-on-christmas-includes-an-unlock-all-command/
13、勒索软件Koolova强迫受害者读文章
https://www.bleepingcomputer.com/news/security/koolova-ransomware-decrypts-for-free-if-you-read-two-articles-about-ransomware/
14、密码学技术发展:2016年回顾
https://www.eff.org/deeplinks/2016/12/what-happened-crypto-2016
1、奥巴马敦促美国网络司令部脱离NSA
http://securityaffairs.co/wordpress/54745/cyber-warfare-2/dual-hat-arrangement.html
2、谷歌内研可取代短信的二步认证设备
http://arstechnica.com/security/2016/12/this-low-cost-device-may-be-the-worlds-best-hope-against-account-takeovers/
3、证券系统被黑致用户损失近7万元 平安总部介入调查
http://t.cn/RIQ2wVm
4、黑客夺取索尼音乐推特帐户 传播布兰妮斯皮尔斯死亡假消息
http://t.cn/RIQ2AhS
5、彻底根治DDoS?只有他们才能做到
http://t.cn/RIQ22GM
6、媒体总结2016年国内信息安全大事件
https://www.easyaq.com/newsdetail/id/1654471785.shtml
(信息来源于网络,梆梆安全搜集整理)
推荐站内搜索:推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...