第312期
你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。
欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!
近日某安全研究员发现自己的微软邮箱莫名注册了一些平台的账号,仔细调查后发现了惊天大秘密。
这些平台对他自然不陌生,是他进行安全测试时用邮箱进行了账号申请,但并未进行验证和确认,当再次进入时却发现账号验证完毕。循着这个线索,他把目标定在了平台向邮箱发送的确认链接,最后调查发现果然如此。如同某些Wordpress后台插件会对内容超链进行静默域名解析,Bing引擎也会对用户邮箱里收到的邮件中的链接进行索引,索引完成后机械的访问就导致了账号注册的确认,是否成功带有一定随机性,要看是索引访问先还是令牌过期先。好在从安全性考虑,只是注册一个自己邮箱的空账号并不会有安全上的问题,但是带来的隐私问题切实存在。不管是微软还是平台都要考虑下隐私安全和验证策略。[阅读原文]
MITRE发布22年份的25个常见且危险的漏洞列表,帮助企业和机构针对性防护和修复。
MITRE对NVD库中37899个CVE进行分析后,进行了评分和排名,把前25个类别单列出来,供安全圈参考。今年的冠军仍是由越界写取得,详细列表如下:
排名 | 编号 | 类别 | 分数 | KEV分数 | 排名变化 |
1 | CWE-787 | 越界写 | 64.20 | 62 | 0 |
2 | CWE-79 | XSS | 45.97 | 2 | 0 |
3 | CWE-89 | SQL注入 | 22.11 | 7 | +3 |
4 | CWE-20 | 输入验证不当 | 20.63 | 20 | 0 |
5 | CWE-125 | 越界读 | 17.67 | 1 | -2 |
6 | CWE-78 | 操作系统命令注入 | 17.53 | 32 | -1 |
7 | CWE-416 | UAF | 15.50 | 28 | 0 |
8 | CWE-22 | 路径遍历 | 14.08 | 19 | 0 |
9 | CWE-352 | CSRF | 11.53 | 1 | 0 |
10 | CWE-434 | 文件上传 | 9.56 | 6 | 0 |
11 | CWE-476 | 空指针解引用 | 7.15 | 0 | +4 |
12 | CWE-502 | 反序列化 | 6.68 | 7 | +1 |
13 | CWE-190 | 溢出 | 6.53 | 2 | -1 |
14 | CWE-287 | 身份验证不当 | 6.35 | 4 | 0 |
15 | CWE-798 | 硬编码凭证 | 5.66 | 0 | +1 |
16 | CWE-862 | 授权缺失 | 5.53 | 1 | +2 |
17 | CWE-77 | 命令注入 | 5.42 | 5 | +8 |
18 | CWE-306 | 关键功能授权缺失 | 5.15 | 6 | -7 |
19 | CWE-119 | 内存错误 | 4.85 | 6 | -2 |
20 | CWE-276 | 默认证书配置错误 | 4.84 | 0 | -1 |
21 | CWE-918 | SSRF | 4.27 | 8 | +3 |
22 | CWE-362 | 条件竞争 | 3.57 | 6 | +11 |
23 | CWE-400 | 资源消耗 | 3.56 | 2 | +4 |
24 | CWE-611 | XML实体引用 | 3.38 | 0 | -1 |
25 | CWE-94 | 代码注入 | 3.32 | 4 | +3 |
从今年的排名可知,最大威胁基本没有变化,而SQL注入在其中地位升高,可能是远程内容增多后系统数量带来的结果。在产品上线前一定要做好常见漏洞的检测![阅读原文]
上周RansomHouse在他们的Telegram群组疯狂暗示AMD已遭他们勒索攻击,“某A字头公司数据大甩卖”到处乱传。
昨天RansomHouse终于公布了答案,果然是AMD,他们将AMD加入其数据泄露官方站点,并售卖450G数据。同时还专门联系了安全媒体,表示去年他们的合作伙伴就成功入侵AMD,早早就取得了关键数据,直到1月才被发现。虽然他们有和勒索服务合作的历史,但此次并未加密AMD设备,单纯只是为窃密而来,因此也未和AMD谈判而选择直接出售。根据“官方”说法,泄露数据包括研究资料、财务信息等,价值还在分析中。AMD回复正在调查此事件,虽然黑客组织公布的内容并不详细,可信度还是很高的,恐怕数据泄露无法避免。[阅读原文]
Evilnum黑客组织被安全研究员监测到重新开始活动,针对参与国际移民的欧洲组织发动攻击。
Evilnum从18年开始活跃至今,20年开始被安全研究员关注监测,发布安全报告,如今活跃度又登上高峰。此时国际局势复杂,移民组织被盯上并不稀奇。此黑客组织的归因还未彻底完成,安全研究员初步认为其是国家支持的黑客组织。[阅读原文]
加州总检察长办公室网站上线后很快被人发现上面放有可公开访问的持枪人敏感信息。
周一上线后不久这个问题就被人发现,直到周二信息才被替换为不包含敏感信息的版本,泄露已是必然。信息包括持枪人的姓名、种族、住址、生日和许可证日期及类型。在当前枪支问题冲突严重的美国,这些信息可能成为控枪主义者的报复利器,毕竟不是所有控枪派都没有枪。总检察长办公室已确认此事,表示正在调查。加州步枪和手枪协会对此反应激烈,将对总检察长办公室提起诉讼,同时提醒民众注意保护自己不被报复。
此事距加州向全国教育机构提供持枪人信息刚过一年,很可能导致持枪人对加州政策的不满再度升级。[阅读原文]
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/275558
安全客 - 有思想的安全新媒体
| 留言与评论(共有 0 条评论) “” |
