FreeBuF.COM

高质量的全球互联网安全媒体平台

14022人订阅
Office远程代码执行漏洞(CVE-2017-8570)                         Office远程代码执行漏洞(CVE-2017-8570) 接下来我将使用漏洞去远程控制电脑。 漏洞介绍 OfficeCVE-2017-85702017年7月,微软在例行的阅读补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞,利用方法简单。网上公布了利用代码影响范围广泛。该漏洞为Microsoft Office的一个远程代码执行漏洞。 其成因是Microsof PowerPoint执行时会初始化“script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows script Component)文件。攻击这可以欺骗用户运行含有该漏洞的PPT文件导致获取和当前登录用户相同的执行权限。 影响版本 Microsoft Office 2007 ...
【FB TV】一周「BUF大事件」:2017CSS中国互联网安全领袖峰会在京举行;HBO数据泄漏事件嫌疑人被捕;暴雪娱乐旗下游戏遭遇DDoS攻击 本周梗概 本周BUF大事件又为大家带来了成吨新鲜有趣的安全新闻,2017CSS中国互联网安全领袖峰会在京举行,大牛云集、盛况空前;维基解密曝出CIA一款远程实时视频监控工具;HBO数据泄漏事件嫌疑人被捕;暴雪娱乐旗下游戏遭遇DDoS攻击。想要了解详情,请看本周的BUF大事件吧! 观看视频 < 看不到视频点这里 * 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
特别企划 | 盘点国内外顶级漏洞赏金计划 漏洞赏金计划如今已成为许多互联网公司的重要安全策略之一,在国内大部分SRC更是承担了漏洞悬赏的职能。对于一家互联网企业而言网络安全问题至关重要,但趋于某些条件的限制,一些互企业往往会削弱其在安全方面的投入。因此漏洞赏金计划的模式,不仅为这些企业大大减轻了公司的成本负担。同时相较于公司自己聘请专门的安全负责人员,也更具效率。 我们看到在过去的两年间,越来越多的组织开始加入到了这个行列(例如航空,汽车和金融公司)。第一部分中是全球9大在赏金总额以及单人奖金最高的漏洞赏金计划。第二部分则包含国内部分SRC提供的漏洞现金奖励计划。 一、国外篇 Windows Bug赏金计划 多年以来,微软针对其产品推出了多个bug赏金计划。...
“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问 近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。 日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。 HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HT...
行业实践:智能电网时代,如何打胜电力行业网络安全保卫战? 电力行业作为国家重要基础设施,不仅关系国家经济安全战略,而且与人们的日常生活、社会稳定密切相关,其重要性毋庸置疑。当年伊朗的“震网病毒”让世界震惊,同时也让大家开始重新审视电网系统安全。 “十二五”期间,国家电网投资5000亿元,建成连接大型能源基地与主要负荷中心的“三横三纵”特高压骨干网架和13回长距离支流输电工程,初步建成核心的世界一流的坚强智能电网。智能电网彻底改变了传统电网系统信息流和能量流,给人们生活带来巨大帮助,但也给电网系统安全带来了全新挑战。 传统电网VS智能电网 智能电网信息安全面临5大挑战 随着云计算、大数据、移动互联网等新技术在智能电网应用,与传统电网相比,智能电网的安全风险引入点远...
安全人员学习笔记——Web中间件之Apache篇 Web中间件学习篇 本篇主要从IIS、Apache、Nginx、Tomcat四种常见中间件的Apache入手,介绍相关安全知识,遵循“中间件简介→如何搭建网站→安全配置分析→安全日志分析”的顺序进行学习,旨在梳理常见Web中间件的知识点,为Web安全学习打好基础。 Apache篇 作者:古月蓝旻@安全之光 Apache简介 Apache起初由伊利诺伊大学香槟分校的国家超级电脑应用中心(NCSA)开发。此后,Apache Httpd被 开放源代码团体的成员不断的发展和加强。Apache Http网站服务器拥有牢靠可信的美誉,已经在 全球超半数的网站中被使用-特别是几乎所有最热门和访问量最大的网站。比方说,维基百科网站服务器 就是使用Apache的。 刚开始发展时,Apache只是Netscape网页服务...
网易(杭州)诚招移动端安全人才 网易安全部门负责网易公司游戏、电商、金融、音乐、社交等各类应用的安全工作,在这里您可以了解最新的安全保护趋势和最全的安全护城河。 只要您在Android、iOS等安全领域有一技之长,我们都欢迎您的加入,让您的技术可以一展之长,为互联网安全贡献自己的力量。 在网易杭州,您可以近距离的接触网易黑猪的神秘色彩,尝一尝上万的互联网飞猪是什么味道。 来吧,欢迎各位的加入。 手游保护安全工程师(Android方向) 待遇: >20W/年 工作年限要求:2年以上 岗位描述: 1.负责手游保护安全系统(Android方向)的研究和开发; 2.了解手游保护行业的相关动态,和团队一起不断更新保护方案 岗位要求: 1、本科及以上学历; 2、熟练掌握Android APP开发; 3...
《网络安全法》执法案例汇总 自《网络安全法》生效以来,与其相关的执法行为逐渐走向常态。本文收集了2017年6月1日至8月18日间各地落实《网络安全法》相关规定的执法案例,包括: 腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查;BOSS直聘被网信办责令整改;汕头某公司未及时履行网络安全义务,网警依据网安法责令改正;重庆一网络公司未留存用户登录日志被网安查处;四川一网站因高危漏洞遭入侵被罚;宿迁网警成功查处全省首例违反《网络安全法》接入违规网站案;山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚;淘宝网、同花顺金融网、蘑菇街互动网等5家网站被责令限期整改。   以下是详细内容:   事件1:腾讯微信、新浪微博、百度贴吧涉...
安全人员学习笔记——Web中间件之Nginx篇 Web中间件学习篇 今日接到导师任务学习IIS、Apache、Nginx、Tomcat四种常见中间件,导师给了相关的指导从“中间件简介→如何搭建网站→安全配置→安全日志分析”的思路进行学习。本篇文章是作者学习Nginx的学习笔记。 Nginx篇 作者:古月蓝旻@安全之光 Nginx简介 Nginx(发音同engine x)是一个网页服务器,它能反向代理HTTP, HTTPS, SMTP, POP3, IMAP 的协议链接,以及一个负载均衡器和一个HTTP缓存。 Nginx是一款面向性能设计的HTTP服务器,相较于Apache、lighttpd具有占有内存少,稳定性高等优势。 与旧版本(<=2.2)的Apache不同,nginx不采用每客户机一线程的设计模型, 而是充分使用异步逻辑,削减了上下文调度开销,所以并发服务能力更强...
pylogin系列之V2EX自动领币消息提醒 概述 最近开始混v2ex,v2ex发主题、回复都要收钱,发帖收钱还跟字数相关,之前不知道这些,发个帖子内容太多,kao,没钱了! 虽然主题有人回复会收到钱,但是也没人回复啊,也不知道v2ex大佬们喜欢什么内容! 幸好v2ex有个登录领币任务,每天还可以攒点钱,但是有些时候会忘啊,怎么办?… 嗯,程序员嘛,偷懒的办法多…这就开始分析接口,自动领币! 然后呢,发个主题,总想看看有没有大佬关注和回复,然后就时不时打开浏览器,去刷新一下页面。 就跟大部分用windows的人一样,回到桌面不右键+E(刷新)一下,就感觉人生好像少了什么东西(我好像是重症患者,用ubuntu也要找一下刷新桌面)! 这种情况是不是病啊?! 然后呢,刷新很浪费时间诶,...