网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】黑客利用WordPress插件中的0day漏洞恶意创建管理员帐户

2020-02-21 09:30 推荐: 浏览: 40 views 字号:

摘要: 黑客利用WordPress插件中的0day漏洞恶意创建管理员帐户 黑客正在利用由ThemeREX制造的WordPress插件中的0day漏洞,攻击已于2月18日开始。根据WordPress安全公司的说法,该插件可通过设置WordPress REST-API端点...

黑客利用WordPress插件中的0day漏洞恶意创建管理员帐户

黑客正在利用由ThemeREX制造的WordPress插件中的0day漏洞,攻击已于2月18日开始。根据WordPress安全公司的说法,该插件可通过设置WordPress REST-API端点来工作,但不会检查发送到REST API的命令是否来自授权用户(即网站所有者)。这意味着任何访客都可以执行远程代码,即使未经身份验证的人也可以。

参考来源:

https://www.zdnet.com/article/hackers-exploit-zero-day-in-wordpress-plugin-to-create-rogue-admin-accounts/

 

美高梅酒店1060万旅客信息被公布在黑客论坛上

据外媒报道,本周,超1060万名住在米高梅国际度假(MGM Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。除了普通游客之外,遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。

参考来源:

https://www.secrss.com/articles/17247

 

危险的外围设备:利用外设固件漏洞攻击Windows/Linux电脑

2月18日,Eclypsium公司在其网站发布了最新的研究成果,披露了计算机外围设备中的固件安全问题可能对计算机带来的极大安全隐患。《安全周刊》也以“具有未签名固件的外围设备使Windows、Linux计算机受到攻击”为题进行了报道。这些弱点在笔记本电脑和服务器的各个组件中普遍存在,为恶意攻击提供了多种可能途径。

参考来源:

https://www.secrss.com/articles/17240

 

特斯拉软件被曝漏洞:电子胶带诱使其在限速区超速

据外媒报道, McAfee的研究人员日前发现,电动汽车制造商特斯拉的司机辅助驾驶系统存在潜在漏洞。他们通过在限速标志上粘贴电子胶带,从而诱使特斯拉汽车在限速区超速行驶。根据McAfee周三发布的研究显示,将电子胶带以水平方式粘贴在时速35公里限速标志上后,导致特斯拉车辆读取的限速数据为每小时137公里,从而促使其巡航控制系统自动加速。

参考来源:

https://www.secrss.com/articles/17229

 

Lets Encrypt倡议新证书策略 提高抗网络攻击能力

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。

参考来源:

https://www.cnbeta.com/articles/tech/945739.htm

 

Microsoft.com 等微软系网站被发现存在子域劫持问题

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称,Gaschet 在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。

参考来源:

http://hackernews.cc/archives/29515

 

金融行业标准《个人金融信息保护技术规范》正式发布

近日,南都记者从知情人士处获悉,金融行业标准《个人金融信息保护技术规范》(下称《规范》)已经通过全国金融标准化技术委员会审查,向各金融业机构发布。《规范》将个人金融信息按照敏感程度分为三大类,并要求金融业机构不应以默认授权、功能捆绑等方式强制获取个人金融信息,也不应委托或授权无金融业相关资质的机构收集身份证号、手机号等个人信息。

参考来源:

https://www.secrss.com/articles/17228

联系站长租广告位!

中国首席信息安全官
关闭
关闭