资讯月刊下载
[移动开发]
谈Fuzz技术挖掘Android漏洞
引用作者:刘朋,NICP国家安全重点实验室成员,CSDN博客专家,2016年博客之星。“白帽子”,如今已经向多家手机厂商,包括Google小米、魅族等提交高危漏洞。另外也主导开发了两款App,其中主导开发“妙趣剪纸”已登录苹果体验店。 声明:本文为《程序员》原创文章,未经允许不得转载,更多精彩文章请订阅 2017 年《程序员》 【CSDN 有奖征稿啦】技术之路,共同进步,有优质移动开发、VR/AR ...
[行业应用]
快速修补漏洞 Myspace 史上最大用户数据遭泄露
继领英1.67亿用户用数据被爆泄漏后,著名付费黑客数据搜索引擎LeakedSource发表博文称Myspace也被黑,近4.3亿用户数据被泄漏,并已获得数据副本,可在他们的网站上进行查询。 目前,Myspace官方还未证实这一消息的可靠性,但如果情况属实,这将是史上最大规模的密码泄露事件。外媒调侃道,这个世界上只有两种公司,一种是被黑过的公司,一种是被黑了也不知情的公司。显然,Myspace属 ...
[移动开发]
常见的八种导致 APP 内存泄漏的问题
本文来自:http://blog.nimbledroid.com 像Java这样具有垃圾回收功能的语言的好处之一,就是程序员无需手动管理内存分配。这减少了段错误(segmentation fault)导致的闪退,也减少了内存泄漏导致的堆空间膨胀,让编写的代码更加安全。然而,Java 中依然有可能发生内存泄漏。所以你的安卓 APP 依然有可能浪费了大量的内存,甚至由于内存耗尽(OOM)导致闪退。 ...
[企业架构]
如何从代码层防御10大安全威胁中的 Xpath Injection?
本文转自OneAPM技术社区,系OneAPM架构师吕龙涛原创文章。 普遍性和可检测性: Xpath 注入是OWASP TOP10 安全威胁中 A1 Injection 中的一种,注入漏洞发生在应用程序将不可信的数据发送到解释器时。虽然注入漏洞很容易通过审查代码发现,但是却不容易在测试中发现。 影响严重: 注入能导致数据丢失或数据破坏、缺乏可审计性或者是拒绝服务。注入漏洞有时候甚至能导致完全主机接 ...
[Web前端]
Adobe证实Flash存在危急缺陷,涉及所有版本
据科技网站VentureBeat报道,Adobe今天发布安全公告,证实Windows、Mac和Linux平台上所有版本Flash软件存在一处安全缺陷。Adobe 称,它已经获悉有黑客利用该缺陷发动了有限和有针对性的攻击。Adobe计划于“10月19日所在的一周”(即下周)发布补丁软件,修正该缺陷。该 Flash缺陷(CVE-2015-7645)是由安全厂商Trend的研究人员发现的。发动“兵风暴”( ...
[互联网]
互联网大漏洞:每600个网站就有1个暴露了.git文件夹
对于Web开发人员来说,向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库,包括数据库密码、加密盐、Hash和第三方接口密钥API,还有你的用户名和密码。 多年来,作为个人项目,我建立了150万的网站数据库,大多是权威网站(比如BBC、《卫报》,或者涉及政府、教育及军事领域的网站)。 在这150万网站中,2402个的.git文件夹被暴露且可下载,0.1 ...
[非技术]
赶紧改密码!12306用户数据密码泄露
摘要:据漏洞反馈平台乌云网显示,大量12306用户数据在互联网疯传。本次泄露的用户数据包括用户帐号、明文密码、身份证、邮箱等。泄露的数据一共131653条。据悉泄露的数据非常容易获得,随便一搜就能获得。 北京时间12月25日消息,据漏洞反馈平台乌云网显示,大量12306用户数据在互联网疯传。 漏洞概要显示,本次泄露的用户数据包括用户帐号、明文密码、身份证、邮箱等。据一位昵称叫“吃肉的公猫”测 ...
[开源软件]
请各位开发者尽快升级 Git 客户端版本至 V2.2.1!
Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。 攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。 GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问 ...
[非技术]
微软“紧急”修补 18 年前漏洞, NSA 阴谋论再度热议
微软赶在本周二补丁日之前紧急发布了大量漏洞补丁,数量规模创下历史新高,其中一个高危漏洞(CVE-2014-6332)存在于IE浏览器的安全隧道(Schannel)层,也就是SSL和TLS安全协议的部署层,这个漏洞可以让攻击者远程完全控制主机并执行代码。 发现该漏洞的IBM X-Force团队主管Robert Freeman本周二在博客中指出,微软IE浏览器的SSL高危漏洞至少从Windows ...
[非技术]
“心脏出血”漏洞公布之前可能已经被政府机构利用
“心脏出血”漏洞已经是史上影响互联网最严重的缺陷之一。但是,新的研究表明,“心脏出血”漏洞在四月爆出之前,没有证据显示“心脏出血”漏洞已经被黑客大规模使用。“心脏出血”漏洞爆出之后,互联网网站争先恐后地应用补丁。然而,一些美国大学研究学者担心,该漏洞在爆出之前,可能已经被政府机构利用进行互联网监控之用。 通过分析劳伦斯伯克利国家实验室收集到2013年11月到2014年4月的“陷阱”网络流量,研 ...
[非技术]
493万Gmail账号密码遭泄 谷歌否认存安全漏洞
9月11日消息,据国外媒体报道,周二近493万的Gmail用户账号和密码被发布到了俄罗斯的比特币论坛上。不过谷歌公司并不认为Gmail有任何安全漏洞。 谷歌发言人表示,“我们用户的信息安全是头等大事。没有任何证据表明,我们的系统被入侵过。但如果我们发现任何帐户有可能已经受到安全威胁,我们就会采取适当措施对其进行保护。” 发布这些账号密码的比特币论坛用户,表示这其中约60%是有效的。许多人可 ...