安全D头条 第3期 | 8.19-8.23安全热点

百家 作者:滴滴安全应急响应中心 2019-08-23 04:29:15



CNVD漏洞数量

本周新增漏洞数量:267个

本周高危漏洞数量:48个


CNVD:https://www.cnvd.org.cn


安全热点


黑客成功越狱当前版本的iOS 12.4 

 数以百万计的iPhone用户容易被黑客攻击

安全研究人员利用苹果公司已经修复的未修补漏洞成功破解了最新版本的iOS 12.4,该漏洞创建了一种简单的方法来破解任何易受攻击的iPhone和iPad。

苹果不小心解开了在7月份发布的最后一次苹果安全更新中已经修补的漏洞,谷歌安全专家报告了这个漏洞。


详情链接:https://z.didi.cn/3c9z6


勒索病毒新姿势

伪装SpyHunter安全软件

近日,国外安全研究人员曝光了一款伪装成安全软件SpyHunter的勒索病毒,其开发人员使用了SpyHunter的标识作为勒索软件的图标,同时将文件命名为“SpyHunters.exe”,通过钓鱼邮件附件进行传播,并在勒索文本中写道“Our company SpyHunter is guaranteed to decrypt your files.Creating and removing viruses is our vocation”。


详情链接:https://z.didi.cn/3viRo


DEFCON 2019上安全研究人员发现在Linux, Unix

服务器的程序中存在2018年就植入的后门

在def con 2019安全会议期间,研究人员偶然发现了恶意代码。令人不安的是,当一个名为Webmin的Unix管理工具报告了一个关键的零天漏洞时,发现该漏洞并非意外。根据研究人员的说法,这个漏洞是一个秘密的后门,在它被发现的近一年前就已经被广泛应用。


详情链接:https://z.didi.cn/32qwq


dotCMS 5.1.5

从H2 SQL注入升级到远程代码执行

在这个文章中,展示如何利用在流行的基于Java的内容管理系统中的RIP代码分析发现的SQL注入漏洞,以及我们如何将其升级到远程执行代码。


详情链接:https://z.didi.cn/3P5AX


利用差分错误分析(DFA)

攻击的方式还原 AES Key 

本教程将向您介绍差分故障分析(DFA)攻击,她将向您展示如何配置目标进行AES加密,处理加密操作,在计算密文中引入错误,最后如何处理这些有问题的密文来提取AES密钥,这也可以成为攻击其他目标的方法。


详情链接:https://z.didi.cn/3ctAW


本周安全热点由

滴滴出行安全蓝军协助提供

滴滴出行安全蓝军专注前沿攻防技术研究、实战演练、企业安全评估,采用攻击视角对企业网络、应用环境展开实战演习,检测安全防护的充分性与有效性


DSRC文章征集


“安全D头条”第二季开始

我们对外征集技术类文章啦~

你有文字

我有平台

请看征文详情


文章类型:

以信息安全为主题,可以包括前沿安全技术研究,业务安全,安全体系建设等。


征稿说明:

1)文章不得包含工具利用教程等一切可能引起潜在的危害扩散类型的文章,欢迎每一位网络安全研究者、爱好者投稿

2)文章内容必须在DSRC上首发


投稿方式:

发送稿件至dsrc@didiglobal.com 

投稿时注意标注【投稿】以及作者联系方式;


投稿奖励:

投搞即可获得滴滴周边礼物一个


稿件收录奖励:

根据文章质量奖励100-500元京东卡一张 



————— End —————

    关于漏洞    

滴滴出行相关漏洞请提交至

https://sec.didichuxing.com/


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接