标签归档:漏洞

Clair:CoreOS发布的开源容器漏洞分析工具

发表于
回复

今天我们开源了一个新的项目,Clair,这是一个用来对容器安全进行监控的工具。Clair是个API驱动(API-Driven)的分析引擎,能逐层逐层地对已知的安全漏洞进行审查。你能轻松使用Clair构建出针对容器安全漏洞的持续监控服务。CoreOS深信,那些能改善世界基础设施的安全工具,值得所有的用户和公司都拥有,所以我们将其开源。为了同样的目标,我们期待大家对Clair项目的反馈和贡献。[......]

阅读全文

幽灵漏洞(GHOST)影响大量Linux操作系统及其发行版(更新修复方案)

发表于
回复

http://bbs.aliyun.com/read/227732.html
安全研究人员近日曝出一个名为幽灵(GHOST)的严重安全漏洞,这个漏洞可以允许攻击者远程获取操作系统的最高控制权限,影响市面上大量Linux操作系统及其发行版。该漏洞CVE编号为CVE-2015-0235。[......]

阅读全文

黑客攻击Target的11步详解及防御建议

发表于
回复

【编者按】去年年底美国大型零售商Target被曝受到黑客攻击,导致高达4000万张信用卡和7000万消费者的个人信息被黑客所窃,Aorato的研究员及其团队记录了攻击者用来攻击Target的所有工具,并讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。[......]

阅读全文

自上而下做好安全代码审查

发表于
回复

安全的程序开发实践的一个关键方面就是安全代码审查。安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成。那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢?大家可以通过本文了解一下。[......]

阅读全文

Struts自爆漏洞利用代码为哪般?

发表于
回复

  近日,很多安全公司和互联网公司安全部门的工程师们都没睡好觉,通宵达旦地在加班。

  Struts 这个漏洞这次来势之所以这么凶猛,直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,和 Struts 官方不负责任的态度有很大关系。Struts 这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。[......]

阅读全文

WooYun.org | 自由平等的漏洞报告平台

发表于
回复

        乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。乌云网上线几年来,一直是it软件开发者技术交流的论坛,所探讨的技术也仅是各自领域内所接触的各类技术bug,并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台,在业界有着一定[......]

阅读全文

谷歌玩真的?披露Windows“零日漏洞”

发表于
回复

谷歌上月底曾表示,在发现零日漏洞并告知相关开发商后,如果7天内还没有修复或告知用户防护措施,那么就支持发现漏洞者公布相关细节,以使用户自己想办法避免遭到攻击。

而近日,谷歌安全专家Tavis Ormandy在发现Windows中存在的一个提权漏洞,他并没有报告给微软,反而是在Full Disclosure邮件列表中公布了相关细节现在他又在同样的地方公布了利用漏洞的方式[......]

阅读全文

谷歌:“零日漏洞”7 天不修复就公布细节

发表于
回复

谷歌安全工程师Chris Evans和Drew Hintz近日在官方博客中表示,如果发现一些软件中的零日漏洞(指厂商还未修复的未知漏洞)被广泛利用,而相关供应商在7日内还未修复或采取进一步行动,谷歌将披露这些漏洞的相关细节,让用户自己采取措施。
[......]

阅读全文

Rails老漏洞仍在肆虐,请尽快升级

发表于
回复

安全专家Jarmoc在博客中称,过去几天,一些基于Rails的Web应用程序和服务器遭到了攻击,攻击者成功入侵后,会在服务器上安装一个机器人,以接受来自IRC频道的进一步指示。

攻击者利用的是CVE-2013-0156这个安全漏洞,尽管Rails团队已经在今年1月份修复了该漏洞,但目前还有大量的服务器未更新至最新的版本,使得攻击者有机可乘。

该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。新的Rails版本中已经修复了该漏洞。[......]

阅读全文