“E”周行业动态
No.1:隐私遭泄露 支付宝信息被谷歌抓取
3月27日,有网友爆料,支付宝转账信息能够被谷歌抓取,大量的个人支付宝信息可以轻松通过谷歌搜索得到。消息一出,众网友担心自己的信息和支付宝资金的安全。
“再也不用支付宝了!”有网友在微博吐槽到。消息显示,仅在谷歌中搜索“site:shenghuo.alipay.com 转账付款”就能得到大量转账信息结果。且信息极为详细,编者发现,包括付款账户、收款账户、付款金额、收款人姓名、地址、电话等个人隐私一目了然。(阅读详细:隐私遭泄露!支付宝信息被谷歌抓取!)
相关阅读:支付宝回应转账信息抓取:用户自己分享
No.2:详解discuz防注入研究报告:SQL注入漏洞
近日,安全宝安全专家检测到discuz SQL注入0day攻击,即此前被披露的discuz v63积分商城插件注入漏洞,并分析其漏洞,期间发现discuz本身的防注入机制可以被绕过,且无限制。安全宝已经将漏洞已经在第一时间提交discuz,现在补上一份完整的报告。
近日DIscuz v63积分插件被爆注入漏洞,某互联网公司公布了一个的绕过discuz防注入函数的“方法”,链接http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=5373。事实上文章中说的“/*”会被discuz拦截。并没有绕过,安全宝安全工程师检测到discuz SQL注入 0day攻击,即某互联网公司披露的discuz v63积分商城插件注入漏洞,并分析其漏洞,期间发现discuz本身的防注入机制可以被绕过,且无限制。(阅读详细:详解discuz防注入研究报告:SQL注入漏洞)
No.3:赛门铁克揭露“金融木马的世界”
当前,金融机构遭受木马威胁攻击的事件屡见不鲜。众所周知,金融业是最先采用IT解决方案的行业,如今,为了提升操作便利性和透明度,增强用户满意度,银行业正在逐步向数字领域迁移。但网络罪犯们显然也已经意识到了新的机会,通过网络渠道来“抢银行”会更加有利可图且更为简单。
为了更加细致的揭示和分析针对金融行业的木马攻击,赛门铁克于近日发布了题为《揭露金融木马的世界》白皮书。该白皮书显示,2012年全球范围内600多家金融机构都遭受过网银木马的攻击,范围跨越了亚洲、欧洲和北美洲。同时还指出,网银木马一般通过后门程序携带进入,具有超强的精确度和高度的复杂性,可避开传统的反欺诈侦测方法。使用这些木马程序的攻击者们通常都是有组织的地下团体,从事着高价值的非法交易,他们不但是脚本处理与自动化攻击领域的专家,而且还非常了解属于尖端领域的国际金融行业。(阅读详细:赛门铁克揭露“金融木马的世界”)
No.4:东软发布基于云计算应用交付安全网关
3月25日,近日,东软正式对外发布具备卓越安全功能的下一代应用交付控制产品——基于云计算环境的应用交付安全网关(ADSG)最新版本。这是继2012年东软推出该产品以来,针对用户应用环境变化的首次全面升级。
随着云计算时代的到来以及互联网应用的不断深入,网络数据的传输容量相比以往出现了成倍的增长。如何在新型网络结构体系中更安全、高效地进行应用交付,已经成为困扰企业和数据中心管理者的主要问题。
用户的Web资源访问量逐年快速增长,未来随着新业务的上线还会持续扩大访问量。基于这种情况,用户逐渐将业务虚拟化,提高资源的利用率,以降低硬件采购的增长速度。之前使用的物理负载均衡设备在业务量快速增长的情况下已经不能满足性能的需求,同时在业务虚拟化之后,很难有效地针对不同业务进行应用交付的优化。以高性能硬件为基础的应用交付与安全的解决方案已经不适应目前的虚拟化和云计算环境。而基于软件的、能够按需扩展、将应用交付与安全相集成的产品将为私有云和公有云环境提供更切实可行的应用交付解决方案。(阅读详细:东软发布基于云计算应用交付安全网关)
No.5:启明星辰发现微软IE8高危漏洞
近日,启明星辰研发本部的高级安全工程师在对微软较早之前的一个漏洞进行分析研究时发现了一个新的漏洞。由于已经有了针对该漏洞的可用攻击代码,启明星辰在第一时间将该情况通报给微软,并与其探讨了漏洞的一些信息。
经过确认后,微软在向全球用户发布的3月份安全补丁中即修复了此漏洞。该漏洞是安全公告 MS13-021中的微软IE浏览器的一个高危漏洞(CVE-2013-1288),是Microsoft Internet Explorer 8在CTreeNode的实现上存在use-after-free远程代码执行的漏洞。公告发布的同时,启明星辰得到了来自微软的官方感谢,并获得了CVE编号:CVE-2013-1288。(阅读详细:启明星辰发现微软IE8高危漏洞)
No.6:Websense揭示安全隐患呼吁增强安防意识
近日,在黑客猖獗的今天,各类重大数据泄露事件时常登上全球范围内各大媒体的头条,引发社会各界的广泛讨论。人们对其所产生的不良影响谈论不止,如账户安全、专利泄密、巨额罚款、甚至员工失业等,但却很少在第一时间去关注数据泄露的过程。
Websense时刻关注并认真分析了近年来重大泄密事件的各个细节,总结出十大安全隐患,供广大企业参考。Websense认为,当前造成企业安全防护体系松动,并引发数据泄露的隐患可分为业务层面及技术层面。在业务层面:一是缺乏对安全角色的正确理解、二是认为安全方案达标即万事大吉、三是安全体系更多是围绕基础设施而非数据安全、四是过于关注先进技术、五是未能充分调用员工的能动性;在技术层面:一是新旧技术之间的融合问题、二是移动与云计算将弱化基础设施的作用、三是传统安全解决方案没有完全跟上各类威胁的快速演变、四是多数安全系统没有自主学习能力、五是缺乏整合是大多数企业的致命弱点。(阅读详细:Websense揭示安全隐患呼吁增强安防意识)
更多推荐:
• 趋势科技陈怡桦荣登“2013权势女性榜”
• 调查:新兴安全技术不足以抵御网络威胁
• Java攻击肆虐 Websense提供防范策略
• “人肉”背后隐藏的网络风险
• 360与新浪微博合作 标注"虚假商品"链接