一周安全要聞:幽靈漏洞現江湖 P2P遭黑客打劫
原創本周的主要新聞集中在安全漏洞方面:Linux glibc幽靈漏洞、蘋果OS X系統高危漏洞、Adobe Flash漏洞、安卓手機BlackPhone安全漏洞。其中,幽靈漏洞: GNU glibc gethostbyname 緩沖區溢出漏洞影響了大量Linux系統及其發行版。這個漏洞可以允許攻擊者遠程獲取操作系統的最高控制權限,該漏洞CVE編號為CVE-2015-0235。另外,P2P平臺面臨年關兌付高峰,黑客們又開始了“趁火打劫”!
Linux glibc幽靈漏洞
Linux glibc幽靈漏洞的產生是Qualys公司在進行內部代碼審核時,發現了一個在GNU C庫(glibc)中存在的__nss_hostname_digits_dots函數導致的緩沖區溢出漏洞。這個bug可以通過gethostbyname *()函數來觸發,本地和遠程均可行。該漏洞造成了遠程代碼執行,攻擊者可以利用此漏洞遠程獲取系統進程當前的權限。
其他安全漏洞
P2P平臺安全
據悉,進入2015年以來,國內多家P2P行業相關公司均慘遭黑客攻擊。最近,紅嶺創投又中槍,而此前,人人貸、拍拍貸、翼龍貸、有利網、網貸之家等多家P2P行業相關公司均慘遭黑客攻擊。業內人士稱,類似頻繁高強度的攻擊,在中國的P2P行業內已經是“公開的秘密”。針對P2P行業防不勝防的黑客攻擊,全國人大財經委副主任、著名經濟學家吳曉靈調查發現,廉價的網貸系統軟件是P2P行業遭遇全球黑客圍剿的罪魁禍首,多數遭遇黑客攻擊的平臺不僅沒有專業的運營團隊,更沒有對風控的把握能力,在技術、安全方面幾乎為零。
技術解析
SnoopSnitch應用是一款用來分析移動無線電通信的移動安全軟件。該應用使得用戶能夠知道是否有人正在窺探他們的通信流量,它可以發現偽基站和瞄向用戶設備的SS7利用。
新型雷達技術Range-R發出的無線電波可以探測到任何輕微的動作。只要在50英尺內,Range-R就可以探測到你的呼吸。只要該裝置存在于你家附近,警察就可以通過它發射雷達脈沖,掃描探測你房中的每一個物體。它的檢測機制對移動物體特別敏感,可以清楚地分辨物體為“動體”和“呼吸體”。
在一次測試中,筆者碰到了一個sql注入的問題,在網上沒有搜到解決辦法,數據庫是MySQL5.x,SQL語句類似下面這樣:SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點】。針對這種注入點在limit關鍵字后面的場景該如何處理?
NTP放大攻擊其實就是DDoS的一種。NTP放大使用的是MONLIST 命令,該命令會讓 NTP 服務器返回使用 NTP 服務的最后600 個客戶端IP。通過一個有偽造源地址的NTP請求,NTP 服務器會將響應返回給那個偽造的 IP 地址。你可以想象,如果我們偽造受害者的 IP 對大量的NTP服務器發送MONLIST請求,這將形成DOS攻擊。顯然我們不能容忍這樣做,那么如何去發現有多少 NTP 服務器能夠發大這種數據?
