本周安全要聞主要內容：免費Web托管公司000Webhost被黑客攻擊，泄露1350萬用戶信息；中國電信某系統被曝存重大漏洞；烏云漏洞平臺曝出百度旗下多款App存在WormHole漏洞；美國參議院通過了《網絡安全信息共享法案》；騰訊玄武實驗室安全負責人于旸表示通過條碼可能觸發SQL注入、XSS攻擊……

全球最流行的免費Web托管公司000Webhost遭遇了一次大規模的數據泄露事件，1350萬用戶的個人數據泄露。用戶泄露的信息包括用戶名、明文密碼、郵箱地址、IP地址、用戶真實的姓氏。000webhost在其官方Facebook上確認了公司被黑客攻擊。

免費Web托管公司000Webhost被黑 1350萬明文密碼泄露

隨著手機實名制的普及，運營商掌握了大量的用戶個人信息，但如果一旦運營商保管不善，那么用戶的個人隱私就將遭到泄露。近日，補天漏洞響應平臺爆出了中國電信某系統的重大漏洞。通過該漏洞可以查詢上億用戶信息，涉及姓名、證件號、余額，并可以進行任意金額充值、銷戶、換卡等操作。目前該漏洞已得到中國電信廠商確認。

中國電信再現重大漏洞：上億用戶信息一覽無余

據悉，烏云漏洞平臺曝出百度旗下多款App存在WormHole漏洞，稱安卓手機只要連接網絡，無論Root與否都有被安裝應用和遠程控制的風險。

烏云曝百度多款App存在漏洞 官方已確認

據俄羅斯衛星網10月28日報道，美國當地時間27日，參議院通過了《網絡安全信息共享法案》。隱私權益支持者對此極力反對，認為該法案將危及隱私權，且并不能阻止網絡攻擊的發生。

美國會通過網絡安全法案 多方指其侵犯隱私權

在極棒安全峰會上，騰訊玄武實驗室安全負責人于旸從條碼的知識小科普到現場破解demo秀，分享了一種針對條碼系統的通用攻擊方法，攻擊者僅需要用一張印有條碼的紙，就能讓計算機執行win+r、彈出CMD窗口、彈出計算器!

騰訊玄武實驗室：通過條碼可能觸發SQL注入、XSS攻擊

本次調研群體分布于全國各地，有意思的是，對于安全漏洞高發地區排名前三位的北京、上海、廣東，本次調查反饋用戶數量排名前三位的也對應到這三個地區。而在行業分布上，比較廣泛。

最新發布：數據庫防火墻技術市場調研報告

近日，思科已同意以大約4.53億美元的價格收購網絡安全軟件開發商Lancope，進一步表明了這家網絡設備巨頭增強自身安全業務的意愿。

思科4.53億美元收購安全開發商Lancope

技術解析：

js緩存投毒說白了就是受害者的瀏覽器緩存了一個被我們篡改的js腳本，如果緩存沒有被清除，每次這個受害者訪問網頁的時候都會加載我們的js腳本。

Javascript緩存投毒學習與實戰

按照曼迪安特分析的報告稱中國已經發現3臺具有SYNful Knock后門的路由器，如何快速從全國3億IP地址中快速查找出3個IP地址難度還是十分的大，經過查找發現，目前中國已經有4個IP被植入了后門。

我是如何從3億IP中找到CISCO路由器后門的

用戶帳戶控制(UAC)給了我們使用標準的用戶權限代替完全的管理員權限來運行程序的能力。所以即使您的標準用戶帳戶位于本地管理員組中，那么受到的破壞也是有限的，如安裝服務，驅動程序以及對安全位置執行寫入操作，等等，這些行為都是被拒絕的。

Windows用戶帳戶控制(UAC)的繞過與緩解方式

其他：

安全新趨勢：是時候扣動安全自動化的扳機了

長亭科技楊坤:智能路由器遭破解 企業內網安全需加強

“雙十一”即來 電商如何開啟安全大戰?

罪與罰：近幾年最惹爭議的黑客判決