|||||| 更多
比特客户端
我们也在这里：
揭秘乌云网：中国最大的黑客培训基地？
乌云网 新闻
　　10月10日，如家等酒店开房信息泄露;10月29日，来往存漏洞波及;11月5日，被曝存在重大安全漏洞;11月20日，7000万群用户数据被指泄露;11月26日，360出现任意用户修改密码漏洞;甚至连相关部门网站漏洞也被公布....。.
　　一系列泄露事件让人们人人自危，也让公布这一系列泄密事件的乌云网声名鹊起。人们在震惊相关不负责任同时，也对乌云网充满了好奇：这是怎样的一个平台，背后又是一个怎样的隐秘江湖？
　　“白帽子”聚集的基地
　　“老K”说：自己是一名重塑黑客理想的白帽子
　　11月15日，某咖啡厅。
　　距与“老K”的时间已过去了半个小时，记者用QQ给他发去消息：“到了么？”
　　“堵车快到了，还有几分钟。”“老K”回复。
　　揭秘乌云网：中国最大的黑客培训基地？
　　又过了半个小时，“老K”仍未出现。又过了十分钟，记者收到了一条“老K”发来的消息：“抱歉，我刚才在咖啡厅外徘徊了很久，想了想，还是QQ上交流比较好吧。”
　　“在这个圈子，真实身份是个秘密。除非完全信任你，否则不会告诉你全部。”对“老K”所在圈子有很深了解的本报网络工程师“董师傅”对记者说。
　　对普通用户而言，“老K”所在圈子是一个很隐秘的江湖――“老K”在一家网络公司工作，表面上和普通人没什么区别。但晚上，他就成了某高手云集的黑客团队里重要一员，网名就是他的身份代表，通常只用QQ和外界交流。
　　2010年，“老K”第一次将某个网站改了主页，插入图片与音乐，“与利益无关，那感觉很兴奋。”老K说他们与贩卖数据的传统黑客不同，“我们的理想是重塑黑客精神。”“老K”把自己称为黑客中的“白帽子”，他现在的乐趣在于寻找、测试和捕捉各大企业的安全漏洞，然后提交给第三方漏洞平台乌云网。
　　“我有自己正当的工作，不靠那个牟利。”“老K”在乌云网上的等级是普通白帽子，2012年至今，他已在该平台上提交了20多条漏洞，大部分在厂商确认都已公开，涉及电信、传统IT厂商、证券网站。“找到漏洞，就是要找寻所谓的后门，即作为“开门钥匙”的用户名和密码。”
　　在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客被归为三种类型：白帽子、黑帽子、灰帽子。像老K这样“重塑黑客理想、不恶意利用而且公不漏洞”的就是白帽子。灰帽子擅长攻击技术，但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。
　　很难统计目前中国有多少活跃的黑客，但公布一系列泄密事件的乌云网，正是集结网络白帽子的主要力量。据记者不完全统计，目前至少有4000多名白帽子活跃在乌云网上。“这些白帽子身份很复杂，有各大公司的网络安全工程师，有黑帽子洗白的，有IT从业人员，也有白领、律师甚至厨师。”“老K”说。“可以说，乌云网聚集了全国最多的黑客，也是乌云网让白帽子这个词语火爆起来。”
　　“乌云网就是一个黑客聚集之地。”2011年底，在接受某媒体采访时，化名的乌云网“WooYun”也如此表示，这些黑客中的白帽子挖掘网站中的安全漏洞，在“黑帽子”利用它们之前，提交到平台上，或者向厂商报告，使厂商及时进行修复。
　　“乌云之前，全是黑的”
　　乌云网联合创始人孟德说：在乌云之前，(安全界)全是黑的
　　根据记者不完全统计数据，乌云网首页“最新公开”的安全问题达1.5万个，“最新确认”漏洞近1千个，11月25日至11月日提交的漏洞也有30多个。从记者观察来看，这些漏洞所涉领域中繁多，除了传统的、腾讯、等多家IT企业，还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。
　　“这些漏洞来源均来自民间安全研究人员，漏洞提交上来后平台会进行一个简单的验证，确定后就转交给各个企业在乌云的的人进行确认，厂商对其真实性负责。”孟德说。
　　乌云网(WooYun)成立于2010年5月，主要创始人为前安全专家方小顿――这位1987年出生的国内知名黑客“剑心”，因在2010年2月和一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”的漏洞报告平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。
　　“乌云之前，你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道，一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。”10月21日，乌云网对外发言人孟德对记者说，乌云网的创立初衷之一是在厂商和白帽子之间建立一个沟通平台。
　　孟德，和活跃在乌云上的白帽子一样，他更愿意让人们叫他的网名“疯狗”。自称为业余渗透师，web安全爱好者。拥有9年安全经历，乌云网联合创始人。
　　孟德如此描述乌云网对国内安全界的重大贡献：“有了乌云之后呢，我们会告诉大家，漏洞你别乱发，我们帮你跟厂商沟通，培养漏洞先给厂商的习惯.....。.把平台上的白帽子们思想和习惯给规范化、合理化......。.变成一支互联网安全的中坚力量。”
　　根据孟德的说法，现在乌云网员工都是“兼职”行为，由企业与合作伙伴的朋友共同支撑。“我们并不是一个组织，只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞，也只有得到核实并已经采取防范措施解决问题后才会被公开。”孟德说，此前由于沟通渠道的缺乏，“白帽子”即使发现了漏洞也很难将信息传递给网站，而网站也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。
　　乌云网一炮打响是在2011年底――当年11月，乌云网根据白帽子提供的各种材料，连续披露、支付宝、等著名互联网企业存在高危漏洞，12月29日更是指出支付宝1500万至2500万用户资料泄露，以及广东省公安厅出入境政务网444万用户信息泄露。
　　而此后，如家酒店等开房信息泄露、支付宝漏洞、搜狗泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。
　　三方暗战的江湖
　　对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。
　　根据《乌云网漏洞改进公告》，普通漏洞披露流程为5天厂商确认期，10天向核心白帽子公开其漏洞细节，20天向普通白帽子公开，30天向实习白帽子公开，45天向公众公开其细节。“超过周期厂商无回应，或者在期间内否认漏洞的真实性，乌云网一般都会公开其细节。”“老K”说。
　　来自乌云网官方的数据显示，目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。
　　“厂商是否应该给予乌云网上的白帽子奖励？”10月26日，在京东安全沙龙上，一位参会者提出了一个引起热议的问题。1个月后的11月20日，乌云网公布了一个“不太听话”的厂商DD称腾讯7000多万QQ群关系数据被泄露，在快传很轻易就能找到数据下载链接。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
　　一位业内人士还对记者举了一个例子：10月29日，乌云网公布了一个白帽子提交的漏洞，其标题为《“来往”致账号被破解 波及余额宝支付宝》的漏洞消息，称该漏洞处于等待厂商处理状态，也就是说，用户选择通过淘宝帐户登陆来往后，看到消息时仍可波及到支付宝余额宝的安全问题。“据我了解，这位白帽子先把漏洞提交给了阿里官方，但阿里官方没有理睬，后来这位白帽子气不过，又提交到了乌云网，乌云网则对其进行了公布。”
　　这个漏洞消息带来的后果之一是――在声讨支付宝安全漏洞的热议中，根据媒体报道，在三元里做服装生意的杨先生，其银行账号通过支付宝莫名其妙转走了5万元。随后一名“黑客”发来短信自称在测试支付宝漏洞时所为。
　　去年2月14日，一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞，称客服系统存安全隐患，该漏洞在乌云平台公布后，有部分用户用于娱乐。而如家等酒店的开房信息泄露，更是在全国引起了疯狂的下载、查询开房信息风波。
　　这引发了人们的追问：乌云网是否应该将漏洞公布于众？根据孟德的说法，在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称：“如果黑客对此有兴趣，那么只要知道企业名字和大概漏洞消息源头，侵入这个企业并不是难事。”该人士表示，从他的观察来看，乌云网上的众多待确认和刚提交的漏洞，甚至涉及到各个政府部门的安全问题，虽然没有具体细节，但仍然让外界用户感到吃惊。
　　“厂商前方百计要把影响，要么否认、驳回其漏洞，要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己，亏大自己的影响。”“老K”说，而白帽子，也有自己的诉求，或为了名，或为了利，因此如果提交给厂商被驳回，一般都会提交到乌云网。
　　对此，一位不愿透露姓名的某互联网企业高层人士对记者称，对于乌云网，他们也是颇为无奈。一方面，企业有自己的安全，随时在对企业网站进行测试;另一方面，乌云网亦不时公布些耸人听闻的消息，炒作自己在业界的权威，不理睬也不行――但事实上，那些引起热议的泄露事件，其漏洞早在几个月前就已修复。
　　对于是否炒作的说法，孟德对此并不否认。“这其实是国内互联网舆论的一个怪圈 ，只要是曝光率比较高， 或因为什么比较热门了 ，就可能会被认为是自我炒作 ，乌云现在也在经历这个怪圈而已。”
　　按照乌云联合创始人，原百度安全架构师“剑心”在知乎的说法，乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称，腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商，相对应的，乌云网上公布问题最多的企业也是腾讯――根据记者不完全统计，乌云网公不的腾讯各种安全问题多达数百个。
　　送礼物或奖励，是厂商给予提交漏洞的白帽子一种报酬。这种模式在美国很常见，去年，还设立了一项20万美元的奖项，悬赏能够解决Windows中存在的内存漏洞的人;、、等则向发现本公司产品安全漏洞的研究人员，提供最低500美元的奖金。
　　但在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等等纪念礼物。乌云网一名“白帽子”、在纽约证券交易所一家美国上市公司就职的一位企业架构师由于在乌云网发布了一条小米网的安全漏洞，小米公司赠送了他一部小米手机以示谢意就让他深感满意。孟德认为，实际上，在相对“白帽子”花费不少找到的漏洞来说，这点激励也算不上什么。
　　但是厂商也有自己的委屈。“一是担心漏洞信息给自己带来负面影响，二是各家企业漏洞都不少，开了奖励先河后，成千上万名黑盯着自己的漏洞。”上述互联网高层人士对记者称。
　　一次提交，就是一次侵入
　　白帽子的反思：黑亦白，白亦黑。乌云上的白帽子，真的是白帽子？
　　“客观来说，乌云网解决了许多问题，如黑客与厂商之间的信任问题，减少了沟通上的时间成本，降低了终端客户可能面临的安全风险。”一位互联网安全观察人士对记者称，但一个重要问题是，数千名白帽子是如何发现各个行业、各大企业网站漏洞的？即便漏洞真实存在，获得漏洞的过程是否合法？
　　11月18日，某科技公司人士“yuange1975”的一条引起热议：这些人胆子比较大哈，这种事情不要拿自己的命来成就别人。虽然我不赞成厂商因此抓这些人，但是如果真要抓人分分钟钟的事情。
　　这条引起众多业内人士关注的消息是――11月17日，名为“NILIU"的白帽子在乌云网上提交了一个名为“某银行某分行管理系统命令执行导致沦陷”的漏洞，尽管该漏洞并未公布详细细节，但还是引起业内的关注与担心。
　　“谁给你授权测试该网站漏洞了？你是通过什么方式得到的该漏洞？如果要根据该漏洞抓你，那也是有根有据。”网友“网路游侠”如此评论，悄悄的黑站，吆喝的不要。发现漏洞的过程，很多时候也是违法的过程。
　　“黑亦白，白亦黑。乌云的白帽子，真的是白帽子？很多白帽子的测试渗透过程，完全就是一系列的、破坏和信息盗取行为。”在腾讯微博，认证为“乌云平台白帽子成员”的于小葵发微博进行反思。
　　“自己所提交到乌云网的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻击进行的，根本不可能提前通知相关部门和厂商。”“老K”对此承认，这其实也是一种违法行为。“所谓的白帽子，本质就是黑客，只是黑客不好听，谁都不愿意承认。”
　　“老K”不愿详细透露自己采用了哪些手段渗透进企业内网，获得了企业的漏洞，但他表示很多入侵思路都来自乌云网――实际上，乌云网除了是第三方漏洞提交平台，还是一个获取漏洞学习交流研究平台。这些攻略一部分只有白帽子可见，另一部分则对公众公开。比如在日，乌云网就公布了一份《我是这样搞定全省万象网吧的(网吧渗透测试实例，超详细)》，万象网吧原为旗下子公司，后被盛大出售给杭州顺网科技，尽管该漏洞测试时间是今年2月，但其中攻击步骤、方式、操作手段都无比详细，从中可以看出该漏洞的获得本身就是一次违法入侵行为。
　　一些高调的白帽子则现身说事。去年10月19日，一位叫“only_guest”的知名白帽子在乌云网发《微信任意用户密码修改漏洞》的技术帖，称通过利用微信账号安全的设置漏洞，成功地破解了多位名人的微信账号和手机号，并公布为证。
　　截图显示该名白帽子在成功破解柳岩、的微信账号前，选择修改了两个人微信账号密码，一个是明星柳岩的经纪人，一个是腾讯的某位高管，并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号，甚至用该名腾讯高管的号码给马化腾发了消息。
　　因此，获取漏洞本身就是一次黑客的入侵过程。“我们经常可以看到，乌云网上一些白帽子为了提交漏洞，而经常渗透进企业内网的过程。挖个漏洞需要上传真实的shell，进入内网转一圈吗？你看到别人家房门没有关，然后你就跑进去给熟睡的女主人拍了几张裸照，然后发到她的邮箱里面说，你家门没有关，你看这个照片就是证明，然后你还评论了一下，女主人的屁股还挺白。你让人家情以何堪？”XMD5解密网站长汪利辉在《白帽子看过来，漏洞平台那点事》中表示，白帽子测试的目标网站谁给你授权了？真出了问题，没有人给担着的。如果乌云如不能正确引导这些白帽子，估计会有某些白帽子哭的一天。
　　“不处理好授权问题，提交到乌云的漏洞报告就可能成为入侵证据。”武汉大学计算机学院副教授、博士彭国军说。
　　“对此乌云网也心知肚明，因此在声明上做了风险规避，提交漏洞的事情和乌云没有任何关系。”“老K”说。根据乌云网的信息安全和保护声明，白帽子注册必须通过邮件验证，对于提交虚假漏洞信息的用户在证实后，乌云网将根据情况扣除用户的Rank甚至直接删除用户。同时，乌云网也强调，对于白帽子研究漏洞的方法、方式、工具及手段的合法性，乌云网对此不承担任何法律责任。
　　11月19日，或许是基于业界的议论，或许是基于其他担心，提交该漏洞的白帽子“NILIU”在乌云网该漏洞下发布声明表示：“此次测试未对系统做任何破坏，未窃取任何数据，只是截图证明。”
　　但在律师看来，乌云网的声明并不能免责。“假如乌云网是一名‘善意的黑客’，其目的仅是为帮助企业修补漏洞，那么乌云网应该私下就找出的漏洞与企业沟通，而不是公之于众。要知道酒店登记入住涉及个人隐私和资料，一旦信息被泄露不仅涉嫌对企业侵权，也涉嫌对个人侵权，假如客人因此状告酒店而酒店再以侵权状告乌云网，那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。
　　或许，更为严重的是，由于乌云网对“白帽子”真实身份难以确定，像“老K”这样的“白帽子”，神秘身份背后到底是什么？是否竞争对手的恶意攻击行为？是否会发布虚假漏洞消息？对于心怀叵测的黑客来说，是否伪装成白帽子潜伏其中，伺机而动？
　　这并非杞人忧天。日，乌云网宣布暂停服务，对系统做短暂的升级，原因是“频繁披露的安全事件及带来的影响――根据国家互联网信息办披露，CSDN、网站被入侵事件也同样是因为网友的个人行为，调查发现，网名 “臭小子”的许某某出于个人炫耀的目的，于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露，并公布泄露的数据包截图。此外，一些白帽子甚至以信息泄露相要挟索要利益，乌云网白帽子“我心飞翔”就因涉嫌敲诈勒索京东商城被刑事拘留。
相关文章：
[ 责任编辑：小石潭记 ]
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte许多日本少女会提前一年为自己的成人仪式预约做头发、换和服。这一天，美容院也会通宵营业。20岁是成年的开始，也是日本参加选举、饮酒和吸烟的最低法定年龄。
　　094级战略核潜艇，北约代号：晋级。它是中国建造的排水量最大的潜艇。中国核潜艇
虽然有些学校有正式招生的权利，也能授予学位，但这只是有正式的法律认证形式，和教育
通过提供资金，支持个中国本土的环境组织，致力于推动中国环境保护。
庞格尔节的正日子是1月14日，家家必做的一件事就是煮甜牛奶米粥。早上日出之时，泰米尔人家家户户在门...
美政府警示iOS新漏洞：恶意软件或替代合法软件
　　 北京时间11月14日早间消息，政府部门周四警示称，苹果设备的用户应当注意，黑客可能会利用近期发现的苹果iOS系统的一个新漏洞。
　　 信息安全公司FireEye本周早些时候公布了这一所谓的&假面攻击&漏洞。根据美国国土安全部下属美国计算机紧急状况应对小组网站的信息，通过这一漏洞，黑客可以将正常的iOS应用替换为恶意软件。
　　 警示称：&这一技术利用了一个信息安全漏洞，在被影响设备上允许不受信任的、与合法应用有着同样&捆绑标识符&的应用取代合法应用，同时保留所有的用户数据。这一漏洞的存在是由于，iOS并不对应用证书及捆绑标识符进行强制匹配。&
　　 该部门警示称，iOS用户不应安装来自苹果官方应用商店或各自组织以外的其他应用。(邱越)
责编：李文瑶
24小时点击排行
12345678910
24小时跟贴排行漏洞描述：小蚁摄像头应用管理程序存在远程命令执行漏洞，可以通过web界面以root权限执行任意系统命...
近日，360QVM发现一款名为VirLock的“敲诈者”病毒开始在国内出现，此病毒与刚传入中国的CT...
来源：乌云
来源：补天平台
来源：补天平台
来源：乌云
来源：乌云
来源：补天平台
来源：补天平台
来源：补天平台
来源：补天平台
来源：补天平台
来源：补天平台
来源：补天平台
来源：乌云
来源：乌云
来源：乌云
来源：乌云
来源：乌云
来源：乌云
许多用户并不理解，更不用说倾听基于浏览器的SSL警告。为此，谷歌进行了一项关于人类应对警示牌的跨学科研究，希望在最新版的浏览器警告中改变这一现状。“持不同政见者、毒贩子以及外交官有一个共同点，”美国宾...
来源：360安全播报
FireEye最近发布了一份报告称发现黑客在2013年11月到2014年1月间成功侵入了叙利亚反对派组织的计算机网络系统，盗取了大量作战指挥图、地理坐标、武器信息和其他敏感数据。他们把这一黑客行动命名...
来源：360安全播报
互联网安全中心共截获恶意程序样本3.24亿个——
通过QQ传输的可执行文件中，14%为恶意程序；
通过播放器下载进行流氓推广情况简直丧心病狂；
劲舞团/炫舞、反恐精英外挂带毒率约为70%以上……
有的是你不知道的事！
2014年恶意程序大起底！...
来源：360安全播报
来源：360安全播报
* thorns_project (分布式异步队列系统)* wydomain (目标系统信息收集组件)* wyportmap (端口扫描+系统服务指纹识别)* wyfingerprint (应用系统指...
来源：wooyun
在Adobe Flash播放器新发现一个高危的漏洞，黑客可以利用其进行大规模的强迫式下载(drive-by download)攻击，又称“网站挂马攻击”，当你在查看包含有恶意代码的网页或访问广告时，会...
来源：360安全播报
漏洞描述：小蚁摄像头应用管理程序存在远程命令执行漏洞，可以通过web界面以root权限执行任意系统命令（无需任何web权限），目前官方的最新版本已经修复此漏洞。影响范围：firmware versio
360安全播报
最近很火的幽灵漏洞，除了在clockdiff,procmail,exim等应用程序上发现了漏洞，昨天小编发现已经蔓延到常见的web应用程序上，比如著名的wordpress，wordpress里的wp_
360安全播报
“白帽子”在攻破该网站的服务器之后发现，这是一个“钓鱼网站”，在这个钓鱼网站的后台，赫然能够看到超过400位用户的详细信息，包括用户姓名、银行卡或者信用卡号、开户行、密码、身份证、手机号码、信用卡有效期、CVV码等。
最近有安全研究者发现了BlackPhone中一个漏洞，该漏洞允许攻击者解密用户信息、窃取通讯录并控制设备的重要功能，而这些重要功能是为了更好地保护政府及刑事探听的通讯。什么是BlackPhone？Bl
360安全播报
宝马公司修复了导致包括劳斯莱斯及迷你车型在内的220万辆汽车安全漏洞。这一漏洞影响配备宝马使用板载SIM卡ConnectedDrive软件的车型。宝马公司表示，软件操控车锁、空调及流量更新但并不操控诸
360安全播报
小米总是让人有无数的遐想，它的每个商品都让人为之惊讶。小米公司以智能家居解决方案,采用多硬件互动等方式，给用户带来了非常良好的体验。在提供极大的便捷的同时也引入了一些风险。在使用路由器“访客用户”进入
360安全播报
恶意软件分析、渗透测试、计算机取证——GitHub托管着一系列引人注目的安全工具、足以应对各类规模下计算环境的实际需求。GitHub上的十一款热门开源安全工具作为开源开发领域的基石，“所有漏洞皆属浅表...
来源：infoworld.c...
Hirte是破解无线网络WEP Key的一种攻击类型
来源：360安全播报
0x00 背景原文:http://securitycafe.ro//understanding-php-object-injection/php对象注入是一个非常常见的漏洞，这个类...
来源：wooyun drop...
最近，在我们ffmpeg fuzz项目捕捉到了多处崩溃，经分析发现，其中包含了1枚UAF漏洞。目前该漏洞已经报告官方，并确认为0day，将在最新版本中得到修复。漏洞描述： FFMPEG是一种被广泛用于...
来源：360SEC@MAX_...
黑客发布TOP500中国常用姓名字典用于暴力破解...
来源：wooyun
近日，360QVM发现一款名为VirLock的“敲诈者”病毒开始在国内出现，此病毒与刚传入中国的CTB-Locker“敲诈者”病毒如出一辙，均通过强锁电脑里的文档、图片等重要资料，借机敲诈用户赎金0....
来源：360互联网安全...
会议主题：
1、6:15-7:15分布式APT攻击检测系统架构及案例分析
介绍人：consen
2、7:15-8:15 内容识别在行业业务系统和大数据安全分析中的应用 介绍人： ...
新增漏洞 340 个
新增病毒 81.04万 个
新增钓鱼 1539 个
活动地点：
活动介绍：
举办单位：
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]