首頁 > 業界動態 > 正文

一周安全要聞：中國網絡安全競賽迅速崛起
2016-02-20 19:45:29 來源：杜美潔 51CTO.com 評論：0 點擊：

本周安全要聞帶大家一起回顧一下上周的安全事件以及2015年安全領域的賽事。虛擬主機管理公司cPanel被黑，用戶遭數據泄露；研究人員一款可以監控用戶的上網行為習慣的惡意Chrome擴展程序進行了深入調查；聯想修復了產品中發現的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678……

回顧2015年，無論對中國的網絡安全競技領域還是中國網絡安全人才的培養，都發生了重大變化，且將產生深遠的影響。

對中國網絡安全行業來說，2015年無疑是濃墨重筆的一年;但如果再要從激情澎湃的網絡安全領域挑選兩個最重大的事件的話，51CTO記者認為，一是中國網絡安全立法工作取得了重大突破，另一個就是中國網絡安全競技領域的迅速崛起——前者是國家戰略，后者卻是民間推動。

年度盤點:中國安全競賽星火燎原人才培養機制面臨突破

近日，安全公司Malwarebytes的研究人員對一款惡意Chrome擴展程序進行了深入調查。該款款惡意Chrome擴展程序可以監控用戶的上網行為習慣，并自動出現彈窗，并干擾用戶正常上網。

Chrome惡意擴展程序可監控用戶上網行為

近日，虛擬主機管理公司cPanel承認被黑，已通知用戶其信息或已被泄露。cPanel虛擬主機管理系統可以讓您的網站和服務器管理更加簡單，它成功克服了Linux操作系統圖像化界面不夠優秀的缺點，給您提供一個非常友好的功能強大的界面。

虛擬主機管理公司cPanel被黑用戶數據泄露

聯想修復了產品中發現的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678。聯想的Lenovo ShareIT中發現了4個漏洞，會導致信息泄露、安全協議繞過和中間人攻擊，影響版本為Lenovo ShareIT for Android 3.0.18和Windows 2.5.1.1。

聯想ShareIt產品被發現一個硬編碼密碼：12345678

無論是使用自行購買的可穿戴設備，還是在企業環境下進行IT事務管理，追蹤裝置與智能手表等產品正變得愈發談及——但這也意味著可穿戴式設備很可能成為網絡犯罪分子們的下一類重要攻擊目標。作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經歷過指向可穿戴式設備的攻擊活動，但這并不是說我們還可以繼續高枕無憂地面對未來。

可穿戴式設備的安全水平究竟如何?

根據SafeNet公司2015年數據安全信心指數(DSCI)報告顯示，在IT社區內，企業對網絡外圍安全有效性的感知和現實之間的差距在不斷擴大。該報告指出，87%的IT決策者認為其網絡外圍安全系統可以有效阻止未經授權用戶。

為什么單靠網絡外圍安全行不通?

技術解析：

Magento項目小組目前已經發布補丁，修復Magento上一個高危的安全漏洞。這個漏洞是一個存儲型XSS，是安全廠商Sucuri于2015年11月10日發現的，可實施攻擊的場景為：當用戶注冊一個新賬戶時或者當用戶更改當前賬戶的郵件地址時等涉及到郵箱賬號提交的場景。

Magento存在XSS漏洞，在線商城可被攻擊者操控

權限濫用漏洞一般歸類于邏輯問題，是指服務端功能開放過多或權限限制不嚴格，導致攻擊者可以通過直接或間接調用的方式達到攻擊效果。

物聯網時代權限濫用漏洞的攻擊及防御

Nest的產品中一個比較厲害的特點就是它們全部都是些只能通過Web操作的產品。而獲取Nest攝像頭或者恒溫器數據的唯一途徑就是通過Nests的云。而Nest攝像頭和Nest恒溫器可能會在任何端口運行著任何的服務，我們無從得知。

Google Nest智能設備逆向姿勢詳解

其他：

如何從威脅數據當中提取出威脅情報