安全资讯
谷歌再面欧盟隐私裁决:或在全球范围删除链接据外媒报道,欧盟法院将对谷歌与法国数据保护监管机构的后续纠纷做出裁决,裁定"被遗忘权"是否应该在全球范围内适用,以及界定隐私与言论自由之间的边界。法国当局要求谷歌在全球范围内删除指向包含过时或虚假信息并有可能损害个人声誉的网站链接。法官或将阐明哪些链接可以在线保留,以维护公共利益。对于法国当局的要求,谷歌正尽全力反抗。
的裁决已经迫使谷歌在欧洲呈现与世界其他地区不同的搜索结果。自之后,谷歌已经被迫评估了近85万条单独的链接删除请求,涉及的网站多达330万个。谷歌的工作人员实则承担起半监管的角色,以在哪些信息应该公开和哪些应该删除之间努力取得平衡。自以来,谷歌已经采用"地理封锁"功能来过滤呈现给欧洲用户的所有谷歌网站上的搜索结果,这样欧洲的用户就不会看到他们国家某个人希望限制的信息。 详见:http://1t.click/avgx澳大利亚人每10分钟报告一次网络犯罪活动
据澳大利亚网络安全中心负责人称,自297月1日,该组织负责澳大利亚网络犯罪在线报告起,其平均每10分钟收到约一份报告。澳大利亚的网络攻击数量正逐年攀升,网络攻击使澳大利亚人每年损失达数十亿美元。
在本月早些时候,澳大利亚政府发布网络安全相关讨论文件,寻求有关国家新网络安全战略的反馈,其中强调指出,,网络犯罪分子从澳大利亚人中窃取了23亿澳元。讨论文件表示,澳大利亚每年至少有21亿的经济损失来源于网络犯罪。
详见:http://1t.click/avha
安全事件
美国老牌定制服务网站CafePress遭黑客攻击
美国最老牌的定制服务网站CafePress近日遭黑客攻击,大规模用户数据泄露。该事件最早可追溯至2月,2300万用户的详细信息遭泄露,泄露的信息包括客户名称,电子邮件,地址,电话号码和未加密的密码。
在8月初,该公司进行了大规模密码重置,在2300万受感染的用户中,大约有一半的公开密码使用base64 SHA-1编码。该公司表示正在与美国执法部门合作,并已通知英国和欧洲监管机构。
详见:/avhb
美国第三方支付门户网站Click2Gov遭黑客攻击据外媒报道,黑客再次攻击美国第三方支付门户网站Click2Gov,目前,共有8个美国城市受到影响。Click2Gov被大量用于美国事业单位和社区发展机构在线自助账单支付,如:缴税、缴停车费等。
Click2Gov在就曾被黑客利用,泄露了数十个城市的30万条付款记录。8月,8个城市的超20000个交易记录已经在非法市场上销售。详见:http://1t.click/avhd
工具脚本
ArmourBird CSF:容器安全框架
ArmourBird CSF是一个可扩展的,模块化的容器安全框架,可针对CIS和其他自定义安全检查对Docker安装和容器进行定期安全监视。
详见:http://1t.click/avhe
最新漏洞
fastjson<=1.2.60远程代码执行漏洞
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson<=1.2.60版本存在远程代码执行漏洞,攻击者可利用该漏洞远程执行恶意代码来入侵服务器。
详见:http://1t.click/avhh
安全研究
Thinkphp反序列化利用链深入分析今年7月份,ThinkPHP 5.1.x爆出来了一个反序列化漏洞,本文深入探讨了ThinkPHP的反序列化问题。在刚接触反序列化漏洞的时候,更多遇到的是在魔术方法中,因此自动调用魔术方法而触发漏洞。但如果漏洞触发代码不在魔法函数中,而在一个类的普通方法中。并且魔法函数通过属性(对象)调用了一些函数,恰巧在其他的类中有同名的函数(pop链)。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。
详见:http://1t.click/avhj
