本周安全要聞主要內(nèi)容：免費Web托管公司000Webhost被黑客攻擊，泄露1350萬用戶信息；中國電信某系統(tǒng)被曝存重大漏洞；烏云漏洞平臺曝出百度旗下多款A(yù)pp存在WormHole漏洞；美國參議院通過了《網(wǎng)絡(luò)安全信息共享法案》；騰訊玄武實驗室安全負(fù)責(zé)人于旸表示通過條碼可能觸發(fā)SQL注入、XSS攻擊……

全球最流行的免費Web托管公司000Webhost遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，1350萬用戶的個人數(shù)據(jù)泄露。用戶泄露的信息包括用戶名、明文密碼、郵箱地址、IP地址、用戶真實的姓氏。000webhost在其官方Facebook上確認(rèn)了公司被黑客攻擊。

免費Web托管公司000Webhost被黑 1350萬明文密碼泄露

隨著手機實名制的普及，運營商掌握了大量的用戶個人信息，但如果一旦運營商保管不善，那么用戶的個人隱私就將遭到泄露。近日，補天漏洞響應(yīng)平臺爆出了中國電信某系統(tǒng)的重大漏洞。通過該漏洞可以查詢上億用戶信息，涉及姓名、證件號、余額，并可以進(jìn)行任意金額充值、銷戶、換卡等操作。目前該漏洞已得到中國電信廠商確認(rèn)。

中國電信再現(xiàn)重大漏洞：上億用戶信息一覽無余

據(jù)悉，烏云漏洞平臺曝出百度旗下多款A(yù)pp存在WormHole漏洞，稱安卓手機只要連接網(wǎng)絡(luò)，無論Root與否都有被安裝應(yīng)用和遠(yuǎn)程控制的風(fēng)險。

烏云曝百度多款A(yù)pp存在漏洞 官方已確認(rèn)

據(jù)俄羅斯衛(wèi)星網(wǎng)10月28日報道，美國當(dāng)?shù)貢r間27日，參議院通過了《網(wǎng)絡(luò)安全信息共享法案》。隱私權(quán)益支持者對此極力反對，認(rèn)為該法案將危及隱私權(quán)，且并不能阻止網(wǎng)絡(luò)攻擊的發(fā)生。

美國會通過網(wǎng)絡(luò)安全法案 多方指其侵犯隱私權(quán)

在極棒安全峰會上，騰訊玄武實驗室安全負(fù)責(zé)人于旸從條碼的知識小科普到現(xiàn)場破解demo秀，分享了一種針對條碼系統(tǒng)的通用攻擊方法，攻擊者僅需要用一張印有條碼的紙，就能讓計算機執(zhí)行win+r、彈出CMD窗口、彈出計算器!

騰訊玄武實驗室：通過條碼可能觸發(fā)SQL注入、XSS攻擊

本次調(diào)研群體分布于全國各地，有意思的是，對于安全漏洞高發(fā)地區(qū)排名前三位的北京、上海、廣東，本次調(diào)查反饋用戶數(shù)量排名前三位的也對應(yīng)到這三個地區(qū)。而在行業(yè)分布上，比較廣泛。

最新發(fā)布：數(shù)據(jù)庫防火墻技術(shù)市場調(diào)研報告

近日，思科已同意以大約4.53億美元的價格收購網(wǎng)絡(luò)安全軟件開發(fā)商Lancope，進(jìn)一步表明了這家網(wǎng)絡(luò)設(shè)備巨頭增強自身安全業(yè)務(wù)的意愿。

思科4.53億美元收購安全開發(fā)商Lancope

技術(shù)解析：

js緩存投毒說白了就是受害者的瀏覽器緩存了一個被我們篡改的js腳本，如果緩存沒有被清除，每次這個受害者訪問網(wǎng)頁的時候都會加載我們的js腳本。

Javascript緩存投毒學(xué)習(xí)與實戰(zhàn)

按照曼迪安特分析的報告稱中國已經(jīng)發(fā)現(xiàn)3臺具有SYNful Knock后門的路由器，如何快速從全國3億IP地址中快速查找出3個IP地址難度還是十分的大，經(jīng)過查找發(fā)現(xiàn)，目前中國已經(jīng)有4個IP被植入了后門。

我是如何從3億IP中找到CISCO路由器后門的

用戶帳戶控制(UAC)給了我們使用標(biāo)準(zhǔn)的用戶權(quán)限代替完全的管理員權(quán)限來運行程序的能力。所以即使您的標(biāo)準(zhǔn)用戶帳戶位于本地管理員組中，那么受到的破壞也是有限的，如安裝服務(wù)，驅(qū)動程序以及對安全位置執(zhí)行寫入操作，等等，這些行為都是被拒絕的。

Windows用戶帳戶控制(UAC)的繞過與緩解方式

其他：

安全新趨勢：是時候扣動安全自動化的扳機了

長亭科技楊坤:智能路由器遭破解 企業(yè)內(nèi)網(wǎng)安全需加強

“雙十一”即來 電商如何開啟安全大戰(zhàn)?

罪與罰：近幾年最惹爭議的黑客判決