检测网站漏洞工具,在公共网站上发了PoC攻击代码的漏洞是不是最容易被利用发起网络攻击?
本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。
更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。
研究小组表示,2009年至2018年间,在4183个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。
这意味着,没有公共PoC并不一定会阻止攻击者利用某些漏洞--一些黑客在需要的时候会利用自己的漏洞。
严重缺陷被利用的最多
研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的CVSSv2严重性评分(可以从1到10,其中10分被分配给最危险和最容易遭到利用的漏洞)。
研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞CVSS的得分是9分或更高。”
研究工作来源
据悉,这项研究的核心数据由多种来源汇编而成的。例如,从NIST的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元数据和reverse Labs元数据中收集而来。关于编写的利用代码信息来自Exploit DB、利用框架(Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework)、Contagio、Reversing Labs和Secureworks CTU,研究团队发现在2009年到2018年间PoCs发布的数量有9726个。
此外,通过Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。
未来
研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。
这份研究表明,一个漏洞的CVSSv2得分越高,它遭到严重利用的可能性就越大--无论利用代码公开与否。
另外,受到攻击的漏洞数量是1/20,而不是以前的研究表明的1/10。
此外,研究团队还希望他们的工作将能增强整个CVSS框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖CVSS评分来评估和优先打补丁的组织提供更好的指导。
OpenAI回应ChatGPT泄漏用户历史搜索记录标题?
这种确实属于严重的信息泄漏了,打个比方说,你跟别人的微信聊天记录出现在了其他人的手机上。
特别是对于GPT的使用者来说,如果只是随便的聊天被人看到了还好,要是论文的idea或者是非常隐私甚至是敏感的事情被泄漏,那就属于严重的事故了。
在GPT刚出来的时候,有个条款是它们会用用户的交流数据进行模型的训练,如果你不主动的去取消这个条款,那么就会被收集数据。
我最开始就关了这个了,我可不想我的论文还没投出去就已经有100%的重复率了。
不过后来在用户不断的反馈后,他们主动的关了这个。
大家起码不用担心自己的数据被用来训练了。
其实这种情况属于特殊情况,但是有一种情况是非常危险的,我必须得对使用共享账户的朋友提个醒。
在用共享账号后,你的对话记录是会被人看到的,就比如这样。
我建议你最好不要用共享账号,迫不得已的话,记得每次用完把记录删掉
并且在使用这类型产品的使用一定要看他们的term,如果他们默认收集数据,那就赶紧的关掉。
因为share你的数据对你没有任何的好处,平白无故增加数据泄漏风险。
如何防止网站的代码被外界漏洞扫描?
答:防止网站的代码被外界漏洞扫描。1.漏洞扫描漏洞扫描可以让你很好的知道自己网站的潜在威胁,一般黑客入侵一个网站之前,都会做情报收集,漏扫是必备的一项,如果你平常有做漏洞扫描,就可以很好的了解网站是否有可利用的安全漏洞,从而进行漏洞修复,防止被黑客利用漏洞入侵。
2.做好权限管理网站的权限,建议分配专门的www用户,然后除了需要读写的目录,其它全部目录设置成只读,禁止修改及创建。
非执行目录,一律不给其分配执行权限,如静态资源目录。设置好防跨站,如此一来,你的网站能够大大的降低被上传木马然后getshell的风险。
3使用web防火墙web防火墙,简称WAF。顾名思义,就是专门防护web系统的防火墙,跟传统的服务器防火墙不一样。他们可以通过过滤包的模式,在规则库里面去匹配是否是攻击,如果是,这拦截掉,这个大大提高了网站的安全性,一般的攻击手段也就入侵不了你的网站
外媒曝出一起Gov域名冒名顶替事件?
本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。
其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。
(题图 via KrebsOnSecurity)
这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。
据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。
消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。
此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。
然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。
从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。
为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。
今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。
然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。
尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。
不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。
Firefox有什么安全漏洞吗?
Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。
这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。
如Ars Technica所报告,警告消息为:
请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。
该网站说明:
关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。
Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。
