Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13722 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全热点周报】第153期:信通院发布《云原生发展白皮书 (2020 年)...
本文来自公众号:奇安信 CERT   2020.07.31 15:53:03



点击箭头处 “蓝色字” ,关注我们哦!!




本期安全资讯导视




新型城镇化建设重要方向:强化网络安全能力保障

IPv6网络环境安全现状中的新网络威胁

PDF签名机制中存在漏洞,可引发Shadow攻击

本周安全大事件


公安部集中打击治理电信网络诈骗犯罪取得阶段性成效


7月28日,公安部在京召开新闻发布会,通报了今年以来公安机关打击治理电信网络诈骗犯罪工作的有关情况。期间,公安部侦查局局长刘忠义,通报了公安部为贯彻落实全国打击治理电信网络新型违法犯罪而组织开展的“云剑2020”、“长城2号”、“510”等专项打击行动和取得的阶段性成效。通报表示,公安机关将始终保持严打高压态势,全力以赴铲窝点、抓金主、追赃款、摧灰产、堵漏洞,坚决将犯罪分子的嚣张气焰打下去,切实维护人民群众合法权益和社会治安大局稳定。同时,充分发挥国务院部际联席会议机制优势,坚持打防并举、齐抓共管、源头治理,打一场反诈人民战争,坚决遏制案件高发多发态势。公安机关正告诈骗分子,立即停止一切违法犯罪活动,主动投案自首,争取宽大处理。公安机关提醒广大群众,要切实提高警惕,增强防范意识,避免上当受骗遭受财产损失和不法侵害。



原文链接:

https://mp.weixin.qq.com/s/GVWnL96KYR2NKzHmxmj9cw


权威发布与安全趋势


1




新型城镇化建设重要方向:强化网络安全能力保障


国家发展改革委办公厅,在关于加快落实新型城市化建设补短板强弱项工作有序推进县城智慧化改造的通知中指出,将“强化网络安全能力保障”做为重点方向,建设网络安全防护体系,做好网络安全与智慧化改造一体化推进。落实网络安全工作责任制要求,完善智慧化改造网络安全管理制度规范。


原文链接:

https://mp.weixin.qq.com/s/VrzMNue36k2wRC36dcNpfw



2



信通院发布《云原生发展白皮书 (2020 年)》



中国信息通信研究院在2020年可信云大会上正式发布了《云原生发展白皮书(2020年)》。作为业内首个全景展现云原生产业的文稿,《云原生发展白皮书(2020年)》从云原生产业规模、技术生态、热点技术、行业应用场景及未来趋势等多个维度深度剖析了我国云原生产业发展的现状,并首次披露了大量详实的产业调研数据。更多详细内容请查看原文。


原文链接:

https://www.secrss.com/articles/24284



3



IPv6 网络环境安全现状中的新网络威胁


近日,安全研究人员发布“IPv6网络环境安全现状”,指出了当下新兴起的利用“IPv6代理服务器验证漏洞(未对代理域名合法性进行验证或验证机制可被绕过)”的网络威胁。灰黑产团队使用此技术手段,利用搜索引擎、政府机构部署的高权重IPv6代理服务器对违法的色情或博彩网站进行伪装,提高其曝光度。


原文链接:

https://www.anquanke.com/post/id/212024



安全快讯


1



北京互联网法院:抖音、微信读书均侵害用户个人信息


7月30日,北京互联网法院作出一审判决,认定抖音、微信读书两款APP均有侵害用户信息的情形。在抖音案中,抖音APP向用户推荐了大量“可能认识的人”,包含多年未联系的同学、朋友,法院宣判认定其在未征得用户同意的情况下,对原告的个人信息进行收集、处理,构成侵权。而在微信读书案中,微信读书迁移好友关系、好友之间的读书信息默认公开,构成侵权。

原文链接:

https://www.cnbeta.com/articles/tech/1009697.htm



2



PDF 签名机制中存在漏洞,可引发 Shadow 攻击


国外研究人员发现PDF签名机制中存在严重漏洞(CVE-2020-9592、CVE-2020-9596),利用此漏洞攻击者可以在不修改原始签名验证状态的前提下修改文档内容,并将此攻击命名为Shadow Attack。此攻击需要将恶意的内容隐藏在可视层外并诱导受害者进行签名,签名后攻击者可在不破坏签名的情况下,修改可视层为恶意的内容。


原文链接:

https://www.4hou.com/posts/Xnw5



3



化妆品巨头雅芳泄漏1900万条数据记录


全球化妆品巨头雅芳(Avon)最近因其在Azure服务器上的Elasticsearch数据库没有密码保护和加密,泄露了1900万条记录,包括客户和员工的个人身份信息和技术日志。其中被泄露的个人信息包含姓名、电话号码、生日、电子邮件和家庭住址以及GPS坐标等多个维度。


原文链接:

https://www.secrss.com/articles/24303







精彩推荐



【安全风险通告】WebSphere远程代码执行漏洞安全风险通告
【通告更新】Apache Dubbo反序列化漏洞安全风险通告第四次更新
【安全热点周报】第152期:Twitter公布大规模账号入侵事件的细节